فهم تعيينات دور Azure

مقالة
06/28/2024

تمكنك تعيينات الأدوار من منح حق الوصول الأساسي (مثل مستخدم أو مجموعة أو هوية مدارة أو كيان خدمة) إلى مورد Azure معين. توضح هذه المقالة تفاصيل تعيينات الأدوار.

تعيين الدور

يتم منح الوصول إلى موارد Azure عن طريق إنشاء تعيين دور، ويتم إبطال الوصول عن طريق إزالة تعيين دور.

يحتوي تعيين الدور على العديد من المكونات، بما في ذلك:

الأساسي، أو من تم تعيين الدور له.
الدور الذي تم تعيينه لهم.
النطاق الذي يتم تعيين الدور فيه.
اسم تعيين الدور ووصف يساعدك على شرح سبب تعيين الدور.

على سبيل المثال، يمكنك استخدام Azure RBAC لتعيين أدوار مثل:

لدى المستخدم سالي حق وصول المالك إلى حساب التخزين contoso123 في مجموعة الموارد ContosoStorage.
يتمتع كل شخص في مجموعة مسؤولي السحابة في معرف Microsoft Entra بإمكانية وصول القارئ إلى جميع الموارد في مجموعة الموارد ContosoStorage.
يسمح للهوية المدارة المقترنة بتطبيق بإعادة تشغيل الأجهزة الظاهرية ضمن اشتراك Contoso.

يوضح ما يلي مثالا على الخصائص في تعيين دور عند عرضه باستخدام Azure PowerShell:

{
  "RoleAssignmentName": "00000000-0000-0000-0000-000000000000",
  "RoleAssignmentId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "Scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
  "DisplayName": "User Name",
  "SignInName": "user@contoso.com",
  "RoleDefinitionName": "Contributor",
  "RoleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "ObjectId": "22222222-2222-2222-2222-222222222222",
  "ObjectType": "User",
  "CanDelegate": false,
  "Description": null,
  "ConditionVersion": null,
  "Condition": null
}

يوضح ما يلي مثالا على الخصائص في تعيين دور عند عرضه باستخدام Azure CLI أو واجهة برمجة تطبيقات REST:

{
  "canDelegate": null,
  "condition": null,
  "conditionVersion": null,
  "description": null,
  "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "name": "00000000-0000-0000-0000-000000000000",
  "principalId": "22222222-2222-2222-2222-222222222222",
  "principalName": "user@contoso.com",
  "principalType": "User",
  "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
  "roleDefinitionName": "Contributor",
  "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
  "type": "Microsoft.Authorization/roleAssignments"
}

يصف الجدول التالي معنى خصائص تعيين الدور.

الخاصية	‏‏الوصف
`RoleAssignmentName` `name`	اسم تعيين الدور، وهو معرف فريد عمومي (GUID).
`RoleAssignmentId` `id`	المعرف الفريد لتعيين الدور، والذي يتضمن الاسم.
`Scope` `scope`	معرف مورد Azure الذي يتم تحديد نطاق تعيين الدور له.
`RoleDefinitionId` `roleDefinitionId`	المعرف الفريد للدور.
`RoleDefinitionName` `roleDefinitionName`	اسم الدور.
`ObjectId` `principalId`	معرف كائن Microsoft Entra للمدير الذي لديه الدور المعين.
`ObjectType` `principalType`	نوع كائن Microsoft Entra الذي يمثله الأساسي. تتضمن `User`القيم الصالحة و `Group`و.`ServicePrincipal`
`DisplayName`	بالنسبة لتعيينات الأدوار للمستخدمين، اسم العرض للمستخدم.
`SignInName` `principalName`	الاسم الأساسي الفريد (UPN) للمستخدم، أو اسم التطبيق المقترن بكيان الخدمة.
`Description` `description`	وصف تعيين الدور.
`Condition` `condition`	عبارة الشرط التي تم إنشاؤها باستخدام إجراء واحد أو أكثر من تعريف الدور والسمات.
`ConditionVersion` `conditionVersion`	رقم إصدار الشرط. الافتراضيات إلى 2.0 وهي الإصدار الوحيد المدعوم.
`CanDelegate` `canDelegate`	غير مطبّق.

النطاق

عند إنشاء تعيين دور، تحتاج إلى تحديد النطاق الذي يتم تطبيقه عليه. يمثل النطاق المورد أو مجموعة الموارد التي يسمح للمدير بالوصول إليها. يمكنك تحديد نطاق تعيين دور لمورد واحد أو مجموعة موارد أو اشتراك أو مجموعة إدارة.

تلميح

استخدم أصغر نطاق تحتاج إليه لتلبية متطلباتك.

على سبيل المثال، إذا كنت بحاجة إلى منح حق الوصول إلى هوية مُدارة إلى حساب تخزين واحد، فمن الممارسات الأمنية الجيدة أن تقوم بإنشاء تعيين الدور في نطاق حساب التخزين، وليس في مجموعة الموارد أو نطاق الاشتراك.

