إدارة البيانات والتحكم في الوصول المستند إلى الأدوار للتحليات على نطاق السحابة في Azure
التخويل هو إجراء منح الطرف المصادق عليه إذنا لتنفيذ إجراء. المبدأ الرئيسي للتحكم في الوصول هو منح المستخدمين مقدار الوصول الذي يحتاجون إليه للقيام بمهامهم فقط والسماح بإجراءات معينة في نطاق معين فقط. يتوافق الأمان المستند إلى الدور/التحكم في الوصول المستند إلى الدور (RBAC) مع التحكم في الوصول ويتم استخدامه من قبل العديد من المؤسسات للتحكم في الوصول استنادا إلى أدوار محددة أو وظائف وظيفية مقابل مستخدمين فرديين. ثم يتم تعيين دور أمان واحد أو أكثر للمستخدمين، يتم منح كل منها أذونات معتمدة لتنفيذ مهام محددة.
عند استخدام Azure Active Directory (Azure AD) كموفر هوية مركزي، يمكن منح التخويل للوصول إلى خدمات البيانات والتخزين لكل مستخدم أو لكل تطبيق ويستند إلى هوية Azure AD. يغطي التخويل التحكم في الوصول استنادا إلى الدور إلى قائمة التحكم في الخدمة والوصول على مستوى الملف أو المجلد أو الكائن في التخزين.
تخويل خدمة البيانات
يتضمن Microsoft Azure التحكم في الوصول استنادا إلى الدور القياسي والمضمن، وهو نظام تخويل مبني على Azure Resource Manager يوفر إدارة وصول مفصلة إلى موارد Azure. تساعد أدوار التحكم في الوصول استنادا إلى الدور على التحكم في الوصول إلى الموارد؛ ما الذي يمكن أن يفعله أساس الأمان أو المستخدم أو المجموعة أو الخدمة أو التطبيق بالموارد والمناطق التي يمكنهم الوصول إليها؟ عند التخطيط لاستراتيجية التحكم في الوصول، يوصى بمنح المستخدمين فقط مقدار الوصول الذي يحتاجونه لأداء وظائفهم والسماح بإجراءات معينة فقط في نطاق معين.
الأدوار المضمنة التالية أساسية لجميع أنواع موارد Azure، بما في ذلك خدمات بيانات Azure:
| الوصف | |
|---|---|
| مالك: | هذا الدور لديه حق الوصول الكامل إلى المورد ويمكنه إدارة كل شيء حول المورد، بما في ذلك الحق في منح حق الوصول إليه. |
| المساهم: | يمكن لهذا الدور إدارة المورد ولكن لا يمكنه منح حق الوصول إليه. |
| القارئ: | يمكن لهذا الدور عرض المورد والمعلومات عنه (باستثناء المعلومات الحساسة مثل مفاتيح الوصول أو الأسرار)، ولكن لا يمكنهم إجراء أي تغييرات على المورد. |
بعض الخدمات لها أدوار RBAC محددة مثل Storage Blob Data Contributor أو Data Factory Contributor، ما يعني أنه يجب استخدام أدوار RBAC محددة لهذه الخدمات. التحكم في الوصول استنادا إلى الدور هو نموذج إضافي حيث تعد إضافة تعيينات الأدوار إذنا نشطا. يدعم التحكم في الوصول استنادا إلى الدور أيضا رفض التعيينات التي لها الأسبقية على تعيينات الأدوار .
الممارسات العامة ل RBAC للتحليات على نطاق السحابة في Azure
يمكن أن تساعدك أفضل الممارسات التالية على البدء في التحكم في الوصول استنادا إلى الدور:
استخدم أدوار التحكم في الوصول استنادا إلى الدور لإدارة الخدمة والعمليات، واستخدم الأدوار الخاصة بالخدمة للوصول إلى البيانات والمهام الخاصة بحمل العمل: استخدم أدوار التحكم في الوصول استنادا إلى الدور على موارد Azure لمنح الإذن لأساسيات الأمان التي تحتاج إلى تنفيذ مهام إدارة الموارد والعمليات. لا تتطلب أساسيات الأمان التي تحتاج إلى الوصول إلى البيانات داخل التخزين دور التحكم في الوصول استنادا إلى الدور على المورد، لأنها لا تحتاج إلى إدارتها. بدلا من ذلك، امنح الإذن لعناصر البيانات مباشرة. على سبيل المثال، امنح حق الوصول للقراءة إلى مجلد في Azure Data Lake Storage Gen2 أو مستخدم قاعدة بيانات مضمنة وإذن جدول على قاعدة بيانات في قاعدة بيانات Azure SQL.
استخدم أدوار التحكم في الوصول استنادا إلى الدور المضمنة: أولا، استخدم أدوار موارد RBAC Azure المضمنة لإدارة الخدمات وتعيين أدوار العمليات للتحكم في الوصول. إنشاء أدوار مخصصة لموارد Azure واستخدامها فقط عندما لا تلبي الأدوار المضمنة احتياجات محددة.
استخدم المجموعات لإدارة الوصول: قم بتعيين الوصول إلى مجموعات Azure AD، وإدارة عضويات المجموعة لإدارة الوصول المستمر.
نطاقات الاشتراك ومجموعة الموارد: في حين أنه من المنطقي منح الوصول في نطاق مجموعة الموارد لفصل إدارة الخدمة واحتياجات الوصول إلى العمليات مقابل منح الوصول إلى الموارد الفردية (خاصة في البيئة غير الإنتاجية)، يمكنك بدلا من ذلك منح حق الوصول إلى الموارد الفردية للمهام الخاصة بحمل العمل مثل دعم نظام ملفات مستودع البيانات والعمليات، خاصة في بيئة الإنتاج. وذلك لأنه في البيئات غير الإنتاجية، سيحتاج المطورون والمختبرون إلى إدارة الموارد مثل إنشاء مسار استيعاب Azure Data Factory أو إنشاء حاوية في Data Lake Storage Gen2. أثناء الإنتاج، يحتاج المستخدمون فقط إلى استخدام موارد مثل عرض حالة مسار استيعاب Data Factory المجدول أو قراءة ملفات البيانات في Data Lake Storage Gen2.
لا تمنح حق الوصول غير الضروري في نطاق الاشتراك: يغطي هذا النطاق جميع الموارد داخل الاشتراك.
اختر الوصول الأقل امتيازا: حدد الدور الصحيح والوحي للوظيفة.