Was ist Azure RBAC?

  • 8 Minuten

Wenn Organisationen die Nutzung der öffentlichen Cloud in Erwägung ziehen, spielen im Hinblick auf Identität und Zugriff meist die folgenden beiden Aspekte eine Rolle:

  1. Personen, die die Organisation verlassen, dürfen keinen Zugriff mehr auf Ressourcen in der Cloud haben.
  2. Das richtige Gleichgewicht zwischen Autonomie und zentraler Steuerung. Beispielsweise können Projektteams virtuelle Computer in der Cloud erstellen und verwalten, während sie die Netzwerke zentral steuern, die diese VMs für die Kommunikation mit anderen Ressourcen verwenden.

Microsoft Entra ID und Azure RBAC arbeiten zusammen, um die Durchführung dieser Ziele zu vereinfachen.

Azure-Abonnements

Denken Sie zunächst daran, dass jedes Azure-Abonnement einem einzelnen Microsoft Entra-Verzeichnis zugeordnet ist. Benutzer, Gruppen und Anwendungen in diesem Verzeichnis können Ressourcen im Azure-Abonnement verwalten. Microsoft Entra ID wird bei diesen Abonnements für einmaliges Anmelden (SSO) und die Zugriffsverwaltung eingesetzt. Mit Microsoft Entra Connect können Sie Ihre lokalen Active Directory-Verzeichnisse auch in der Cloud nutzen. Dieses Feature ermöglicht es Ihren Mitarbeitern, ihre Azure-Abonnements mithilfe ihrer geschäftsbezogenen Identitäten zu verwalten. Wenn Sie ein lokales Active Directory-Konto deaktivieren, verliert es automatisch den Zugriff auf alle mit Microsoft Entra ID verbundenen Azure-Abonnements.

Was ist Azure RBAC?

Azure RBAC ist ein Autorisierungssystem, das auf Azure Resource Manager basiert und eine differenzierte Zugriffsverwaltung für Ressourcen in Azure bietet. Mit Azure RBAC können Sie genau den Zugriff gewähren, den Benutzer für ihre Arbeit benötigen. Sie können z. B. Azure RBAC verwenden, um einem Mitarbeiter die Verwaltung virtueller Computer in einem Abonnement zu ermöglichen, während eine andere SQL-Datenbanken innerhalb desselben Abonnements verwaltet.

Im folgenden Video wird Azure RBAC ausführlich beschrieben:

Sie können Zugriff gewähren, indem Sie Benutzern, Gruppen und Anwendungen eine geeignete Azure-Rolle für einen bestimmten Bereich zuweisen. Der Bereich einer Rollenzuweisung kann eine Verwaltungsgruppe, ein Abonnement, eine Ressourcengruppe oder eine einzelne Ressource sein. Mit einer Rolle, die einem übergeordneten Bereich zugewiesen ist, wird außerdem der Zugriff auf die darin enthaltenen untergeordneten Bereiche gewährt. Beispielsweise kann ein Benutzer mit Zugriff auf eine Ressourcengruppe alle darin enthaltenen Ressourcen wie Websites, virtuelle Computer und Subnetze verwalten. Die von Ihnen zugewiesene Azure-Rolle legt fest, welche Ressourcen der Benutzer, die Gruppe oder die Anwendung in diesem Bereich verwalten kann.

Das folgende Diagramm zeigt, wie die klassischen Administratorrollen für Abonnements, Azure-Rollen und Microsoft Entra-Rollen allgemein zusammenhängen. Untergeordnete Bereiche, z. B. Dienstinstanzen, erben Rollen, die einem höheren Bereich zugewiesen sind, z. B. ein gesamtes Abonnement.

Das Diagramm zeigt, wie die klassischen Administratorrollen für Abonnements, Azure-Rollen und Microsoft Entra-Rollen auf hoher Ebene zusammenhängen.

Im obigen Diagramm ist ein Abonnement nur einem Microsoft Entra-Mandanten zugeordnet. Beachten Sie, dass eine Ressourcengruppe, die nur einem Abonnement zugeordnet ist, über mehrere Ressourcen verfügen kann. Eine Ressource kann nur an eine Ressourcengruppe gebunden werden, was jedoch nicht unmittelbar aus dem Diagramm hervorgeht.

