Überblick über die rollenbasierte Zugriffssteuerung in Azure für Defender for IoT-Firmwareanalyse
Als Benutzer von Defender for IoT-Firmwareanalyse möchten Sie möglicherweise den Zugriff auf die Ergebnisse Ihrer Firmwareimageanalyse verwalten. Die rollenbasierte Zugriffssteuerung in Azure (Role-Based Access Control, RBAC) ist ein Autorisierungssystem, mit dessen Hilfe Sie steuern können, wer Zugriff auf Ihre Analyseergebnisse hat, und welche Berechtigungen diese Personen auf welcher Ebene der Ressourcenhierarchie besitzen. In diesem Artikel wird erläutert, wie Sie die Ergebnisse Ihrer Firmwareanalyse in Azure speichern, Zugriffsberechtigungen verwalten und die rollenbasierte Zugriffssteuerung (RBAC) verwenden, um diese Ergebnisse innerhalb Ihrer Organisation und mit Drittanbietern zu teilen. Weitere Informationen zur rollenbasierte Zugriffssteuerung finden Sie im Artikel Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.
Rollen
Rollen sind eine Sammlung von Berechtigungen in einem Paket. Die folgenden beiden Rollen stehen zur Verfügung:
- Auftragsfunktionsrollen gewähren Benutzern die Berechtigung zum Ausführen bestimmter Auftragsfunktionen oder Aufgaben, z. B. Key Vault-Mitwirkender oder Überwachungsbenutzer für Azure Kubernetes Service-Cluster.
- Privilegierte Administratorrollen gewähren erweiterte Zugriffsberechtigungen wie Besitzer, Mitwirkendenoder Benutzerzugriffsadministrator. Weitere Informationen über Rollen finden Sie unter integrierte Rollen in Azure.
In der Defender for IoT-Firmwareanalyse sind die am häufigsten verwendeten Rollen „Besitzer“, „Mitwirkender“, „Sicherheitsadministrator“ und „Firmwareanalyseadministrator“. Erfahren Sie mehr darüber, welche Rollen Sie für unterschiedliche Berechtigungen benötigen, z. B. für das Hochladen von Firmwareimages oder das Freigeben von Ergebnissen einer Firmwareanalyse.
Grundlegendes zur Darstellung von Firmwareimages in der Azure-Ressourcenhierarchie
Azure organisiert Ressourcen in einer Top-down-Struktur in Ressourcenhierarchien. Sie können auf jeder Hierarchieebene Rollen zuweisen. Die Ebene, auf der Sie eine Rolle zuweisen, ist der „Bereich“. Niedrigere Bereiche können Rollen erben, die auf höheren Bereichen zugewiesen worden sind. Erfahren Sie mehr über die Hierarchieebenen und wie Sie Ihre Ressourcen in der Hierarchie organisieren.
Wenn Sie ein Onboarding für Ihr Abonnement in Defender for IoT-Firmwareanalyse durchführen und Ihre Ressourcengruppe auswählen, erstellt die Aktion automatisch die Standardressource in Ihrer Ressourcengruppe.
Navigieren Sie zu Ihrer Ressourcengruppe, und wählen Sie Ausgeblendete Typen anzeigen aus, um die Standardressource anzuzeigen. Die Standardressource weist den Typ Microsoft.IoTFirmwareDefense.workspaces auf.
Auch wenn sie nicht regelmäßig mit der standardmäßigen Arbeitsbereichsressource interagieren werden, wird jedes Firmwareimage, das Sie hochladen, hier als Ressource dargestellt und gespeichert.
Sie können die rollenbasierte Zugriffssteuerung auf jeder Hierarchieebene verwenden, einschließlich der ausgeblendeten Ressourcenebene standardmäßiger Firmwareanalysearbeitsbereich.
Dies ist die Ressourcenhierarchie von Defender for IoT-Firmwareanalyse:
Anwenden der rollenbasierten Zugriffssteuerung in Azure
Hinweis
Um Defender for IoT-Firmwareanalyse verwenden zu können, muss der Benutzer bzw. die Benutzerin, der bzw. die ein Onboarding für das Abonnement in Defender for IoT-Firmwareanalyse durchführt, auf Abonnementebene über die Rolle „Besitzer“, „Mitwirkender“, „Firmwareanalyseadministrator“ oder „Sicherheitsadministrator“ verfügen. Befolgen Sie die Schritte in dem Tutorial unter Analysieren eines Firmwareimages mit Microsoft Defender for IoT, um das Onboarding für ihr Abonnement durchzuführen. Nachdem Sie das Onboarding für Ihr Abonnement durchgeführt haben, muss ein Benutzer lediglich ein Firmwareanalyseadministrator sein, um Defender for IoT-Firmwareanalyse zu verwenden.
Als Benutzer der Defender for IoT-Firmwareanalyse müssen Sie möglicherweise bestimmte Aktionen für Ihre Organisation ausführen, z. B. das Hochladen von Firmwareimages oder das Freigeben von Analyseergebnissen.
