Implementace řízení přístupu na základě role
Správa zabezpečeného přístupu pro cloudové prostředky je důležitá pro firmy, které pracují v cloudu. Řízení přístupu na základě role (RBAC) je mechanismus, který vám pomůže spravovat, kdo má přístup k vašim prostředkům Azure. RBAC umožňuje určit, jaké operace můžou konkrétní uživatelé dělat s konkrétními prostředky, a řídit, k jakým oblastem prostředku má každý uživatel přístup.
Azure RBAC je autorizační systém založený na Azure Resource Manageru. Azure RBAC poskytuje jemně odstupňovanou správu přístupu k prostředkům v Azure.
Co je potřeba vědět o Azure RBAC
Tady je několik věcí, které můžete dělat s Azure RBAC:
Aplikaci můžete povolit přístup ke všem prostředkům ve skupině prostředků.
Umožňuje jednomu uživateli spravovat virtuální počítače v předplatném a umožnit jinému uživateli spravovat virtuální sítě.
Skupině správců databází můžete povolit správu databází SQL v předplatném.
Uživateli můžete povolit správu všech prostředků ve skupině prostředků, například virtuálních počítačů, webů a podsítí
Koncepty Azure RBAC
Následující tabulka popisuje základní koncepty Azure RBAC.
| Koncept | Popis | Příklady |
|---|---|---|
| Objekt zabezpečení | Objekt, který představuje něco, co požaduje přístup k prostředkům. | Uživatel, skupina, instanční objekt, spravovaná identita |
| Definice role | Sada oprávnění, která zobrazí seznam povolených operací. Azure RBAC se dodává s integrovanými definicemi rolí, ale můžete také vytvořit vlastní definice rolí. | Některé předdefinované definice rolí: Čtenář, Přispěvatel, Vlastník, Uživatelský přístup Správa istrator |
| Scope | Hranice požadované úrovně přístupu nebo "kolik" přístupu se uděluje. | Skupina pro správu, předplatné, skupina prostředků, prostředek |
| Přiřazení role | Přiřazení připojí definici role k objektuzabezpečení v určitém oboru. Uživatelé můžou udělit přístup popsaný v definici role vytvořením (připojení) přiřazení pro roli. | – Přiřazení role Uživatelský přístup Správa istrator skupině pro správu s vymezenou skupinou pro správu – Přiřazení role Přispěvatel uživateli s vymezeným předplatným |
Co je potřeba vzít v úvahu při používání Azure RBAC
Když uvažujete o tom, jak v organizaci implementovat role a přiřazení rozsahu, zvažte tyto body:
Zvažte své žadatele. Naplánujte strategii tak, aby vyhovovala všem typům přístupu k vašim prostředkům. Objekty zabezpečení se vytvoří pro cokoli, co požaduje přístup k vašim prostředkům. Určete, kdo jsou žadateli ve vaší organizaci. Žadateli můžou být interní nebo externí uživatelé, skupiny uživatelů, aplikace a služby, prostředky atd.
Zvažte své role. Prozkoumejte typy pracovních povinností a pracovních scénářů ve vaší organizaci. Role jsou často postavené na požadavcích na plnění úkolů úloh nebo plnění cílů práce. Někteří uživatelé, jako jsou správci, firemní kontrolery a technici, můžou vyžadovat úroveň přístupu nad rámec toho, co většina uživatelů potřebuje. Některé role je možné definovat tak, aby poskytovaly stejný přístup všem členům týmu nebo oddělení pro konkrétní prostředky nebo aplikace.
Zvažte rozsah oprávnění. Zamyslete se nad tím, jak můžete zajistit zabezpečení tím, že budete řídit rozsah oprávnění pro přiřazení rolí. Nastíníte typy oprávnění a úrovní rozsahu, které potřebujete podporovat. Pro jednu roli můžete použít různé úrovně rozsahu pro podporu žadatele v různých scénářích.
Zvažte předdefinované nebo vlastní definice. Projděte si předdefinované definice rolí v Azure RBAC. Předdefinované role se dají použít tak, jak jsou, nebo upravit tak, aby splňovaly konkrétní požadavky pro vaši organizaci. Můžete také vytvořit vlastní definice rolí úplně od začátku.