Wofür kann ich Azure RBAC verwenden?

Mit Azure RBAC können Sie Zugriff auf Azure-Ressourcen gewähren, für die Sie verantwortlich sind. Angenommen, Sie müssen für die Entwicklungs-, Technik- und Marketingteams den Zugriff auf Ressourcen in Azure verwalten. Nun erhalten Sie Zugriffsanforderungen und müssen in kurzer Zeit lernen, wie Zugriffe auf Azure-Ressourcen verwaltet werden.

Mit Azure RBAC können Sie unter anderem die folgenden Szenarios implementieren:

  • Zulassen, dass ein Benutzer virtuelle Computer in einem Abonnement und einem anderen Benutzer verwalten kann, um virtuelle Netzwerke zu verwalten.
  • Zulassen, dass eine Datenbankadministratorgruppe SQL-Datenbanken in einem Abonnement verwalten kann.
  • Zulassen, dass ein Benutzer alle Ressourcen in einer Ressourcengruppe verwaltet, z. B. virtuelle Computer, Websites und Subnetze.
  • Zulassen, dass eine Anwendung auf alle Ressourcen in einer Ressourcengruppe zugreifen kann.

Azure RBAC im Azure-Portal

Im Azure-Portal wird in mehreren Bereichen ein Bereich mit dem Namen Zugriffssteuerung (IAM) bzw. Identitäts- und Zugriffsverwaltung angezeigt. In diesem Bereich werden die Benutzer mit Zugriff auf diesen Bereich sowie deren Rollen angezeigt. Und in diesem Bereich können Sie Zugriff gewähren oder entfernen.

Nachfolgend sehen Sie ein Beispiel für den Bereich „Zugriffssteuerung (IAM)“ für eine Ressourcengruppe. In diesem Beispiel wurde Alain die Rolle „Sicherungsoperator“ für diese Ressourcengruppe zugewiesen.

Screenshot des Azure-Portals, in dem der Bereich für die Zugriffssteuerung und Rollenzuweisung mit hervorgehobenem Abschnitt „Sicherungsoperator“ dargestellt ist

Wie funktioniert Azure RBAC?

Mit Azure RBAC können Sie den Zugriff auf Ressourcen steuern, indem Sie Rollenzuweisungen erstellen, die das Erzwingen von Berechtigungen steuern. Zum Erstellen einer Rollenzuweisung sind drei Elemente erforderlich: ein Sicherheitsprinzipal, eine Rollendefinition und ein Bereich. Sie können sich diese Elemente als wer, was und wo vorstellen.

1. Sicherheitsprinzipal (wer)

Ein Sicherheitsprinzipal ist nur ein ausgefallener Name für Benutzer, Gruppen oder Anwendungen, auf die Sie Zugriff gewähren möchten.

Abbildung: Sicherheitsprinzipal mit Benutzer, Gruppe und Dienstprinzipal.

2. Rollendefinition (was)

Eine Rollendefinition ist eine Sammlung von Berechtigungen. Gelegentlich wird sie auch einfach als Rolle bezeichnet. Eine Rollendefinition listet die Berechtigungen auf, die die Rolle ausführen kann, z. B. Lesen, Schreiben und Löschen. Rollen können auf allgemeiner Ebene erteilt werden (z.B. Besitzer) oder spezifisch sein (z.B. Mitwirkender für virtuelle Computer).

Abbildung: Auflistung verschiedener integrierter und benutzerdefinierter Rollen mit vergrößerter Definition für die Rolle des Mitwirkenden

Azure umfasst mehrere integrierte Rollen, die Sie verwenden können. Im Folgenden werden vier grundlegende integrierte Rollen aufgeführt:

  • Besitzer: Hat Vollzugriff auf alle Ressourcen, einschließlich des Rechts, den Zugriff auf andere Personen zu delegieren.
  • Mitwirkender: Kann alle Arten von Azure-Ressourcen erstellen und verwalten, aber keinen Zugriff auf andere Personen gewähren.
  • Reader: Kann vorhandene Azure-Ressourcen anzeigen.
  • Benutzerzugriffsadministrator: Ermöglicht Ihnen die Verwaltung des Benutzerzugriffs auf Azure-Ressourcen.

