Remarque
L’accès à cette page requiert une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page requiert une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Enclave prend en charge la délégation granulaire des autorisations à l'aide du contrôle d'accès en fonction du rôle (RBAC) de Azure. La délégation garantit que vous pouvez isoler les responsabilités entre les limites de la communauté, de l’enclave et de la charge de travail sans compromettre la sécurité ou l’intégrité opérationnelle de vos environnements.
Cet article explique comment Azure Enclave implémente RBAC et présente les rôles intégrés qui vous aident à gérer l’accès dans la hiérarchie des enclaves Azure.
Vue d’ensemble de la hiérarchie des ressources de l’enclave Azure
Azure Enclave organise les ressources en trois couches logiques :
- Communautés : limite de gouvernance racine pour vos environnements isolés.
- Enclaves : zones d’atterrissage sécurisées et isolées par un réseau virtuel créées au sein d’une communauté.
- Charges de travail : applications et services déployés dans des groupes de ressources d’enclave.
Chaque couche expose des opérations de gestion distinctes et Azure Enclave fournit des rôles conçus pour isoler l’accès entre eux.
RBAC dans Azure enclave
RBAC dans Azure Enclave est appliqué à l’aide d’attributions de rôles RBAC standard en combinaison avec des attributions de refus pour permettre un contrôle granulaire sur les ressources gérées par la communauté/enclave et les charges de travail.
Concepts RBAC clés :
- Contrôles d’accès de la communauté et de l’enclave - Des attributions de refus sont appliquées aux groupes de ressources gérés par la communauté et l’enclave afin d’empêcher les modifications non autorisées. Les paramètres d’administration de la communauté/enclave déterminent les utilisateurs/groupes qui obtiennent des attributions de rôle sur des ressources gérées. Le mode maintenance détermine qui peut effectuer des actions privilégiées spécifiques qui peuvent avoir un impact sur la sécurité et l’isolation.
- Contrôles d’accès aux charges de travail - Les groupes de ressources de charge de travail peuvent également être protégés, de manière facultative, par des attributions de refus afin de garantir que seuls les utilisateurs et groupes explicitement définis disposent d’un accès privilégié aux ressources de charge de travail.
- Mode maintenance : Accorde à des utilisateurs/groupes explicitement définis des exceptions aux affectations de refus sur les groupes de ressources managés de communauté et d'enclave afin d'effectuer des actions privilégiées sur les ressources managées.
Rôles intégrés pour Azure Enclave
Les rôles RBAC intégrés suivants sont fournis dans Azure Enclave pour correspondre aux modèles opérationnels courants pour les types de ressources Microsoft.Mission. Ces rôles vous permettent de suivre le principe du privilège minimum en attribuant uniquement l’accès à ce qui est nécessaire.
Rôles au niveau de la communauté
Rôles applicables au niveau de la communauté.
| Nom du rôle | Description |
|---|---|
| Propriétaire de la communauté | Contrôle total d’une communauté, y compris la création d’enclaves et la gestion de la journalisation et des diagnostics. |
| Contributeur de la communauté | Peut créer et gérer des ressources d’enclave au sein de la communauté, mais ne peut pas attribuer de rôles. |
| Lecteur de la communauté | Afficher uniquement l’accès à la communauté et à toutes les enclaves qu’elle contient. |
Rôles d’enclave
Rôles applicables au niveau de l’enclave.
| Nom du rôle | Description |
|---|---|
| Propriétaire de l’enclave | Contrôle total d’une enclave, notamment la mise en réseau, la configuration de point de terminaison et la création de charges de travail. |
| Contributeur d’enclave | Peut modifier les paramètres d’enclave et déployer des charges de travail, mais ne peut pas attribuer de rôles RBAC. |
| Lecteur d’enclave | Accès en mode affichage uniquement aux métadonnées d’enclave, aux points de terminaison et aux charges de travail associées. |
| Rôle Approbateur d'enclave | Peut afficher les détails de l’enclave et approuver les demandes de déploiement ou de mise à jour dans les flux de travail contrôlé. |
Accès aux charges de travail
Azure Enclave n'introduit pas de nouveaux rôles spécifiques à la charge de travail. Au lieu de cela, vous utilisez des rôles RBAC standard Azure (par exemple, Contributeur, Lecteur, Propriétaire) au niveau du groupe de ressources de charge de travail pour contrôler l’accès aux applications et services déployés.
Isolation de l’accès dans Azure enclave
Le RBAC au sein d’Azure Enclave est intentionnellement structuré en couches afin de vous permettre d’affecter des équipes ou des profils distincts à différents périmètres :
- L’équipe de plateforme a affecté le propriétaire de la communauté pour configurer la limite de gouvernance.
- Les ingénieurs de réseau cloud reçoivent l’accès propriétaire de l’enclave pour gérer les ressources au niveau de l’enclave.
- Les développeurs d’applications ou les administrateurs de charge de travail reçoivent uniquement des rôles Contributeur ou Lecteur au niveau du groupe de ressources de charge de travail.
- Les équipes de sécurité et d’audit reçoivent un lecteur d’enclave ou un lecteur communauté pour surveiller l’infrastructure sans risquer les modifications de configuration.
Ce modèle garantit une séparation stricte des préoccupations et réduit les conséquences négatives en raison d’une mauvaise configuration ou d’une compromission.
Meilleures pratiques relatives à l’attribution de rôle
Pour implémenter un contrôle d’accès sécurisé et efficace dans Azure Enclave :
- Utilisez des principes de privilège minimum : attribuez le rôle le plus restrictif qui permet aux utilisateurs d’effectuer leur travail.
- Attribuez les rôles à l'étendue la plus basse possible (groupe de ressources plutôt qu'abonnement, le cas échéant).
- Surveillez régulièrement les attributions de rôles à l’aide de Azure Policy et des journaux d’audit.
- Envisagez d’associer les rôles Azure Enclave à Azure PIM (Privileged Identity Management) pour un accès juste à temps.