Beskriva rollbaserad åtkomstkontroll i Azure
Hur kan du kontrollera vilken åtkomst ett visst team har till resurserna i din molnmiljö om det finns flera IT- och teknikteam? Principen om minsta behörighet säger att du bara ska bevilja åtkomst upp till den nivå som krävs för att slutföra en uppgift. Om du bara behöver läsåtkomst till en lagringsblob bör du endast beviljas läsbehörighet till lagringsbloben. Skrivåtkomst till den bloben bör inte beviljas och bör inte heller läsa åtkomst till andra lagringsblobar. Det är en bra säkerhetspraxis att följa.
Men att hantera den behörighetsnivån för ett helt team skulle bli omständligt. I stället för att definiera de detaljerade åtkomstkraven för varje individ och sedan uppdatera åtkomstkraven när nya resurser skapas eller nya personer ansluter till teamet kan du styra åtkomsten via rollbaserad åtkomstkontroll i Azure (Azure RBAC).
Azure innehåller inbyggda roller som beskriver vanliga åtkomstregler för molnresurser. Du kan också definiera egna roller. Varje roll har en associerad uppsättning åtkomstbehörigheter som hör ihop med rollen. När du tilldelar enskilda personer eller grupper till en eller flera roller får de alla associerade åtkomstbehörigheter.
Så om du anställer en ny tekniker och lägger till dem i Azure RBAC-gruppen för tekniker får de automatiskt samma åtkomst som de andra teknikerna i samma Azure RBAC-grupp. På samma sätt, om du lägger till ytterligare resurser och pekar Azure RBAC på dem, har alla i den Azure RBAC-gruppen nu dessa behörigheter för de nya resurserna samt de befintliga resurserna.
Hur tillämpas rollbaserad åtkomstkontroll på resurser?
Rollbaserad åtkomstkontroll tillämpas på ett omfång, som är en resurs eller uppsättning resurser som åtkomsten gäller för.
Följande diagram visar relationen mellan roller och omfång. En hanteringsgrupp, prenumeration eller resursgrupp kan få rollen ägare, så de har ökad kontroll och auktoritet. En övervakare, som inte förväntas göra några uppdateringar, kan få rollen Läsare för samma omfång, vilket gör det möjligt för dem att granska eller observera hanteringsgruppen, prenumerationen eller resursgruppen.
Exempel på omfång är:
- En hanteringsgrupp (en samling med flera prenumerationer.)
- En enstaka prenumeration.
- En resursgrupp.
- En enskild resurs.
Observatörer, användare som hanterar resurser, administratörer och automatiserade processer illustrerar vilka typer av användare eller konton som vanligtvis tilldelas var och en av de olika rollerna.
Azure RBAC är hierarkiskt eftersom dessa behörigheter ärvs av alla underordnade omfång när du beviljar åtkomst i ett överordnat omfång. Till exempel:
- När du tilldelar rollen Ägare till en användare i omfånget för en hanteringsgrupp kan användaren hantera allt i alla prenumerationer i hanteringsgruppen.
- När du tilldelar rollen Läsare till en grupp i prenumerationsomfånget kan medlemmarna i gruppen visa alla resursgrupper och resurser i prenumerationen.
Hur tillämpas Azure RBAC?
Azure RBAC tillämpas på alla åtgärder som initieras mot en Azure-resurs som passerar genom Azure Resource Manager. Resource Manager är en hanteringstjänst som ger ett sätt att organisera och säkra dina molnresurser.
Vanligtvis har du tillgång till Resource Manager från Azure-portalen, Azure Cloud Shell, Azure PowerShell och Azure CLI. Azure RBAC kräver inte åtkomstbehörigheter på program- eller datanivå. Programsäkerheten måste hanteras av ditt program.
Azure RBAC använder en tillåten modell. När du har tilldelats en roll kan du med Azure RBAC utföra åtgärder inom ramen för den rollen. Om en rolltilldelning ger dig läsbehörighet till en resursgrupp och en annan rolltilldelning ger dig skrivbehörighet till samma resursgrupp, så kommer du att ha både läs- och skrivbehörigheter i den resursgruppen.