Рекомендации по использованию Azure RBACBest practices for Azure RBAC

В этой статье описываются некоторые рекомендации по использованию управления доступом на основе ролей в Azure (Azure RBAC).This article describes some best practices for using Azure role-based access control (Azure RBAC). Эти рекомендации являются производными от нашего опыта работы с Azure RBAC и опытом работы клиентов.These best practices are derived from our experience with Azure RBAC and the experiences of customers like yourself.

Предоставляйте доступ только пользователям AccessOnly grant the access users need

С помощью Azure RBAC вы можете распределить обязанности внутри команды и предоставить пользователям доступ на уровне, который им необходим для выполнения поставленных задач.Using Azure RBAC, you can segregate duties within your team and grant only the amount of access to users that they need to perform their jobs. Вместо того чтобы предоставить всем неограниченные разрешения для подписки Azure или ресурсов, можно разрешить только определенные действия в конкретной области.Instead of giving everybody unrestricted permissions in your Azure subscription or resources, you can allow only certain actions at a particular scope.

Когда вы разрабатываете стратегию управления доступом, предоставьте пользователям минимальные разрешения, чтобы они могли выполнять свои задачи.When planning your access control strategy, it's a best practice to grant users the least privilege to get their work done. На следующей схеме показан предлагаемый шаблон для использования Azure RBAC.The following diagram shows a suggested pattern for using Azure RBAC.

Azure RBAC и наименьшие права доступа

Дополнительные сведения о добавлении назначений ролей см. в разделе Добавление или удаление назначений ролей Azure с помощью портал Azure.For information about how to add role assignments, see Add or remove Azure role assignments using the Azure portal.

Ограничение числа владельцев подпискиLimit the number of subscription owners

У вас должно быть не более трех владельцев подписок, чтобы снизить вероятность нарушения защиты от скомпрометированного владельца.You should have a maximum of 3 subscription owners to reduce the potential for breach by a compromised owner. Эту рекомендацию можно отслеживать в центре безопасности Azure.This recommendation can be monitored in Azure Security Center. Другие рекомендации по удостоверениям и доступу в центре безопасности см. в разделе рекомендации по безопасности — справочное руководство.For other identity and access recommendations in Security Center, see Security recommendations - a reference guide.

Использование Azure AD Privileged Identity ManagementUse Azure AD Privileged Identity Management

Для защиты привилегированных учетных записей от вредоносных кибератак можно использовать технологию Azure Active Directory Privileged Identity Management (PIM), чтобы уменьшить продолжительность действия привилегий и повысить вашу осведомленность об их использовании с помощью отчетов и оповещений.To protect privileged accounts from malicious cyber-attacks, you can use Azure Active Directory Privileged Identity Management (PIM) to lower the exposure time of privileges and increase your visibility into their use through reports and alerts. PIM помогает защитить привилегированные учетные записи, предоставляя доступ в Azure AD и ресурсам Azure с правами на уровне пользователей.PIM helps protect privileged accounts by providing just-in-time privileged access to Azure AD and Azure resources. Доступ может быть ограничен временем, после которого права отзываются автоматически.Access can be time bound after which privileges are revoked automatically.

Дополнительные сведения см. в статье Что такое Azure AD Privileged Identity Management?For more information, see What is Azure AD Privileged Identity Management?.

Дальнейшие действияNext steps