Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?What is Azure role-based access control (Azure RBAC)?

Bulut kaynakları için erişim yönetimi, bulutu kullanan tüm kuruluşlar için kritik öneme sahip bir işlevdir.Access management for cloud resources is a critical function for any organization that is using the cloud. Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına kimlerin erişebileceğini, bu kaynaklarla neler yapabileceğini ve hangi alanların erişebileceğini yönetmenize yardımcı olur.Azure role-based access control (Azure RBAC) helps you manage who has access to Azure resources, what they can do with those resources, and what areas they have access to.

Azure RBAC, Azure kaynakları üzerinde ayrıntılı erişim yönetimi sağlayan Azure Resource Manager yerleşik bir yetkilendirme sistemidir.Azure RBAC is an authorization system built on Azure Resource Manager that provides fine-grained access management of Azure resources.

Bu videoda, Azure RBAC 'e hızlı bir genel bakış sunulmaktadır.This video provides a quick overview of Azure RBAC.

Azure RBAC ile ne yapabilirim?What can I do with Azure RBAC?

Azure RBAC ile yapabilecekleriniz için bazı örnekler şunlardır:Here are some examples of what you can do with Azure RBAC:

  • Bir kullanıcıya abonelikteki sanal makineleri yönetme, başka bir kullanıcıya ise sanal ağları yönetme izni vermeAllow one user to manage virtual machines in a subscription and another user to manage virtual networks
  • Bir DBA grubuna abonelikteki SQL veritabanlarını yönetme izni vermeAllow a DBA group to manage SQL databases in a subscription
  • Bir kullanıcının sanal makineler, web siteleri ve alt ağlar gibi bir kaynak grubundaki tüm kaynakları yönetmesine izin vermeAllow a user to manage all resources in a resource group, such as virtual machines, websites, and subnets
  • Bir uygulamaya bir kaynak grubundaki tüm kaynaklara erişim izni vermeAllow an application to access all resources in a resource group

Azure RBAC nasıl çalışmaktadırHow Azure RBAC works

Azure RBAC kullanarak kaynaklara erişimi denetlemenize olanak sağlamak, Azure rollerini atamadır.The way you control access to resources using Azure RBAC is to assign Azure roles. Bu, anlaşılması için önemli bir kavramdır. Bu, izinlerin nasıl zorlandığını öğrenin.This is a key concept to understand – it's how permissions are enforced. Rol ataması üç öğeden oluşur: güvenlik sorumlusu, rol tanımı ve kapsam.A role assignment consists of three elements: security principal, role definition, and scope.

Güvenlik sorumlusuSecurity principal

Güvenlik sorumlusu, Azure kaynakları için erişim isteyen kullanıcıyı, grubu, hizmet sorumlusunu veya yönetilen kimliği temsil eden bir nesnedir.A security principal is an object that represents a user, group, service principal, or managed identity that is requesting access to Azure resources. Bu güvenlik sorumlularının herhangi birine bir rol atayabilirsiniz.You can assign a role to any of these security principals.

Rol ataması için güvenlik sorumlusu

Rol tanımıRole definition

Rol tanımı, izinlerden oluşan bir koleksiyondur.A role definition is a collection of permissions. Genellikle bir rol olarak adlandırılır.It's typically just called a role. Rol tanımı; okuma, yazma ve silme gibi gerçekleştirilebilecek işlemleri listeler.A role definition lists the operations that can be performed, such as read, write, and delete. Roller sahip gibi üst düzey veya sanal makine okuyucusu gibi sınırlı olabilir.Roles can be high-level, like owner, or specific, like virtual machine reader.

Rol ataması için rol tanımı

Azure, kullanabileceğiniz çeşitli yerleşik roller içerir.Azure includes several built-in roles that you can use. Örneğin Sanal Makine Katılımcısı rolü, kullanıcının sanal makine oluşturmasını ve yönetmesini sağlar.For example, the Virtual Machine Contributor role allows a user to create and manage virtual machines. Yerleşik roller kuruluşunuzun belirli ihtiyaçlarını karşılamıyorsa, kendi Azure özel rollerinizide oluşturabilirsiniz.If the built-in roles don't meet the specific needs of your organization, you can create your own Azure custom roles.

Bu videoda, yerleşik roller ve özel roller hakkında hızlı bir genel bakış sunulmaktadır.This video provides a quick overview of built-in roles and custom roles.

