O que é o RBAC do Azure?

  • 8 minutos

Em termos de identidade e acesso, a maioria das organizações que consideram a utilização da cloud pública preocupa-se com dois aspetos:

  1. Garantir que, quando as pessoas saírem da organização, irão perder acesso aos recursos na cloud.
  2. Encontrar o justo equilíbrio entre autonomia e governação central. Por exemplo, dar às equipes de projeto a capacidade de criar e gerenciar máquinas virtuais na nuvem, enquanto controlam centralmente as redes que essas VMs usam para se comunicar com outros recursos.

O Microsoft Entra ID e o Azure RBAC trabalham juntos para simplificar a realização dessas metas.

Subscrições do Azure

Primeiro, lembre-se de que cada assinatura do Azure está associada a um único diretório do Microsoft Entra. Os utilizadores, grupos e aplicações nesse diretório podem gerir recursos na subscrição do Azure. As assinaturas usam o Microsoft Entra ID para logon único (SSO) e gerenciamento de acesso. Você pode estender seu Ative Directory local para a nuvem usando o Microsoft Entra Connect. Esta funcionalidade permite aos seus colaboradores gerir as subscrições do Azure com as respetivas identidades de trabalho existentes. Quando você desabilita uma conta do Ative Directory local, ela perde automaticamente o acesso a todas as assinaturas do Azure conectadas à ID do Microsoft Entra.

O que é o Azure RBAC?

O RBAC do Azure é um sistema de autorização criado no Azure Resource Manager que fornece gerenciamento de acesso refinado para recursos no Azure. Com o RBAC do Azure, pode conceder o acesso exato de que os utilizadores precisam para realizar as suas tarefas. Por exemplo, você pode usar o RBAC do Azure para permitir que um funcionário gerencie máquinas virtuais em uma assinatura, enquanto outro gerencia bancos de dados SQL dentro da mesma assinatura.

O vídeo a seguir descreve o RBAC do Azure em detalhes:

Você pode conceder acesso atribuindo a função apropriada do Azure a usuários, grupos e aplicativos em um determinado escopo. O escopo de uma atribuição de função pode ser um grupo de gerenciamento, uma assinatura, um grupo de recursos ou um único recurso. Uma função atribuída num âmbito principal também concede acesso aos âmbitos subordinados no mesmo. Por exemplo, um usuário com acesso a um grupo de recursos pode gerenciar todos os recursos que ele contém, como sites, máquinas virtuais e sub-redes. A função do Azure que atribui define que recursos o utilizador, o grupo ou a aplicação pode gerir nesse âmbito.

O diagrama a seguir mostra como as funções clássicas de administrador de assinatura, funções do Azure e funções do Microsoft Entra estão relacionadas em alto nível. Escopos filhos, como instâncias de serviço, herdam funções atribuídas num escopo mais elevado, como uma subscrição inteira.

Diagrama que mostra como as funções clássicas de administrador de assinatura, funções do Azure e funções do Microsoft Entra estão relacionadas em um alto nível.

No diagrama anterior, uma assinatura é associada a apenas um locatário do Microsoft Entra. Observe também que um grupo de recursos pode ter vários recursos, mas está associado a apenas uma assinatura. Embora não seja óbvio no diagrama, um recurso pode ser vinculado a apenas um grupo de recursos.

O que posso fazer com o RBAC do Azure?

O RBAC do Azure permite-lhe conceder acesso a recursos do Azure que controla. Imaginemos que precisa de gerir o acesso das equipas de desenvolvimento, engenharia e marketing a recursos no Azure. Começou a receber pedidos de acesso e precisa de aprender rapidamente como a gestão de acesso funciona para recursos do Azure.

Aqui estão alguns cenários que você pode implementar com o Azure RBAC:

  • Permitir que um usuário gerencie máquinas virtuais em uma assinatura e outro usuário gerencie redes virtuais.
  • Permitir que um grupo de administradores de banco de dados gerencie bancos de dados SQL em uma assinatura.
  • Permitir que um usuário gerencie todos os recursos em um grupo de recursos, como máquinas virtuais, sites e sub-redes.
  • Permitir que um aplicativo acesse todos os recursos em um grupo de recursos.

RBAC do Azure no portal do Azure

Em várias áreas no portal do Azure, você verá um painel chamado Controle de acesso (IAM), também conhecido como gerenciamento de identidade e acesso. Neste painel, pode ver quem tem acesso a essa área e a respetiva função. Através deste mesmo neste painel, pode conceder ou remover o acesso.

A seguir é apresentado um exemplo do painel Controlo de acesso (IAM) para um grupo de recursos. Neste exemplo, Alain recebeu a função Operador de Backup para esse grupo de recursos.

