التحكم في الوصول استناداً إلى الدور
- 9 دقائق
من أحد الجوانب الرئيسية لإدارة خدمات السحابة لمؤسسة هو التحكم في الوصول إلى موارد السحابة. وهذا يعني التأكد من أن المستخدمين الذين يحتاجون إلى الوصول إلى خدمة أو أحد مكوناتها لديهم هذا الوصول، بينما لا يملك الآخرون ذلك. تعرف هذه العملية باسم إدارة الهوية والوصول (IAM). في Azure وAWS وGCP، يتم تحقيق IAM باستخدام تقنية تعرف باسم التحكم في الوصول المستند إلى الدور (RBAC).
باستخدام RBAC، يتم تعيين دور واحد أو أكثر للمستخدمين أو مجموعات المستخدمين. لكل دور اسم وصفي، ويستخدم الأذونات لتعريف الإجراءات التي يمكن للمعينين لهم تنفيذها على الموارد المتضمنة. على سبيل المثال، قد يتمكن مستخدم معين لدور "القارئ"، المعرف لمجموعة موارد من عرض الموارد في مجموعة الموارد هذه، ولكن لا يمكن تعديله أو حذفه.
يتم التحكم في قدرة المستخدم على الوصول إلى الموارد بواسطة:
- الأدوار التي تم تعيينها لهم،
- الأدوار المعينة لأي مجموعات ينتمي إليها المستخدم، و
- نطاقات موارد الأدوار.
نطاق المورد هو مستوى في التسلسل الهرمي لمورد السحابة. في Azure، على سبيل المثال، يمكن أن تنطبق الأدوار على الموارد الفردية أو مجموعات الموارد أو الاشتراكات بالكامل (وفي هذه الحالة يتم تطبيق أذونات الدور على كافة الموارد التي تم إنشاؤها تحت اشتراك معين) أو مجموعات من الاشتراكات. من خلال تطبيق أدوار مختلفة على نطاقات مختلفة في القائمة الهيكلة للموارد، يمكنك الحصول على تحكم دقيق على من لديه أذونات للقيام بما في داخل المؤسسة.
في المثال في الشكل 3-6، يتم توفير مجموعة من الموارد ضمن اشتراك السحابة ويتم تنظيمها في مجموعتين من الموارد. مجموعة مستخدمين تسمى الهندسة يتم تعيين دور يسمى "القارئ" يسمح لأعضاء المجموعة بعرض كافة الموارد التي تم إنشاؤها تحت الاشتراك. في نفس الوقت، مستخدمة تدعى أوريليا داير يتم تعيين دور "المساهم" يسمح لها بتعديل أي من الموارد في مجموعة الموارد A، ودور "المالك" الذي يتيح لها حذف مورد تطبيق ويب في نفس مجموعة الموارد. لنفترض أن أوريليا داير عضو في مجموعة الهندسة. تعني هذه الأذونات أنها تستطيع:
- عرض كافة الموارد التي تم إنشاؤها تحت الاشتراك
- تعديل الموردين في مجموعة الموارد أ--على سبيل المثال، تغيير إعدادات التكوين في تطبيق ويب 1 أو تغيير إعدادات النسخ المتماثل لحساب التخزين 1
- حذف مورد تطبيق ويب 1 في مجموعة الموارد أ
في حين يمكن أن ترى أوريليا الموارد في مجموعة الموارد ب، ولكنها لا يمكن تعديلها أو حذفها.
الشكل 3-6: التحكم في الوصول المستند إلى الأدوار والأذونات الفعالة.
نظرًا إلى أنه يمكن تعيين عدة أدوار للمستخدم، قد يكون هناك بعض القلق حول كيفية معالجة الأذونات المتعارضة. حاليًا، يدعم موفرو الخدمات السحابية الرئيسيون "السماح" بالأذونات في تطبيقات التحكم في الوصول المستند إلى الأدوار الخاصة بهم، ولكنهم يقدمون القليل من الدعم أو لا يوفرون أي دعم لأذونات "الرفض". (فقط Azure يدعم أذونات "الرفض"، وفي سياقات محدودة فقط. إذا تعارض إذن "الرفض" مع إذن "السماح"، فإن الأسبقية لـ "الرفض".) نظراً لأن أذونات "السماح" هي أذونات إضافية، فلا يمكن أن تتعارض معها بعضها البعض: أذونات المستخدم هي ببساطة مجموع أذونات "السماح" المختلفة في كل نطاق قابل للتطبيق.
اختبر معلوماتك
الملاحظات
هل كانت هذه الصفحة مفيدة؟
لا
هل تحتاج إلى مساعدة مع هذا الموضوع؟
هل تريد محاولة استخدام Ask Learn لتوضيح هذا الموضوع أو إرشادك خلاله؟