Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Kontrola dostępu oparta na rolach (RBAC) platformy Azure definiuje, kto może uzyskiwać dostęp do zasobów platformy Azure, jakie akcje mogą wykonywać, oraz gdzie mogą je wykonywać. Ta struktura poprawia ład, bezpieczeństwo i przejrzystość operacyjną w środowisku chmury.
Wymaganie wstępne:tworzenie konta platformy Azure. Startupy sprawdzą, czy kwalifikujesz się do kredytów Azure.
Stosowanie najniższych uprawnień do wszystkich przypisań dostępu
Zasada najniższych uprawnień gwarantuje, że użytkownicy otrzymają tylko uprawnienia wymagane do wykonywania swoich zadań. Takie podejście zmniejsza ryzyko i zwiększa możliwość inspekcji.
Zacznij od ról wbudowanych. Azure RBAC oferuje wbudowane role z uprawnieniami dopasowanymi do typowych scenariuszy. Zacznij od wbudowanych ról i utwórz tylko role niestandardowe, gdy będzie to konieczne. Zacznij od ról funkcji zadań i używaj tylko ról administratora uprzywilejowanego (właściciel, współautor, czytelnik, administrator kontroli dostępu opartej na rolach i administrator dostępu użytkowników), gdy role funkcji zadania nie są wystarczające.
Przypisz role z minimalnymi uprawnieniami. Każda rola zawiera zestaw uprawnień zdefiniowanych w definicji roli. Wybierz role, które udzielają tylko uprawnień niezbędnych do obowiązków użytkownika. Unikaj nadmiernego udostępniania dostępu.
Przypisz role w najwęższym możliwym zakresie. Zakres roli określa, gdzie mają zastosowanie uprawnienia. Przypisz role w zakresie wymaganym do wykonywania podstawowych zadań.
Zakres roli Description Grupa zarządzania Uprawnienia roli mają zastosowanie do wszystkich subskrypcji i zasobów w grupie zarządzania. Subscription Uprawnienia roli mają zastosowanie do wszystkich grup zasobów i zasobów w ramach subskrypcji. Grupa zasobów Uprawnienia roli mają zastosowanie do wszystkich zasobów w tej grupie zasobów. Resource Uprawnienia roli dotyczą tylko określonego zasobu (na przykład wystąpienia usługi Foundry).
Aby uzyskać szczegółowe instrukcje, zobacz Stosowanie ról RBAC platformy Azure.
Zarządzanie dostępem do zasobów przy użyciu grup
Zamiast przypisywać role do poszczególnych użytkowników, przypisz je do grup identyfikatorów Entra firmy Microsoft. Ta struktura zwiększa skalowalność, audytowalność i zarządzanie dzięki scentralizowaniu przypisań ról.
Utwórz grupy zabezpieczeń na podstawie zakresu dostępu. Zdefiniuj grupy zabezpieczeń, które odzwierciedlają zakres dostępu, na przykład na poziomie zasobu, grupy zasobów lub subskrypcji. Na przykład utwórz oddzielne grupy dla środowisk deweloperskich, testowych i produkcyjnych, takich jak AI-Developer-Dev, AI-Developer-Test, AI-Developer-Prod. Ta struktura wymusza najmniejszą izolację środowiska. Aby uzyskać instrukcje tworzenia grupy zabezpieczeń, zobacz w Zarządzanie grupami Microsoft Entra ID.
Przypisz role do grup w najniższym wymaganym zakresie. Zastosuj zasadę najniższych uprawnień podczas przypisywania ról do grup. Unikaj przypisywania ról w wyższych zakresach, chyba że jest to wymagane. Takie podejście zmniejsza ryzyko i upraszcza inspekcje.
Uściślij strukturę grup w miarę rozwoju środowiska. Dostosuj definicje grup, aby odzwierciedlały zmiany obciążeń, zespołów lub obowiązków. To uściślenie zapewnia ciągłą przejrzystość i kontrolę nad dostępem. Przykład:
Rola biznesowa Potrzeba biznesowa Nazwa grupy Rola Azure RBAC Zakres uprawnień Właściciele subskrypcji Zarządzanie kontrolą dostępu, zarządzaniem i rozliczeniami dotyczącymi całej subskrypcji Właściciele subskrypcji Właściciel Poziom subskrypcji Deweloperzy sztucznej inteligencji Tworzenie i wdrażanie modeli w narzędziu Foundry Sztuczna inteligencja —Foundry-Dev Contributor Poziom grupy zasobów Finance Przeglądanie raportów dotyczących rozliczeń, użycia i kosztów Finance-Readers Czytelnik Poziom subskrypcji Ogranicz przypisania ról właścicieli. Rola Właściciel udziela pełnego dostępu do zarządzania zasobami i przypisywania ról w Azure RBAC. Ogranicz tę rolę do trzech lub mniej użytkowników na subskrypcję. Przejrzyj i dostosuj domyślne przypisanie właściciela konta dla twórców subskrypcji w razie potrzeby.
Regularne przeglądanie dostępu
Przeglądy dostępu zapewniają, że uprawnienia pozostaną odpowiednie w miarę kończenia ról lub projektów przez użytkowników.
Zaplanuj miesięczne lub kwartalne przeglądy dostępu. Przejrzyj zarówno role Microsoft Entra ID, jak i przypisania Azure RBAC. Szybkie usuwanie niepotrzebnych ról w celu zachowania zabezpieczeń.
Użyj zautomatyzowanych narzędzi, aby usprawnić przeglądy. Użyj narzędzi, takich jak Access Review (Microsoft Entra ID Premium P2) lub wyeksportuj przypisania ról do sprawdzania ręcznego. Traktuj zarządzanie dostępem jako bieżące utrzymanie.