Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek popisuje některé osvědčené postupy pro používání řízení přístupu na základě role v Azure (Azure RBAC). Tyto osvědčené postupy vycházejí z našich zkušeností s Azure RBAC a zkušenostmi zákazníků, jako jste vy.
Udělte uživatelům pouze přístup, který potřebují.
Pomocí Azure RBAC můžete oddělit povinnosti v rámci týmu a udělit uživatelům jenom takový přístup, který potřebují k výkonu své práce. Místo udělení neomezených oprávnění ve vašem předplatném Nebo prostředcích Azure můžete povolit pouze určité akce v určitém rozsahu.
Při plánování strategie řízení přístupu je osvědčeným postupem udělit uživatelům nejnižší oprávnění k práci. Vyhněte se přiřazování širších rolí v širších oborech, i když se zdá, že je to zpočátku pohodlnější. Při vytváření vlastních rolí zahrňte jenom potřebná oprávnění. Omezením rolí a rozsahů omezíte, jaké prostředky jsou ohroženy, pokud je subjekt zabezpečení někdy ohrožen.
Následující diagram znázorňuje navrhovaný vzor pro použití Azure RBAC.
Informace o přiřazování rolí najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
Omezení počtu vlastníků předplatného
Abyste snížili riziko porušení zabezpečení ze strany napadeného vlastníka, měli byste mít maximálně 3 vlastníky předplatného. Toto doporučení je možné monitorovat v programu Microsoft Defender for Cloud. Další doporučení pro identitu a přístup v Defenderu pro cloud najdete v tématu Doporučení zabezpečení – referenční příručka.
Omezení přiřazení rolí privilegovaného správce
Některé role jsou identifikovány jako privilegované role správce. Zvažte provedení následujících akcí, abyste zlepšili stav zabezpečení:
- Remove unnecessary privileged role assignments.
- Vyhněte se přiřazování role privilegovaného správce, pokud je možné místo toho použít roli funkce úlohy .
- Pokud musíte přiřadit roli privilegovaného správce, použijte úzký obor, například skupinu prostředků nebo prostředek, místo širšího oboru, jako je skupina pro správu nebo předplatné.
- Pokud přiřazujete roli s oprávněním k vytváření přiřazení rolí, zvažte přidání podmínky pro omezení přiřazení role. Další informace najdete v tématu Delegování správy přiřazení rolí Azure ostatním s podmínkami.
Další informace najdete v tématu Seznam nebo správa přiřazení rolí privilegovaného správce.
Použití služby Microsoft Entra Privileged Identity Management
K ochraně privilegovaných účtů před škodlivými kybernetickými útoky můžete pomocí služby Microsoft Entra Privileged Identity Management (PIM) snížit dobu vystavení oprávnění a zvýšit viditelnost jejich používání prostřednictvím sestav a výstrah. PIM pomáhá chránit privilegované účty tím, že poskytuje právě včas privilegovaný přístup k Microsoft Entra ID a prostředkům Azure. Přístup může být vázaný na čas, po kterém se oprávnění automaticky odvolají.
Další informace naleznete v tématu Co je Microsoft Entra Privileged Identity Management?.
Přiřazení rolí skupinám, nikoli uživatelům
Pokud chcete lépe spravovat přiřazení rolí, vyhněte se přiřazování rolí přímo uživatelům. Místo toho přiřaďte role skupinám. Přiřazování rolí ke skupinám místo uživatelů také pomáhá minimalizovat počet přiřazení rolí, které mají omezení přiřazení rolí na předplatné.
Přiřazujte role pomocí jedinečného ID rolí namísto názvu rolí
Někdy se může změnit název role, například:
- Používáte svou vlastní roli a rozhodli jste se změnit její název.
- Používáte roli s náhledem, která má v názvu (Preview). Po uvolnění role se role přejmenuje.
I když je role přejmenována, ID role se nezmění. Pokud k vytváření přiřazení rolí používáte skripty nebo automatizaci, doporučujeme místo názvu role použít jedinečné ID role. Proto pokud se role přejmenuje, budou vaše skripty pravděpodobně fungovat.
Další informace najdete v tématu Přiřazení role pomocí jedinečného ID role a Azure PowerShellu a přiřazení role pomocí jedinečného ID role a Azure CLI.
Avoid using a wildcard when creating custom roles
Při vytváření vlastních rolí můžete k definování oprávnění použít zástupný znak (*). Místo použití zástupného znaku (Actions) doporučujeme explicitně zadat DataActions a *. The additional access and permissions granted through future Actions or DataActions might be unwanted behavior using the wildcard. Další informace najdete v tématu Vlastní role Azure.