لمزيد من المعلومات حول النطاق، انظر فهم النطاق.

الدور المراد تعيينه

يرتبط تعيين الدور بتعريف دور. يحدد تعريف الدور الأذونات التي يجب أن يكون لدى الأساسي ضمن نطاق تعيين الدور.

يمكنك تعيين تعريف دور مضمن أو تعريف دور مخصص. عند إنشاء تعيين دور، تتطلب بعض الأدوات استخدام معرف تعريف الدور بينما تسمح لك الأدوات الأخرى بتوفير اسم الدور.

لمزيد من المعلومات حول تعريفات الأدوار، راجع فهم تعريفات الأدوار.

أساسي

تتضمن الأساسيات المستخدمين ومجموعات الأمان والهويات المدارة وهويات حمل العمل وكيانات الخدمة. يتم إنشاء الأساسيات وإدارتها في مستأجر Microsoft Entra. يمكنك تعيين دور لأي كيان. استخدم معرف كائن معرف Microsoft Entra لتعريف الأساسي الذي تريد تعيين الدور إليه.

عند إنشاء تعيين دور باستخدام Azure PowerShell أو Azure CLI أو Bicep أو بنية أساسية أخرى كتقنيات التعليمات البرمجية (IaC)، فإنك تحدد النوع الأساسي. تتضمن الأنواع الأساسية المستخدم والمجموعة وServicePrincipal. من المهم تحديد النوع الأساسي الصحيح. وإلا، قد تحصل على أخطاء توزيع متقطعة، خاصة عند العمل مع كيانات الخدمة والهويات المُدارة.

الاسم

يجب أن يكون اسم مورد تعيين الدور معرفًا فريدًا عالميًا (GUID).

يجب أن تكون أسماء موارد تعيين الدور فريدة داخل مستأجر Microsoft Entra، حتى إذا كان نطاق تعيين الدور أضيق.

تلميح

عند إنشاء تعيين دور باستخدام مدخل Azure أو Azure PowerShell أو Azure CLI، تمنح عملية الإنشاء تعيين الدور اسما فريدا لك تلقائيا.

إذا قمت بإنشاء تعيين دور باستخدام Bicep أو بنية أساسية أخرى كتقنيات التعليمات البرمجية (IaC)، فستحتاج إلى التخطيط بعناية لكيفية تسمية تعيينات الأدوار الخاصة بك. لمزيد من المعلومات، راجع إنشاء موارد Azure RBAC باستخدام Bicep.

سلوك حذف الموارد

عند حذف مستخدم أو مجموعة أو كيان خدمة أو هوية مدارة من معرف Microsoft Entra، من الممارسات الجيدة حذف أي تعيينات أدوار. لا يتم حذفها تلقائيًا. أي تعيينات دور تشير إلى معرف أساسي محذوف تصبح غير صالحة.

إذا حاولت إعادة استخدام اسم تعيين دور لتعيين دور آخر، سيفشل النشر. من المرجح أن تحدث هذه المشكلة عند استخدام Bicep أو قالب Azure Resource Manager (قالب ARM) لنشر تعيينات الدور، لأنه يجب عليك تعيين اسم تعيين الدور بشكل صريح عند استخدام هذه الأدوات. لحل هذا السلوك، يجب إما إزالة تعيين الدور القديم قبل إعادة إنشائه، أو التأكد من استخدام اسم فريد عند توزيع تعيين دور جديد.

‏‏الوصف

يمكنك إضافة وصف نصي إلى تعيين دور. في حين أن الأوصاف اختيارية، فمن الممارسات الجيدة إضافتها إلى تعيينات الأدوار الخاصة بك. توفير مبرر قصير لماذا يحتاج الأساسي إلى الدور المعين. عندما يقوم شخص ما بمراجعة تعيينات الأدوار، يمكن أن تساعد الأوصاف في فهم سبب إنشائها وما إذا كانت لا تزال قابلة للتطبيق.

‏‏شروط

تدعم بعض الأدوار شروط تعيين الدور استنادا إلى السمات في سياق إجراءات محددة. يُعدشرط تعيين الدور فحصاً إضافياً يمكنك إضافته اختيارياً إلى تعيين الدور لتوفير المزيد من مراقبة الوصول الذي يتطلب انتباهاً كبيراً.

على سبيل المثال، يمكنك إضافة شرط يتطلب أن يكون لعنصر علامة معينة للمستخدم لقراءة الكائن.

عادة ما تقوم بإنشاء شروط باستخدام محرر شرط مرئي، ولكن إليك ما يبدو عليه مثال الشرط في التعليمات البرمجية:

((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'))

يسمح الشرط السابق للمستخدمين بقراءة الكائنات الثنائية كبيرة الحجم باستخدام مفتاح علامة فهرس كائن ثنائي كبير الحجم ل Project وقيمة تتالي.

