實作角色型存取控制
安全的雲端資源存取管理對在雲端中運作的企業而言非常重要。 角色型存取控制 (RBAC) 這種機制,可協助您管理有權存取您 Azure 資源的人員。 RBAC 讓您判斷特定使用者可在特定資源上執行的作業,並控制每位使用者可以存取的資源區域。
Azure RBAC 是以 Azure Resource Manager 為基礎的授權系統。 Azure RBAC 可對 Azure 資源提供更精細的存取管理。
關於 Azure RBAC 的須知事項
以下是可使用 Azure RBAC 執行的工作:
允許應用程式存取資源群組中的所有資源。
允許一位使用者管理訂閱中的 VM,並讓另一位使用者管理虛擬網路。
允許資料庫管理員 (DBA) 群組管理訂用帳戶中的 SQL 資料庫。
允許使用者管理資源群組中的所有資源,例如 VM、網站和子網路。
Azure RBAC 概念
下表描述 Azure RBAC 的核心概念。
| 概念 | 描述 | 範例 |
|---|---|---|
| 安全性主體 | 代表要求存取資源之要求者的物件。 | 使用者、群組、服務主體、受控識別 |
| 角色定義 | 列出允許作業的權限集。 Azure RBAC 隨附於內建角色定義,但您也可以建立自己的自訂角色定義。 | 一些內建角色定義:「讀者」、「參與者」參與者、「擁有者」、「使用者存取系統管理員」 |
| 範圍 | 所要求之存取「層級」界限,或所授與之存取權「多寡」。 | 管理群組、訂用帳戶、資源群組、資源 |
| 角色指派 | 指派將角色定義附加至特定範圍的安全性主體。 使用者可建立 (附加) 角色的指派,授與於角色定義中描述的存取權。 | - 將「使用者存取系統管理員」角色指派給範圍設定為管理群組的系統管理員群組 - 將「參與者」角色指派給範圍設定為訂閱的使用者 |
使用 Azure 原則時的考量事項
當您考慮如何在組織內實作角色和範圍指派時,請考慮下列幾點:
考慮您的要求者。 規劃您的策略,以因應所有的資源存取類型。 凡要求存取您資源的要求者,系統都會為其建立安全性主體。 判斷誰是您組織中的要求者。 要求者可以是內部或外部的使用者、使用者群組、應用程式和服務、資源等等。
考慮您的角色。 檢查組織中的工作職責和工作案例類型。 角色通常是環繞為完成工作或達到工作目標的需求所建置。 某些使用者,例如系統管理員、公司控管員和工程師,所需的存取層級可能超過大部分使用者。 您可以定義某些角色,為小組或部門所有成員提供特定資源或應用程式的相同存取權。
考慮權限範圍。 思考如何透過控制角色指派的權限範圍,確保安全性。 概述您需要支援的權限類型和範圍層級。 您可以針對單一角色套用不同的範圍層級,以支援不同案例的要求者。
考慮內建或自訂定義。 檢閱 Azure RBAC 的內建角色定義。 內建角色可依原樣使用,或加以調整使符合組織的特定需求。 您也可以從頭開始建立自訂角色定義。