Aktionen wie diese beinhalten die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC). Um die rollenbasierte Zugriffssteuerung für Defender for IoT-Firmwareanalyse effektiv nutzen zu können, müssen Sie wissen, welche Rollenzuweisung Sie in welchem Bereich haben. Wenn Sie diese Informationen kennen, wissen Sie, welche Berechtigungen Sie besitzen, und damit, ob Sie bestimmte Aktionen ausführen können. Um Ihre Rollenzuweisung zu überprüfen, lesen Sie Überprüfen des Zugriffs eines Benutzers auf eine einzelne Azure-Ressource – Azure RBAC, Benutzen Sie danach die folgende Tabelle, um zu überprüfen, welche Rollen und Bereiche für bestimmte Aktionen erforderlich sind.
Gängige Rollen in Defender for IoT-Firmwareanalyse
Diese Tabelle kategorisiert jede Rolle und enthält eine kurze Beschreibung ihrer Berechtigungen:
| Rolle | Kategorie | Beschreibung |
|---|---|---|
| Besitzer | Privilegierte Administratorrolle | Hiermit wird Vollzugriff zum Verwalten aller Ressourcen gewährt, einschließlich der Möglichkeit, Rollen in Azure RBAC zuzuweisen. |
| Mitwirkender | Privilegierte Administratorrolle | Gewährt Vollzugriff zum Verwalten aller Ressourcen, allerdings nicht zum Zuweisen von Rollen in Azure RBAC, zum Verwalten von Zuweisungen in Azure Blueprints oder zum Teilen von Imagekatalogen. |
| Sicherheitsadministrator | Auftragsfunktionsrolle | Ermöglicht es dem Benutzer, Firmwareimages in Defender for IoT hochzuladen und zu analysieren, Sicherheitsinitiativen hinzuzufügen/zuzuweisen und die Sicherheitsrichtlinie zu bearbeiten. Weitere Informationen |
| Firmwareanalyseadministrator | Auftragsfunktionsrolle | Ermöglicht es dem Benutzer, Firmwareimages in Defender for IoT hochzuladen und zu analysieren. Der Benutzer hat über die Firmwareanalyse hinaus keinen Zugriff (er kann nicht auf andere Ressourcen im Abonnement zugreifen, Ressourcen erstellen oder löschen oder andere Benutzer einladen). |
Defender for IoT-Firmwareanalyserollen, -Bereiche, und -Funktionen
In der folgenden Tabelle sind die Rollen zusammengefasst, die Sie zum Ausführen bestimmter Aktionen benötigen. Diese Rollen und Berechtigungen gelten auf Abonnement- und Ressourcengruppenebene, sofern nicht anders angegeben.
| Aktion | Erforderliche Rolle |
|---|---|
| Analysieren der Firmware | Besitzer, Mitwirkender, Sicherheitsadministrator oder Firmwareanalyseadministrator |
| Einladen von Drittanbieterbenutzern zum Anzeigen von Firmwareanalyseergebnissen | Besitzer |
| Einladen von Benutzern zum Abonnement | Besitzer auf Abonnementebene (Besitzer auf Ressourcengruppenebene können Benutzer nicht zum Abonnement einladen) |
Hochladen von Firmwareimages
Sie können Firmwareimages folgendermaßen hochladen:
- Vergewissern Sie sich, dass Sie über ausreichende Berechtigungen in Defender for IoT-Firmwareanalyserollen, -Bereichen und -Funktionenverfügen.
- Laden Sie ein Firmwareimage für die Analyse hoch.
Einladen von Drittanbietern zur Interaktion mit den Ergebnissen Ihrer Firmwareanalyse
Möglicherweise möchten Sie jemanden einladen, ausschließlich mit den Ergebnissen Ihrer Firmwareanalyse zu interagieren, ohne dem Betreffenden Zugriff auf andere Teile Ihrer Organisation (z. B. andere Ressourcengruppen innerhalb Ihres Abonnements) zu gewähren. Um diesen Typ von Zugriff zuzulassen, laden Sie den Benutzer bzw. die Benutzerin als „Firmwareanalyseadministrator“ auf der Ebene der FirmwareAnalysisRG-Ressourcengruppe ein.
Um einen Drittanbieter einzuladen, befolgen Sie die Schritte im Tutorial Zuweisen von Azure-Rollen zu externen Gastbenutzern über das Azure-Portal.
- Wechseln Sie in Schritt 3 zu Ihrer Ressourcengruppe.
- Wählen Sie in Schritt 7 die Rolle Firmwareanalyseadministrator aus.
Hinweis
Wenn Sie eine E-Mail erhalten haben, um einer Organisation beizutreten, diese aber nicht in Ihrem Posteingang angezeigt wird, überprüfen Sie unbedingt Ihren Ordner für Junk-E-Mails auf die Einladung.