Captura de ecrã do portal do Azure a mostrar o painel de atribuição de Função de controlo de acesso com a secção Operador de cópia de segurança realçada.

Como funciona o RBAC do Azure?

Você pode controlar o acesso aos recursos usando o RBAC do Azure criando atribuições de função, que controlam como as permissões são impostas. Para criar uma atribuição de função, precisa de três elementos: um principal de segurança, uma definição de função e um âmbito. Você pode pensar nesses elementos como quem, o quê e onde.

1. Principal de segurança (quem)

Uma entidade de segurança é apenas um nome sofisticado para um usuário, grupo ou aplicativo ao qual você deseja conceder acesso.

Obter uma ilustração que mostra o principal de segurança, incluindo o utilizador, grupo e principal de serviço.

2. Definição de funções (o quê)

Uma definição de função é uma coleção de permissões. Por vezes, é designada apenas por função. Uma definição de função lista as permissões que a função pode executar, como leitura, gravação e exclusão. As funções podem ser de nível elevado, como Proprietário, ou específicas, como Contribuidor de Máquina Virtual.

Obter uma listagem de ilustrações diferentes incorporadas e funções personalizadas com zoom sobre a definição da função de contribuidor.

O Azure inclui várias funções incorporadas que pode utilizar. São apresentadas em seguida quatro funções incorporadas fundamentais:

  • Proprietário: Tem acesso total a todos os recursos, incluindo o direito de delegar acesso a outros.
  • Colaborador: pode criar e gerenciar todos os tipos de recursos do Azure, mas não pode conceder acesso a outros.
  • Leitor: pode exibir recursos existentes do Azure.
  • Administrador de Acesso de Usuário: Permite gerenciar o acesso do usuário aos recursos do Azure.

Se as funções incorporadas não suprirem as necessidades específicas da sua organização, pode criar as suas próprias funções personalizadas.

3. Âmbito de aplicação (em que)

O âmbito é o nível em que o acesso se aplica. Isso é útil se você quiser tornar alguém um Colaborador do Site, mas apenas para um grupo de recursos.

No Azure, pode especificar um âmbito a vários níveis: grupo de gestão, subscrição, grupo de recursos ou recurso. Os âmbitos são estruturados numa relação de principal-subordinado. Quando você concede acesso em um escopo pai, os escopos filho herdam automaticamente essas permissões. Por exemplo, se for atribuída a um grupo a função de Colaborador no escopo da assinatura, ele herdará a função para todos os grupos de recursos e recursos dentro da assinatura.

Uma ilustração mostrando uma representação hierárquica de diferentes níveis do Azure para aplicar o escopo. A hierarquia, começando com o nível mais alto, está nesta ordem: Grupo de gerenciamento, assinatura, grupo de recursos e recurso.

Atribuição de função

Depois de ter determinado "quem", "o quê" e "onde", pode combinar esses elementos para conceder acesso. Uma atribuição de função é o processo de vincular uma função a uma entidade de segurança em um escopo específico com a finalidade de conceder acesso. Para conceder acesso, você criará uma atribuição de função. Para revogar o acesso, você removerá uma atribuição de função.

No exemplo que se segue, é mostrada a forma como a função de Contribuidor foi atribuída ao grupo Marketing no âmbito do grupo de recursos de vendas.

Uma ilustração mostrando um exemplo de processo de atribuição de função para o grupo de Marketing, que é uma combinação de entidade de segurança, definição de função e escopo. O grupo Marketing se enquadra na entidade de segurança do Grupo e tem uma função de Colaborador atribuída para o escopo do grupo de Recursos.

O RBAC do Azure é um modelo de permissões

O RBAC do Azure é um modelo de permissão . Isso significa que, quando uma função é atribuída, o RBAC do Azure permite que você execute determinadas ações, como ler, gravar ou excluir. Se uma atribuição de função lhe conceder permissões de leitura a um grupo de recursos e uma atribuição de função diferente lhe conceder permissões de escrita para o mesmo grupo de recursos, então terá permissões de leitura e escrita nesse grupo de recursos.

O RBAC do Azure tem algo chamado permissões NotActions. Você pode usar NotActions para criar um conjunto de permissões não permitidas. O acesso que uma função concede — as permissões efetivas — é calculado subtraindo as NotActions operações das Actions operações. Por exemplo, a função Contribuidor tem Actions e NotActions. O caráter universal (*) em Actions indica que pode executar todas as operações no plano de controlo. Em seguida, subtraia as seguintes operações para NotActions calcular as permissões efetivas:

  • Eliminar funções e atribuições de funções
  • Criar funções e atribuições de funções
  • Conceda ao chamador acesso de Administrador de Acesso de Usuário no escopo do locatário
  • Criar ou atualizar artefactos de esquema
  • Eliminar todos os artefactos de esquema