Co to jest kontrola RBAC na platformie Azure?

  • 8 min

Jeśli chodzi o tożsamość i dostęp, dla większości organizacji, które rozważają korzystanie z chmury publicznej, istotne są dwie kwestie:

  1. Zapewnienie, że pracownicy po odejściu z organizacji stracą dostęp do zasobów w chmurze.
  2. Osiągnięcie właściwej równowagi między autonomią a centralnym zarządzaniem. Na przykład nadanie zespołom projektów możliwości tworzenia maszyn wirtualnych i zarządzania nimi w chmurze, jednocześnie centralnie kontrolując sieci używane przez te maszyny wirtualne do komunikowania się z innymi zasobami.

Microsoft Entra ID i Azure RBAC współpracują ze sobą, aby ułatwić realizację tych celów.

Subskrypcje platformy Azure

Najpierw należy pamiętać, że każda subskrypcja platformy Azure jest skojarzona z jednym katalogiem Microsoft Entra. Użytkownicy, grupy i aplikacje w tym katalogu mogą zarządzać zasobami w subskrypcji platformy Azure. Subskrypcje korzystają z identyfikatora Microsoft Entra ID na potrzeby logowania jednokrotnego i zarządzania dostępem. Lokalną usługę Active Directory można rozszerzyć na chmurę przy użyciu programu Microsoft Entra Connect. Ta funkcja umożliwia pracownikom zarządzanie subskrypcjami platformy Azure przy użyciu istniejących tożsamości służbowych. Po wyłączeniu konta lokalna usługa Active Directory automatycznie utraci dostęp do wszystkich subskrypcji platformy Azure połączonych z identyfikatorem Entra firmy Microsoft.

Co to jest kontrola dostępu oparta na rolach platformy Azure?

Kontrola dostępu oparta na rolach (RBAC) platformy Azure to system autoryzacji oparty na usłudze Azure Resource Manager, który zapewnia zarządzanie dostępem o wysokiej szczegółowości dla zasobów na platformie Azure. Dzięki kontroli dostępu na podstawie ról platformy Azure możesz udzielić użytkownikom dokładnie takiego dostępu, jakiego potrzebują do swojej pracy. Na przykład możesz użyć kontroli dostępu opartej na rolach platformy Azure, aby umożliwić jednemu pracownikowi zarządzanie maszynami wirtualnymi w ramach subskrypcji, podczas gdy inny zarządza bazami danych SQL w ramach tej samej subskrypcji.

W poniższym wideo opisano szczegółowo kontrolę dostępu opartą na rolach platformy Azure:

Dostęp można udzielić, przypisując odpowiednią rolę platformy Azure użytkownikom, grupom i aplikacjom w określonym zakresie. Zakres przypisania roli może być grupą zarządzania, subskrypcją, grupą zasobów lub pojedynczym zasobem. Rola przypisana w zakresie nadrzędnym powoduje udzielenie dostępu także w zawartych w nim zakresach podrzędnych. Na przykład użytkownik z dostępem do grupy zasobów może zarządzać wszystkimi zasobami, które zawiera, takimi jak witryny internetowe, maszyny wirtualne i podsieci. Przypisana rola platformy Azure określa, jakimi zasobami użytkownik, grupa lub aplikacja może zarządzać w obrębie tego zakresu.

Na poniższym diagramie przedstawiono, jak role klasycznego administratora subskrypcji, role platformy Azure i role firmy Microsoft Entra są powiązane na wysokim poziomie. Zakresy podrzędne, na przykład wystąpienia usługi, dziedziczą role przypisane w wyższym zakresie, jakim jest cała subskrypcja.

Diagram przedstawiający sposób, w jaki klasyczne role administratora subskrypcji, role platformy Azure i role firmy Microsoft Entra są powiązane na wysokim poziomie.

