O que é o RBAC do Azure?

  • 8 minutos

Quando se trata de identidade e acesso, a maioria das organizações que estão considerando usar a nuvem pública estão preocupadas com duas coisas:

  1. Garantir que as pessoas perderão o acesso aos recursos na nuvem quando saírem da organização.
  2. Atingindo o equilíbrio certo entre autonomia e governança central. Por exemplo, dar às equipes de projeto a capacidade de criar e gerenciar máquinas virtuais na nuvem, controlando centralmente as redes que essas VMs usam para se comunicar com outros recursos.

A ID do Microsoft Entra e o RBAC do Azure trabalham em conjunto para simplificar a realização dessas metas.

Assinaturas do Azure

Primeiro, lembre-se de que cada assinatura do Azure está associada a um só diretório do Microsoft Entra. Usuários, grupos e aplicativos nesse diretório podem gerenciar recursos na assinatura do Azure. As assinaturas usam o Microsoft Entra ID para o SSO (logon único) e o gerenciamento de acesso. Você pode estender seu Active Directory local para a nuvem usando o Microsoft Entra Connect. Esse recurso permite que seus funcionários gerenciem suas assinaturas do Azure usando suas identidades de trabalho existentes. Quando você desabilita uma conta do Active Directory local, ela perde automaticamente o acesso a todas as assinaturas do Azure conectadas ao Microsoft Entra ID.

O que é o RBAC do Azure?

O RBAC do Azure é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso refinado para recursos no Azure. Com o RBAC do Azure, você pode conceder o acesso exato de que os usuários precisam para realizar os trabalhos deles. Por exemplo, você pode usar o RBAC do Azure para permitir que um funcionário gerencie máquinas virtuais em uma assinatura, enquanto outro gerencia bancos de dados SQL na mesma assinatura.

O vídeo a seguir descreve o RBAC do Azure em detalhes:

Você pode conceder acesso ao atribuir a função do Azure apropriada a usuários, grupos e aplicativos em determinado escopo. O escopo de uma atribuição de função pode ser um grupo de gerenciamento, uma assinatura, um grupo de recursos ou um único recurso. Uma função atribuída a um escopo pai também concede acesso aos escopos filho contidos nele. Por exemplo, um usuário com acesso a um grupo de recursos pode gerenciar todos os recursos que ele contém, como sites, máquinas virtuais e sub-redes. A função do Azure que você atribui determina quais recursos o usuário, o grupo ou o aplicativo pode gerenciar dentro do escopo.

O diagrama a seguir mostra como as funções de administrador da assinatura clássica, as funções do Azure e as funções do Microsoft Entra se relacionam em um alto nível. Escopos filho, como instâncias de serviço, herdam funções atribuídas em um escopo superior, como uma assinatura inteira.

Diagrama que descreve como as funções de administrador de assinatura clássicas, as funções do Azure e as funções do Microsoft Entra estão relacionadas em um alto nível.

No diagrama anterior, uma assinatura está associada apenas a um locatário do Microsoft Entra. Observe também que um grupo de recursos pode ter vários recursos, mas está associado a apenas uma assinatura. Embora não seja óbvio no diagrama, um recurso pode ser associado a apenas um grupo de recursos.

O que posso fazer com o RBAC do Azure?

Com o RBAC do Azure, você permite acesso aos recursos do Azure que você controla. Suponha que você precise gerenciar o acesso aos recursos no Azure para as equipes de desenvolvimento, engenharia e marketing. Você começou a receber solicitações de acesso e precisa aprender rapidamente como funciona o gerenciamento de acesso aos recursos do Azure.

Estes são alguns cenários que você pode implementar com o RBAC do Azure:

  • Permitir que um usuário gerencie máquinas virtuais em uma assinatura e outro usuário gerencie redes virtuais.
  • Permitir que um grupo de administradores de banco de dados gerencie bancos de dados SQL em uma assinatura.
  • Permitir que um usuário gerencie todos os recursos em um grupo de recursos, como máquinas virtuais, sites e sub-redes.
  • Permitir que um aplicativo acesse todos os recursos em um grupo de recursos.

RBAC do Azure no portal do Azure

Em várias áreas no portal do Azure, você verá um painel chamado controle de acesso (IAM), também conhecido como gerenciamento de identidade e acesso. Nesse painel, você pode ver quem tem acesso a essa área e a função. Usando esse mesmo painel, você pode conceder ou remover o acesso.

Veja a seguir um exemplo do painel Controle de acesso (IAM) para um grupo de recursos. Neste exemplo, Alain recebeu a função Operador de Backup no grupo de recursos.