لمزيد من المعلومات حول الشروط، راجع ما هو التحكم في الوصول المستند إلى سمة Azure (Azure ABAC)؟

التكامل مع إدارة الهويات المتميزة (معاينة)

هام

تكامل تعيين دور Azure مع إدارة الهويات المتميزة قيد المعاينة حاليا. للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي، أو المعاينة، أو التي لم يتم إصدارها بعد في التوفر العام، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.

إذا كان لديك ترخيص Microsoft Entra ID P2 أو Microsoft Entra ID Governance، يتم دمج Microsoft Entra إدارة الهويات المتميزة (PIM) في خطوات تعيين الدور. على سبيل المثال، يمكنك تعيين أدوار للمستخدمين لفترة زمنية محدودة. يمكنك أيضا جعل المستخدمين مؤهلين لتعيينات الأدوار بحيث يجب عليهم التنشيط لاستخدام الدور، مثل طلب الموافقة. توفر تعيينات الأدوار المؤهلة وصولا في الوقت المناسب إلى دور لفترة زمنية محدودة. لا يمكنك إنشاء تعيينات أدوار مؤهلة للتطبيقات أو أساسيات الخدمة أو الهويات المدارة لأنها لا تستطيع تنفيذ خطوات التنشيط. يتم نشر هذه الإمكانية على مراحل، لذلك قد لا تكون متوفرة بعد في المستأجر الخاص بك أو قد تبدو واجهتك مختلفة.

قد تختلف خيارات نوع التعيين المتوفرة لك وفقا لنهج إدارة الهويات المتميزة (PIM). على سبيل المثال، يحدد نهج إدارة الهويات المتميزة ما إذا كان يمكن إنشاء التعيينات الدائمة، والحد الأقصى للمدة للتعيينات المحددة زمنيا، ومتطلبات تنشيط الأدوار (الموافقة، أو المصادقة متعددة العوامل، أو سياق مصادقة الوصول المشروط)، وإعدادات أخرى. لمزيد من المعلومات، راجع تكوين إعدادات دور مورد Azure في إدارة الهويات المتميزة.

لفهم PIM بشكل أفضل، يجب عليك مراجعة المصطلحات التالية.

المصطلح أو المفهوم	فئة تعيين الأدوار	‏‏الوصف
مؤهل	نوع	تعيين دور يتطلب من المستخدم تنفيذ إجراء واحد أو أكثر لاستخدام الدور. إذا أصبح المستخدم مؤهلاً للحصول على دور، فهذا يعني أنه يمكنه تنشيط الدور عندما يحتاج إلى تنفيذ مهام متميزة. لا يوجد فرق في الوصول الممنوح لشخص لديه تعيين دور دائم مقابل تعيين دور مؤهل. الفرق الوحيد هو أن بعض الناس لا يحتاجون إلى هذا الوصول طوال الوقت.
active	نوع	تعيين دور لا يتطلب من المستخدم تنفيذ أي إجراء لاستخدام الدور. المستخدمون المعينون على أنهم نشطين لديهم الامتيازات المعينة للدور.
تنشيط		عملية تنفيذ إجراء واحد أو أكثر لاستخدام دور مؤهل له المستخدم. قد تتضمن الإجراءات إجراء فحص مصادقة متعددة العوامل (MFA)، أو توفير مبرر عمل، أو طلب موافقة من الموافقين المعينين.
مؤهل دائم	المدة	تعيين دور يكون فيه المستخدم مؤهلاً دائماً لتنشيط الدور.
نشط دائم	المدة	تعيين دور حيث يمكن للمستخدم دائما استخدام الدور دون تنفيذ أي إجراءات.
مؤهل محدد بوقت	المدة	تعيين دور يكون فيه المستخدم مؤهلاً لتنشيط الدور فقط في تاريخ البدء وتاريخ الانتهاء.
نشط محدد زمنياً	المدة	تعيين دور يكون فيه المستخدم مؤهلاً لتنشيط الدور فقط في تاريخ البدء وتاريخ الانتهاء.
الوصول في الوقت المناسب (JIT)		طراز يتلقى المستخدمون فيه أذونات مؤقتة لأداء مهام متميزة، مما يمنع المستخدمين الضارين أو غير المعتمدين من الوصول بعد انتهاء صلاحية الأذونات. يُمنح الوصول فقط عندما يحتاج إليه المستخدمون.
مبدأ أدنى وصول متميز		ممارسة أمان موصى بها حيث يُزود كل مستخدم بالحد الأدنى فقط من الامتيازات اللازمة لإنجاز المهام المخولة له بتنفيذها. تقلل هذه الممارسة من عدد المسؤولين العموميين وتستخدم بدلاً من ذلك أدوار مسؤول معينة لسيناريوهات معينة.

لمزيد من المعلومات، راجع ما هو Microsoft Entra إدارة الهويات المتميزة؟.

مشاركة عبر