Na powyższym diagramie subskrypcja jest skojarzona tylko z jedną dzierżawą firmy Microsoft Entra. Należy również pamiętać, że grupa zasobów może mieć wiele zasobów, ale jest skojarzona tylko z jedną subskrypcją. Chociaż nie jest oczywiste na diagramie, zasób może być powiązany tylko z jedną grupą zasobów.

Co mogę zrobić dzięki kontroli dostępu na podstawie ról platformy Azure?

Kontrola dostępu na podstawie ról platformy Azure umożliwia udzielanie dostępu do zasobów platformy Azure, które kontrolujesz. Załóżmy, że masz zarządzać dostępem deweloperów, inżynierów i zespołów marketingowych do zasobów na platformie Azure. Zaczęły nadchodzić żądania dostępu i musisz szybko nauczyć się, jak działa zarządzanie dostępem w przypadku zasobów platformy Azure.

Poniżej przedstawiono kilka scenariuszy, które można zaimplementować za pomocą kontroli dostępu opartej na rolach platformy Azure:

  • Zezwalaj jednemu użytkownikowi na zarządzanie maszynami wirtualnymi w ramach subskrypcji i innym użytkownikiem na zarządzanie sieciami wirtualnymi.
  • Zezwalaj grupie administratorów bazy danych na zarządzanie bazami danych SQL w ramach subskrypcji.
  • Zezwalaj użytkownikowi na zarządzanie wszystkimi zasobami w grupie zasobów, takimi jak maszyny wirtualne, witryny internetowe i podsieci.
  • Zezwalaj aplikacji na dostęp do wszystkich zasobów w grupie zasobów.

Kontrola dostępu na podstawie ról platformy Azure w witrynie Azure Portal

W kilku obszarach w portalu Azure zostanie wyświetlone okienko o nazwie Kontrola dostępu (IAM), znane również jako zarządzanie tożsamościami i dostępem. W tym okienku możesz zobaczyć użytkowników z dostępem do danego obszaru oraz ich role. Przy użyciu tego samego okienka można udzielić dostępu lub odebrać go.

Poniżej przedstawiono przykład okienka Kontrola dostępu (IAM) dla grupy zasobów. W tym przykładzie użytkownik Alain ma przypisaną rolę Operator kopii zapasowej dla tej grupy zasobów.

Zrzut ekranu portalu Azure pokazujący okienko przypisania roli w kontroli dostępu z wyróżnioną sekcją Operator kopii zapasowej.

Jak działa kontrola dostępu na podstawie ról platformy Azure?

Dostęp do zasobów można kontrolować przy użyciu kontroli dostępu opartej na rolach platformy Azure, tworząc przypisania ról, które kontrolują sposób wymuszania uprawnień. Aby utworzyć przypisanie roli, musisz mieć trzy elementy: podmiot zabezpieczeń, definicję roli i zakres. Możesz myśleć o tych elementach jako o tym, kto, co i gdzie.

1. Podmiot zabezpieczeń (kto)

Podmiot zabezpieczeń to tylko fantazyjna nazwa użytkownika, grupy lub aplikacji, do której chcesz udzielić dostępu.

Ilustracja przedstawiająca zasadę zabezpieczeń, w tym użytkownika, grupę i zasadę usługi.

2. Definicja roli (co)

Definicja roli jest kolekcją uprawnień. Czasami jest nazywana po prostu rolą. Definicja roli zawiera listę uprawnień, które rola może wykonywać, takich jak odczyt, zapis i usuwanie. Role mogą być ogólne, na przykład „Właściciel”, lub szczegółowe, na przykład „Współautor maszyny wirtualnej”.

Ilustracja przedstawiająca różne wbudowane i niestandardowe role z powiększeniem definicji roli współautora.

Na platformie Azure można korzystać z kilku ról wbudowanych. Poniżej wymieniono cztery podstawowe role wbudowane:

  • Właściciel: ma pełny dostęp do wszystkich zasobów, w tym prawo do delegowania dostępu do innych osób.
  • Współautor: może tworzyć wszystkie typy zasobów platformy Azure i zarządzać nimi, ale nie może udzielać dostępu innym osobom.
  • Czytelnik: może wyświetlać istniejące zasoby platformy Azure.
  • Administrator dostępu użytkowników: umożliwia zarządzanie dostępem użytkowników do zasobów platformy Azure.

