描述 Azure 角色型存取控制
當您有多個 IT 和工程小組時,要如何控制其對雲端環境的資源擁有何種存取權? 最低權限準則表示您最高僅應授與完成工作所需層級的存取權。 如果您只需要儲存體 Blob 的讀取存取權,則應該僅授與該儲存體 Blob 的讀取存取權。 不應該授與該 Blob 的寫入存取權,也不應該授與其他儲存體 Blob 的讀取存取權。 這是一個絕佳的安全性做法。
不過,管理整個小組的權限層級會變得繁瑣。 您不需要定義每個人的詳細存取需求,然後在建立新資源或新人員加入小組時更新存取需求,Azure 可讓您透過 Azure 角色型存取控制 (Azure RBAC) 來控制存取。
Azure 提供內建角色來描述雲端資源的共通存取規則。 您也可以定義自己的角色。 每個角色都有一組與該角色相關的存取權限。 當您將個人或群組指派給一或多個角色時,其會獲得所有相關聯的存取權限。
因此,如果您雇用新的工程師,並將其新增至 Azure RBAC 工程師群組,這些工程師會自動取得與相同 Azure RBAC 群組中其他工程師相同的存取權。 同樣地,如果您新增其他資源並將 Azure RBAC 指向這些資源,則該 Azure RBAC 群組中的每個人員現在都會有新資源以及現有資源的這些權限。
如何將角色型存取控制套用至資源?
角色型存取控制會套用至某個範圍,這是可套用此存取權的一項資源或一組資源。
下圖顯示角色與範圍之間的關係。 管理群組、訂用帳戶或資源群組可能會獲得擁有者的角色,如此他們便已增加控制權和授權。 觀察者 (預期不會進行任何更新) 可能會獲得相同範圍的讀者角色,讓他們能夠檢閱或觀察管理群組、訂用帳戶或資源群組。
範圍包括:
- 管理群組 (多個訂閱的集合)。
- 單一訂閱。
- 資源群組。
- 單一資源。
觀察者、管理資源的使用者、系統管理員和自動化流程說明一般獲指派各個不同角色的使用者或帳戶類型。
Azure RBAC 是階層式的,因為當您在父範圍授與存取權時,所有子範圍都會繼承這些權限。 例如:
- 當您將擁有者角色指派給管理群組範圍中的使用者時,該使用者就可以管理管理群組內所有訂閱中的全部內容。
- 當您將讀者角色指派給訂閱範圍中的群組時,該群組的成員就可以檢視訂閱內的每一個資源群組和資源。
如何強制執行 Azure RBAC?
您可以針對透過 Azure Resource Manager 所傳遞 Azure 資源所起始的任何動作,強制執行 Azure RBAC。 Resource Manager 是可讓您組織和保護雲端資源的管理服務。
您通常可從 Azure 入口網站、Azure Cloud Shell、Azure PowerShell 和 Azure CLI 存取 Resource Manager。 Azure RBAC 不會在應用程式或資料層級施行存取權限。 應用程式安全性必須由您的應用程式掌控。
Azure RBAC 使用允許模型。 當您獲派角色時,Azure RBAC 可讓您在該角色的範圍內執行動作。 如果有一個角色指派授與您資源群組的讀取權限,而另一個不同角色指派授與您相同資源群組的寫入權限,您就同時擁有該資源群組的讀取與寫入權限。