Captura de tela do portal do Azure mostrando o painel atribuição de função de controle de acesso com a seção Operador de Backup realçada.

Como funciona o RBAC do Azure?

Você pode controlar o acesso aos recursos usando o RBAC do Azure com a criação de atribuições de função, que controlam como as permissões são impostas. Para criar uma atribuição de função, você precisa de três elementos: uma entidade de segurança, uma definição de função e um escopo. Você pode pensar nesses elementos como quem, o quê e onde.

1. Entidade de segurança (quem)

Uma entidade de segurança é apenas um nome sofisticado para um usuário, grupo ou aplicativo ao qual você deseja conceder acesso.

Uma ilustração mostrando a entidade de segurança, incluindo usuário, grupo e entidade de serviço.

2. Definição de função (o que)

Uma definição de função é uma coleção de permissões. Às vezes, é chamada apenas de função. Uma definição de função lista as permissões que a função pode executar, como leitura, gravação e exclusão. As funções podem ser de alto nível, como Proprietário, ou específicas, como Colaborador da Máquina Virtual.

Uma ilustração listando diferentes funções internas e personalizadas com zoom na definição da função de colaborador.

O Azure inclui várias funções internas que você pode usar. Esta é uma lista das quatro funções internas fundamentais:

  • Proprietário: tem acesso total a todos os recursos, incluindo o direito de delegar acesso a outras pessoas.
  • Colaborador: pode criar e gerenciar todos os tipos de recursos do Azure, mas não pode conceder acesso a outras pessoas.
  • Leitor: pode exibir recursos existentes do Azure.
  • Administrador de Acesso do Usuário: permite gerenciar o acesso do usuário aos recursos do Azure.

Se as funções internas não atenderem às necessidades específicas da sua organização, você poderá criar suas próprias funções personalizadas.

3. Escopo (onde)

O escopo é o nível em que o acesso se aplica. Isso é útil se você quiser tornar alguém um Colaborador do Site, mas apenas para um grupo de recursos.

No Azure, você pode especificar um escopo em vários níveis: grupo de gerenciamento, assinatura, grupo de recursos ou recurso. Os escopos são estruturados em uma relação pai-filho. Quando você concede acesso em um escopo pai, os escopos filhos herdam automaticamente essas permissões. Por exemplo, se um grupo for atribuído à função Colaborador no escopo da assinatura, ele herdará a função para todos os grupos de recursos e recursos dentro da assinatura.

Uma ilustração mostrando uma representação hierárquica de diferentes níveis do Azure para aplicar o escopo. A hierarquia, começando com o nível mais alto, está nessa ordem: grupo de gerenciamento, assinatura, grupo de recursos e recurso.

Atribuição de função

Depois de determinar quem, o quê e onde, você poderá combinar esses elementos para conceder acesso. Uma atribuição de função é o processo de associar uma função a uma entidade de segurança em um escopo específico com a finalidade de conceder acesso. Para conceder acesso, crie uma atribuição de função. Para revogar o acesso, remova uma atribuição de função.

O exemplo a seguir mostra como o grupo de Marketing recebeu a função Colaborador no escopo do grupo de recursos de vendas.

Uma ilustração mostrando um processo de atribuição de função de exemplo para o Grupo de Marketing, que é uma combinação de principal de segurança, definição da função e escopo. O Grupo de Marketing se enquadra no principal de segurança de grupo e tem uma função de Colaborador atribuída para o escopo do Grupo de Recursos.

O RBAC do Azure é um modelo de permissões

O RBAC do Azure é um modelo de permissão. Isso significa que, quando você recebe uma função, o RBAC do Azure permite que você execute determinadas ações, como leitura, gravação ou exclusão. Se uma atribuição de função conceder permissões de leitura a um grupo de recursos e uma atribuição de função diferente conceder permissões de gravação para o mesmo grupo de recursos, você terá permissões de leitura e gravação nesse grupo de recursos.

O RBAC do Azure tem as chamadas permissões NotActions. Você pode usar NotActions para criar um conjunto de permissões não autorizadas. O acesso que uma função concede, as permissões efetivas, é computado subtraindo as NotActions operações das Actions operações. Por exemplo, a função Colaborador tem ambos Actions e NotActions. O curinga (*) em Actions indica que ela pode executar todas as operações no plano de controle. Então você deve subtrair as seguintes operações em NotActions para calcular as permissões efetivas:

  • Excluir funções e atribuições de função
  • Criar funções e atribuições de função
  • Conceda ao chamador o acesso de Administrador de Acesso do Usuário no escopo do locatário
  • Criar ou atualizar qualquer artefato de blueprint
  • Excluir quaisquer artefatos de blueprint