Azure 'da bir nesne içindeki verilere erişim izni vermenizi sağlayan veri işlemleri vardır.Azure has data operations that enable you to grant access to data within an object. Örneğin kullanıcının bir depolama hesabında verileri okuma erişimi varsa bu kullanıcı ilgili depolama hesabındaki blobları veya iletileri okuyabilir.For example, if a user has read data access to a storage account, then they can read the blobs or messages within that storage account.

Daha fazla bilgi için bkz. Azure rol tanımlarını anlama.For more information, see Understand Azure role definitions.

KapsamScope

Kapsam , erişimin uygulandığı kaynak kümesidir.Scope is the set of resources that the access applies to. Bir rol atadığınızda kapsam tanımlayarak izin verilen eylemleri sınırlandırabilirsiniz.When you assign a role, you can further limit the actions allowed by defining a scope. Bu, birine bir Web sitesi katılımcısıyapmak istiyorsanız ancak yalnızca bir kaynak grubu için yararlıdır.This is helpful if you want to make someone a Website Contributor, but only for one resource group.

Azure 'da, dört düzeyde bir kapsam belirtebilirsiniz: Yönetim grubu, abonelik, kaynak grubuveya kaynak.In Azure, you can specify a scope at four levels: management group, subscription, resource group, or resource. Kapsamlar üst-alt ilişkisiyle yapılandırılmıştır.Scopes are structured in a parent-child relationship. Bu kapsam düzeylerinden herhangi birine roller atayabilirsiniz.You can assign roles at any of these levels of scope.

Rol ataması kapsamı

Kapsam hakkında daha fazla bilgi için bkz. kapsamı anlama.For more information about scope, see Understand scope.

Rol atamalarıRole assignments

Rol ataması , erişim vermek amacıyla belirli bir kapsamdaki Kullanıcı, Grup, hizmet sorumlusu veya yönetilen kimliğe bir rol tanımı ekleme işlemidir.A role assignment is the process of attaching a role definition to a user, group, service principal, or managed identity at a particular scope for the purpose of granting access. Erişim, rol ataması oluşturularak sağlanır ve rol ataması kaldırıldığında iptal edilir.Access is granted by creating a role assignment, and access is revoked by removing a role assignment.

Aşağıdaki diyagramda rol ataması örneği gösterilmektedir.The following diagram shows an example of a role assignment. Bu örnekte Marketing grubuna pharma-sales kaynak grubu için Katkıda bulunan rolü atanmıştır.In this example, the Marketing group has been assigned the Contributor role for the pharma-sales resource group. Bu da Marketing grubundaki kullanıcıların pharma-sales kaynak grubunda tüm Azure kaynaklarını oluşturma veya yönetme işlemlerini gerçekleştirebileceği anlamına gelir.This means that users in the Marketing group can create or manage any Azure resource in the pharma-sales resource group. Başka bir rol atamasına sahip olmayan Marketing kullanıcılarının pharma-sales kaynak grubu dışındaki kaynaklara erişimi yoktur.Marketing users do not have access to resources outside the pharma-sales resource group, unless they are part of another role assignment.

Erişim denetimi için rol ataması

Azure portal, Azure CLı, Azure PowerShell, Azure SDK 'Ları veya REST API 'Lerini kullanarak roller atayabilirsiniz.You can assign roles using the Azure portal, Azure CLI, Azure PowerShell, Azure SDKs, or REST APIs.

Daha fazla bilgi için bkz. Azure rolü atama adımları.For more information, see Steps to assign an Azure role.

Çoklu rol atamalarıMultiple role assignments

Birden çok çakışan rol atamalarınız varsa ne olur?So what happens if you have multiple overlapping role assignments? Azure RBAC, bir eklenebilir modeldir, bu nedenle etkili izinleriniz rol atamalarınızın toplamıdır.Azure RBAC is an additive model, so your effective permissions are the sum of your role assignments. Bir kullanıcıya, abonelik kapsamında katkıda bulunan rolü ve bir kaynak grubundaki okuyucu rolü verildiğinde aşağıdaki örneği göz önünde bulundurun.Consider the following example where a user is granted the Contributor role at the subscription scope and the Reader role on a resource group. Katkıda bulunan izinlerinin ve okuyucu izinlerinin toplamı, aboneliğin katkıda bulunan rolü için etkili bir roldür.The sum of the Contributor permissions and the Reader permissions is effectively the Contributor role for the subscription. Bu nedenle, bu durumda okuyucu rolü atamasının hiçbir etkisi yoktur.Therefore, in this case, the Reader role assignment has no impact.

