Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?

  • Makale
  • Okumak için 4 dakika

Bulut kaynakları için erişim yönetimi, bulutu kullanan tüm kuruluşlar için kritik öneme sahip bir işlevdir. Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına kimlerin erişebileceğini, bu kaynaklarla neler yapabileceğini ve hangi alanların erişebileceğini yönetmenize yardımcı olur.

Azure RBAC, Azure kaynakları üzerinde ayrıntılı erişim yönetimi sağlayan Azure Resource Manager yerleşik bir yetkilendirme sistemidir.

Bu videoda, Azure RBAC 'e hızlı bir genel bakış sunulmaktadır.

Azure RBAC ile ne yapabilirim?

Azure RBAC ile yapabilecekleriniz için bazı örnekler şunlardır:

  • Bir kullanıcıya abonelikteki sanal makineleri yönetme, başka bir kullanıcıya ise sanal ağları yönetme izni verme
  • Bir DBA grubuna abonelikteki SQL veritabanlarını yönetme izni verme
  • Bir kullanıcının sanal makineler, web siteleri ve alt ağlar gibi bir kaynak grubundaki tüm kaynakları yönetmesine izin verme
  • Bir uygulamaya bir kaynak grubundaki tüm kaynaklara erişim izni verme

Azure RBAC nasıl çalışmaktadır

Azure RBAC kullanarak kaynaklara erişimi denetlemenize olanak sağlamak, Azure rollerini atamadır. Bu, anlaşılması için önemli bir kavramdır. Bu, izinlerin nasıl zorlandığını öğrenin. Rol ataması üç öğeden oluşur: güvenlik sorumlusu, rol tanımı ve kapsam.

Güvenlik sorumlusu

Güvenlik sorumlusu, Azure kaynakları için erişim isteyen kullanıcıyı, grubu, hizmet sorumlusunu veya yönetilen kimliği temsil eden bir nesnedir. Bu güvenlik sorumlularının herhangi birine bir rol atayabilirsiniz.

Rol atamasının güvenlik sorumlusu türlerini gösteren diyagram.

Rol tanımı

Rol tanımı, izinlerden oluşan bir koleksiyondur. Genellikle bir rol olarak adlandırılır. Rol tanımı, okuma, yazma ve silme gibi gerçekleştirilebileceği eylemleri listeler. Roller sahip gibi üst düzey veya sanal makine okuyucusu gibi sınırlı olabilir.

Rol ataması için rol tanımı örneğini gösteren diyagram

Azure, kullanabileceğiniz çeşitli yerleşik roller içerir. Örneğin Sanal Makine Katılımcısı rolü, kullanıcının sanal makine oluşturmasını ve yönetmesini sağlar. Yerleşik roller kuruluşunuzun belirli ihtiyaçlarını karşılamıyorsa, kendi Azure özel rollerinizide oluşturabilirsiniz.

Bu videoda, yerleşik roller ve özel roller hakkında hızlı bir genel bakış sunulmaktadır.

Azure 'da bir nesne içindeki verilere erişim izni vermenizi sağlayan veri eylemleri vardır. Örneğin kullanıcının bir depolama hesabında verileri okuma erişimi varsa bu kullanıcı ilgili depolama hesabındaki blobları veya iletileri okuyabilir.

Daha fazla bilgi için bkz. Azure rol tanımlarını anlama.

Kapsam

Kapsam , erişimin uygulandığı kaynak kümesidir. Bir rol atadığınızda kapsam tanımlayarak izin verilen eylemleri sınırlandırabilirsiniz. Bu, birine bir Web sitesi katılımcısıyapmak istiyorsanız ancak yalnızca bir kaynak grubu için yararlıdır.

Azure 'da, dört düzeyde bir kapsam belirtebilirsiniz: Yönetim grubu, abonelik, kaynak grubuveya kaynak. Kapsamlar üst-alt ilişkisiyle yapılandırılmıştır. Bu kapsam düzeylerinden herhangi birine roller atayabilirsiniz.

Rol atamasının kapsam düzeylerini gösteren diyagram.

Kapsam hakkında daha fazla bilgi için bkz. kapsamı anlama.

Rol atamaları

Rol ataması , erişim vermek amacıyla belirli bir kapsamdaki Kullanıcı, Grup, hizmet sorumlusu veya yönetilen kimliğe bir rol tanımı ekleme işlemidir. Erişim, rol ataması oluşturularak sağlanır ve rol ataması kaldırıldığında iptal edilir.

Aşağıdaki diyagramda rol ataması örneği gösterilmektedir. Bu örnekte Marketing grubuna pharma-sales kaynak grubu için Katkıda bulunan rolü atanmıştır. Bu da Marketing grubundaki kullanıcıların pharma-sales kaynak grubunda tüm Azure kaynaklarını oluşturma veya yönetme işlemlerini gerçekleştirebileceği anlamına gelir. Başka bir rol atamasına sahip olmayan Marketing kullanıcılarının pharma-sales kaynak grubu dışındaki kaynaklara erişimi yoktur.