Wenn die integrierten Rollen den besonderen Ansprüchen Ihrer Organisation nicht genügen, können Sie Ihre eigenen benutzerdefinierten Rollen erstellen.

3. Bereich (wo)

Bereich ist die Ebene, für die die Zugriffsberechtigung gilt. Dies ist hilfreich, wenn Sie jemanden zu einem Websitemitwirkenden machen möchten, aber nur für eine Ressourcengruppe.

In Azure können Sie auf mehreren Ebenen einen Bereich angeben: Verwaltungsgruppe, Abonnement, Ressourcengruppe oder Ressource. Bereiche sind in einer Beziehung zwischen über- und untergeordneten Elementen strukturiert. Wenn Sie einem übergeordneten Bereich Zugriff gewähren, erben die untergeordneten Bereiche diese Berechtigungen automatisch. Wenn einer Gruppe beispielsweise die Rolle "Mitwirkender" im Abonnementbereich zugewiesen ist, erbt sie die Rolle für alle Ressourcengruppen und Ressourcen innerhalb des Abonnements.

Abbildung mit einer hierarchischen Darstellung verschiedener Azure-Ebenen für den Gültigkeitsbereich. Die Hierarchie, die mit der höchsten Ebene beginnt, weist die folgende Reihenfolge auf: Verwaltungsgruppe, Abonnement, Ressourcengruppe und Ressource.

Rollenzuweisung

Nachdem Sie wer, was und wo bestimmt haben, können Sie diese Elemente vereinen, um Zugriff zu gewähren. Die Rollenzuweisung dient dazu, eine Rolle an einen Sicherheitsprinzipal in einem bestimmten Bereich zu binden, um Zugriff zu gewähren. Zum Gewähren des Zugriffs müssen Sie eine Rollenzuweisung erstellen. Zum Widerrufen des Zugriffs müssen Sie eine Rollenzuweisung widerrufen.

Im folgenden Beispiel wird gezeigt, wie der Gruppe „Marketing“ die Rolle „Mitwirkender“ für die Vertriebsressourcengruppe zugewiesen wurde.

Abbildung mit einem Beispiel für die Rollenzuweisung bei der Gruppe „Marketing“, die eine Kombination aus Sicherheitsprinzipal, Rollendefinition und Bereich darstellt. Die Gruppe „Marketing“ fällt unter Sicherheitsprinzipal „Gruppe“, und ihr ist für den Bereich „Ressourcengruppe“ die Rolle „Mitwirkender“ zugewiesen.

Azure RBAC ist ein Zulassungsmodell

Azure RBAC ist ein Zulassungsmodell. Dies bedeutet, dass Azure RBAC beim Zuweisen einer Rolle bestimmte Aktionen wie Lesen, Schreiben oder Löschen ausführen kann. Wenn Ihnen eine Rollenzuweisung Leseberechtigungen für eine Ressourcengruppe gewährt und eine andere Rollenzuweisung Ihnen Schreibberechtigungen für dieselbe Ressourcengruppe gewährt, verfügen Sie über Lese- und Schreibberechtigungen für diese Ressourcengruppe.

Bei Azure RBAC gibt es sogenannte NotActions-Berechtigungen. Sie können NotActions verwenden, um nicht zulässige Berechtigungen zu erstellen. Zur Ermittlung des Zugriffs, der durch eine Rolle gewährt wird (effektive Berechtigungen), werden die NotActions-Vorgänge von den Actions-Vorgängen subtrahiert. Die Rolle Mitwirkender verfügt beispielsweise über Actions und NotActions. Der Platzhalter (*) in Actions zeigt an, dass alle Vorgänge auf der Steuerungsebene ausgeführt werden können. Anschließend können Sie die folgenden Vorgänge in NotActions subtrahieren, um die effektiven Berechtigungen zu ermitteln:

  • Löschen von Rollen und Rollenzuweisungen
  • Erstellen von Rollen und Rollenzuweisungen
  • Gewährt dem Aufrufer Zugriff vom Typ „Benutzerzugriffsadministrator“ auf Mandantenebene
  • Erstellt oder aktualisiert alle Blaupausenartefakte
  • Löschen aller Blaupausenartefakte