Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Enclave admite la delegación granular de permisos mediante el control de acceso basado en rol (RBAC) nativo de Azure. La delegación garantiza que puede aislar las responsabilidades entre los límites de la comunidad, el enclave y la carga de trabajo sin poner en peligro la seguridad ni la integridad operativa de los entornos.
En este artículo se explica cómo Azure Enclave implementa RBAC e introduce los roles integrados que le ayudan a administrar el acceso a través de la jerarquía de enclave de Azure.
Introducción a la jerarquía de recursos de Azure Enclave
Azure Enclave organiza los recursos en tres capas lógicas:
- Comunidades : límite de gobernanza raíz para los entornos aislados.
- Enclaves : zonas de aterrizaje seguras y aisladas de red virtual que se crean dentro de una comunidad.
- Cargas de trabajo : aplicaciones y servicios implementados en grupos de recursos de enclave.
Cada capa expone operaciones de administración distintas y Azure Enclave proporciona roles creados específicamente para aislar el acceso entre ellas.
RBAC en Azure Enclave
RBAC en Azure Enclave se aplica mediante asignaciones de roles RBAC estándar en combinación con asignaciones de denegación para permitir un control pormenorizado sobre los recursos y cargas de trabajo administrados por comunidad o enclave.
Conceptos clave de RBAC:
- Controles de acceso de Community y Enclave - Las asignaciones de denegación se aplican a los grupos de recursos administrados por Community y Enclave para evitar cambios no autorizados. La configuración de administrador de comunidad o enclave determina qué usuarios o grupos obtienen asignaciones de roles a través de recursos administrados. El modo de mantenimiento determina quién puede realizar acciones con privilegios específicas que pueden afectar a la seguridad y el aislamiento.
- Controles de acceso de las cargas de trabajo - Los grupos de recursos de las cargas de trabajo también se protegen opcionalmente con asignaciones de denegación de acceso para garantizar que solo los usuarios o grupos definidos explícitamente tengan acceso con privilegios a los recursos de las cargas de trabajo.
- Modo de mantenimiento - Concede a usuarios o grupos definidos explícitamente excepciones a las asignaciones de denegación en los grupos de recursos administrados por Community y Enclave para realizar acciones privilegiadas en los recursos administrados.
Roles integrados para Azure Enclave
Los siguientes roles integrados de RBAC se proporcionan en Azure Enclave para ajustarse a patrones operativos comunes para los tipos de recursos de Microsoft.Mission. Estos roles permiten seguir el principio de privilegios mínimos mediante la asignación de acceso solo a lo que se necesita.
Roles de nivel de comunidad
Roles aplicables en el nivel de comunidad.
| Nombre del rol | Description |
|---|---|
| Propietario de la comunidad | Control total de una comunidad, incluida la creación de enclaves y la administración de registros y diagnósticos. |
| Colaborador de la comunidad | Puede crear y administrar recursos de enclave dentro de la comunidad, pero no puede asignar roles. |
| Lector comunitario | Acceso de solo vista a la comunidad y a todos los enclaves que contiene. |
Funciones de enclave
Roles aplicables en el nivel de enclave.
| Nombre del rol | Description |
|---|---|
| Propietario del enclave | Control total de un enclave, incluidas las redes, la configuración del punto de conexión y la creación de cargas de trabajo. |
| Colaborador del enclave | Puede modificar la configuración del enclave e implementar cargas de trabajo, pero no puede asignar roles de RBAC. |
| Enclave Reader | Acceso de solo lectura a los metadatos del enclave, los puntos de conexión y las cargas de trabajo asociadas. |
| Rol de aprobador de enclave | Puede ver los detalles del enclave y aprobar las solicitudes de implementación o actualización dentro de flujos de trabajo cerrados. |
Acceso a cargas de trabajo
Azure Enclave no introduce nuevos roles específicos para la carga de trabajo. En su lugar, se usan roles de RBAC estándar Azure (por ejemplo, Colaborador, Lector, Propietario) en el nivel de grupo de recursos de carga de trabajo para controlar el acceso a las aplicaciones y servicios implementados.
Aislamiento del acceso dentro de Azure Enclave
RBAC en Azure enclave se superpone intencionadamente para permitirle asignar equipos discretos o roles a distintos ámbitos:
- El equipo de plataforma encargó al propietario de la comunidad configurar el límite de gobernanza.
- Los ingenieros de red en la nube reciben acceso del propietario del enclave para administrar los recursos de nivel de enclave.
- Solo a los desarrolladores de aplicaciones o administradores de cargas de trabajo se les conceden roles de colaborador o lector en el nivel de grupo de recursos de carga de trabajo.
- A Los equipos de seguridad y auditoría se les asigna lector de enclave o lector de comunidad para supervisar la infraestructura sin arriesgar los cambios de configuración.
Este modelo garantiza una separación estricta de responsabilidades y minimiza las consecuencias negativas derivadas de una configuración incorrecta o de una vulneración.
Procedimientos recomendados de asignación de roles
Para implementar un control de acceso seguro y eficaz en Azure Enclave:
- Usar principios de privilegios mínimos : asigne el rol más restrictivo que permita a los usuarios realizar su trabajo.
- Asigne roles en el ámbito más bajo posible (grupo de recursos en lugar de suscripción cuando corresponda).
- Supervise periódicamente las asignaciones de roles mediante Azure Policy y registros de auditoría.
- Considere la posibilidad de combinar los roles de Azure Enclave con Azure PIM (Privileged Identity Management) para obtener acceso justo a tiempo.