Güvenlik sorumlusu, rol tanımı ve kapsamın bir rol ataması oluşturma şeklini gösteren diyagram.

Azure portal, azure clı, Azure PowerShell, azure sdk 'ları veya REST apı 'lerini kullanarak roller atayabilirsiniz.

Daha fazla bilgi için bkz. Azure rolü atama adımları.

Gruplar

Rol atamaları gruplar için geçişlidir ve bu, bir Kullanıcı bir grubun üyesiyse ve bu grubun rol ataması olan başka bir grubun üyesi olması durumunda, kullanıcının rol atamasında izinlere sahip olacağı anlamına gelir.

Rol atamalarının gruplar için nasıl geçişli olduğunu gösteren diyagram.

Çoklu rol atamaları

Birden çok çakışan rol atamalarınız varsa ne olur? Azure RBAC, bir eklenebilir modeldir, bu nedenle etkili izinleriniz rol atamalarınızın toplamıdır. Bir kullanıcıya, abonelik kapsamında katkıda bulunan rolü ve bir kaynak grubundaki okuyucu rolü verildiğinde aşağıdaki örneği göz önünde bulundurun. Katkıda bulunan izinlerinin ve okuyucu izinlerinin toplamı, aboneliğin katkıda bulunan rolü için etkili bir roldür. Bu nedenle, bu durumda okuyucu rolü atamasının hiçbir etkisi yoktur.

Birden çok rol atamasının nasıl örtüşmesini gösteren diyagram.

Reddetme atamaları

Daha önce, Azure RBAC reddetme olmayan bir izin verme modelidir, ancak artık Azure RBAC, atamaları sınırlı bir şekilde reddetme olanağı desteklemektedir. Bir rol atamasına benzer şekilde, reddetme atama , erişimi reddetmek amacıyla belirli bir kapsamdaki bir Kullanıcı, Grup, hizmet sorumlusu veya yönetilen kimliğe reddetme eylemleri kümesi iliştirir. Bir rol ataması izin verilen bir dizi eylemi tanımlar, ancak reddetme ataması izin verilmeyen bir dizi eylemi tanımlar. Başka bir deyişle, reddetme atamaları kullanıcıların belirtilen eylemleri gerçekleştirmesini (rol ataması izin vermiş olsa bile) engeller. Reddetme atamaları rol atamalarından daha önceliklidir.

Daha fazla bilgi için bkz. Azure reddetme atamalarını anlama.

Azure RBAC, bir kullanıcının kaynağa erişip erişemeyeceğini nasıl belirler

Aşağıda, Azure RBAC 'nin bir kaynağa erişiminizin olup olmadığını belirlemede kullandığı üst düzey adımlar verilmiştir. Bu adımlar, Azure RBAC ile tümleştirilmiş Azure Resource Manager veya veri düzlemi Hizmetleri için geçerlidir. Bunları anlamak, bir erişim sorununu gidermeye çalışırken işinize yarayabilir.

  1. Kullanıcı (veya hizmet sorumlusu) Azure Resource Manager için bir belirteç alır.

    Belirteç kullanıcının grup üyeliğini (geçişli grup üyelikleri de dahil) içerir.

  2. Kullanıcı, belirteci de ekleyerek Azure Resource Manager'a bir REST API çağrısı yapar.

  3. Azure Resource Manager, üzerinde eylem gerçekleştirilen kaynak için geçerli olan tüm rol atamalarını ve reddetme atamalarını alır.

  4. Reddetme ataması geçerliyse, erişim engellenir. Aksi takdirde, değerlendirme devam eder.

  5. Azure Resource Manager, rol atamalarını bu kullanıcıya veya onun grubuna uygulananlarla daraltır ve kullanıcının bu kaynak için hangi role sahip olduğunu saptar.

  6. Azure Resource Manager, API çağrısındaki eylemin bu kaynak için kullanıcının sahip olduğu rollere eklenip eklenmediğini saptar. ActionsBir joker () olan roller içeriyorsa * , etkin izinler NotActions izin verilen öğesinden çıkarılarak hesaplanır Actions . Benzer şekilde, tüm veri eylemleri için aynı çıkarma yapılır.

    Actions - NotActions = Effective management permissions

    DataActions - NotDataActions = Effective data permissions

  7. Kullanıcının istenen kapsamda eyleme sahip bir rolü yoksa, erişime izin verilmez. Aksi takdirde, tüm koşullar değerlendirilir.

  8. Rol ataması koşulları içeriyorsa, bunlar değerlendirilir. Aksi takdirde erişime izin verilir.

  9. Koşullar karşılanıyorsa, erişime izin verilir. Aksi takdirde erişime izin verilmez.

Aşağıdaki diyagram, değerlendirme mantığının bir özetidir.

Bir kaynağa erişimi belirlemek için değerlendirme mantığı akış çizelgesi.

Lisans gereksinimleri

Bu özelliğin kullanılması ücretsiz ve Azure aboneliğinize dahildir.

Sonraki adımlar