Çoklu rol atamaları

Reddetme atamalarıDeny assignments

Daha önce, Azure RBAC reddetme olmayan bir izin verme modelidir, ancak artık Azure RBAC, atamaları sınırlı bir şekilde reddetme olanağı desteklemektedir.Previously, Azure RBAC was an allow-only model with no deny, but now Azure RBAC supports deny assignments in a limited way. Bir rol atamasına benzer şekilde, reddetme atama , erişimi reddetmek amacıyla belirli bir kapsamdaki bir Kullanıcı, Grup, hizmet sorumlusu veya yönetilen kimliğe reddetme eylemleri kümesi iliştirir.Similar to a role assignment, a deny assignment attaches a set of deny actions to a user, group, service principal, or managed identity at a particular scope for the purpose of denying access. Bir rol ataması izin verilen bir dizi eylemi tanımlar, ancak reddetme ataması izin verilmeyen bir dizi eylemi tanımlar.A role assignment defines a set of actions that are allowed, while a deny assignment defines a set of actions that are not allowed. Başka bir deyişle, reddetme atamaları kullanıcıların belirtilen eylemleri gerçekleştirmesini (rol ataması izin vermiş olsa bile) engeller.In other words, deny assignments block users from performing specified actions even if a role assignment grants them access. Reddetme atamaları rol atamalarından daha önceliklidir.Deny assignments take precedence over role assignments.

Daha fazla bilgi için bkz. Azure reddetme atamalarını anlama.For more information, see Understand Azure deny assignments.

Azure RBAC, bir kullanıcının kaynağa erişip erişemeyeceğini nasıl belirlerHow Azure RBAC determines if a user has access to a resource

Aşağıda, Azure RBAC 'in yönetim düzleminde bir kaynağa erişiminizin olup olmadığını belirlemede kullandığı üst düzey adımlar verilmiştir.The following are the high-level steps that Azure RBAC uses to determine if you have access to a resource on the management plane. Bunları anlamak, bir erişim sorununu gidermeye çalışırken işinize yarayabilir.This is helpful to understand if you are trying to troubleshoot an access issue.

  1. Kullanıcı (veya hizmet sorumlusu) Azure Resource Manager için bir belirteç alır.A user (or service principal) acquires a token for Azure Resource Manager.

    Belirteç kullanıcının grup üyeliğini (geçişli grup üyelikleri de dahil) içerir.The token includes the user's group memberships (including transitive group memberships).

  2. Kullanıcı, belirteci de ekleyerek Azure Resource Manager'a bir REST API çağrısı yapar.The user makes a REST API call to Azure Resource Manager with the token attached.

  3. Azure Resource Manager, üzerinde eylem gerçekleştirilen kaynak için geçerli olan tüm rol atamalarını ve reddetme atamalarını alır.Azure Resource Manager retrieves all the role assignments and deny assignments that apply to the resource upon which the action is being taken.

  4. Azure Resource Manager, rol atamalarını bu kullanıcıya veya onun grubuna uygulananlarla daraltır ve kullanıcının bu kaynak için hangi role sahip olduğunu saptar.Azure Resource Manager narrows the role assignments that apply to this user or their group and determines what roles the user has for this resource.

  5. Azure Resource Manager, API çağrısındaki eylemin bu kaynak için kullanıcının sahip olduğu rollere eklenip eklenmediğini saptar.Azure Resource Manager determines if the action in the API call is included in the roles the user has for this resource.

  6. Kullanıcının istenen kapsamda eyleme sahip bir rolü yoksa erişime izin verilmez.If the user doesn't have a role with the action at the requested scope, access is not granted. Aksi takdirde, Azure Resource Manager bir reddetme atamasının geçerli olup olmadığını denetler.Otherwise, Azure Resource Manager checks if a deny assignment applies.

  7. Reddetme ataması geçerliyse, erişim engellenir.If a deny assignment applies, access is blocked. Aksi takdirde erişim izni verilir.Otherwise access is granted.

Lisans gereksinimleriLicense requirements

Bu özelliğin kullanılması ücretsiz ve Azure aboneliğinize dahildir.Using this feature is free and included in your Azure subscription.

Sonraki adımlarNext steps