Jeśli role wbudowane nie spełniają potrzeb Twojej organizacji, możesz tworzyć własne role niestandardowe.

3. Zakres (gdzie)

Zakres to poziom, na którym ma zastosowanie dostęp. Jest to przydatne, jeśli chcesz, aby ktoś był współautorem witryny internetowej, ale tylko dla jednej grupy zasobów.

Na platformie Azure można określić zakres na różnych poziomach: grupy zarządzania, subskrypcji, grupy zasobów lub zasobu. Zakresy mają strukturę opartą na relacji nadrzędny-podrzędny. Po udzieleniu dostępu w zakresie nadrzędnym zakresy podrzędne automatycznie dziedziczą te uprawnienia. Jeśli na przykład grupa ma przypisaną rolę Współautora w zakresie subskrypcji, będzie dziedziczyć tę rolę dla wszystkich grup zasobów i zasobów w ramach subskrypcji.

Ilustracja przedstawiająca hierarchiczną reprezentację różnych poziomów platformy Azure w celu zastosowania zakresu. Hierarchia, począwszy od najwyższego poziomu, jest w następującej kolejności: grupa zarządzania, subskrypcja, grupa zasobów i zasób.

Przypisanie roli

Po ustaleniu „kto, co i gdzie” możesz połączyć te elementy w celu udzielenia dostępu. Przypisanie roli to proces powiązania roli z podmiotem zabezpieczeń w określonym zakresie w celu udzielenia dostępu. Aby udzielić dostępu, utworzysz przypisanie roli. Aby odwołać dostęp, usuniesz przypisanie roli.

Poniższy przykład pokazuje przypisanie roli Współautor do grupy Marketing w zakresie grupy zasobów sprzedaży.

Ilustracja przedstawiająca przykładowy proces przypisywania roli dla grupy Marketing, która jest kombinacją podmiotu zabezpieczeń, definicji roli i zakresu. Grupa Marketing mieści się w obszarze podmiotu zabezpieczeń grupy i ma przypisaną rolę współpracownika dla zakresu grupy zasobów.

Kontrola dostępu na podstawie ról platformy Azure to model zezwalania

Kontrola dostępu oparta na rolach platformy Azure to model zezwalania. Oznacza to, że gdy otrzymasz przypisaną rolę, system Azure RBAC pozwala na wykonywanie określonych działań, takich jak czytanie, zapis lub usuwanie. Jeśli jedno przypisanie roli udziela uprawnień do odczytu do grupy zasobów, a inne przypisanie roli przyznaje uprawnienia do zapisu do tej samej grupy zasobów, wówczas będziesz mieć uprawnienia do odczytu i zapisu dla tej grupy zasobów.

Kontrola dostępu na podstawie ról platformy Azure obejmuje tzw. uprawnienia NotActions. Możesz użyć NotActions polecenia , aby utworzyć zestaw niedozwolonych uprawnień. Uprawnienia, które są nadane przez rolę—skuteczne uprawnienia—są obliczane przez odejmowanie operacji NotActions od operacji Actions. Na przykład rola Współautor ma wartość Actions i NotActions. Symbol wieloznaczny (*) w elemencie Actions wskazuje, że może wykonywać wszystkie operacje na płaszczyźnie sterowania. Następnie należy odjąć następujące operacje, NotActions aby obliczyć obowiązujące uprawnienia:

  • Usuń role i przypisania ról
  • Utwórz role i przypisania ról
  • Udzielanie użytkownikowi wywołującego dostępu administratora dostępu użytkowników w zakresie dzierżawy
  • Utwórz lub zaktualizuj wszelkie artefakty strategii
  • Usuń wszelkie artefakty strategii