Bérlők, felhasználók és szerepkörök Azure Lighthouse-forgatókönyvekben
Az ügyfelek Azure Lighthouse-hoz való előkészítése előtt fontos megérteni, hogyan működnek a Microsoft Entra-bérlők, a felhasználók és a szerepkörök, és hogyan használhatók az Azure Lighthouse-forgatókönyvekben.
A bérlő a Microsoft Entra ID dedikált és megbízható példánya. Általában minden bérlő egyetlen szervezetet jelöl. Az Azure Lighthouse lehetővé teszi az erőforrások logikai leképezését egyik bérlőről a másik bérlőre. Ez lehetővé teszi, hogy a kezelő bérlő felhasználói (például egy szolgáltatóhoz tartozók) hozzáférjenek az ügyfél bérlőjében lévő delegált erőforrásokhoz, vagy lehetővé teszik a több bérlővel rendelkező vállalatok számára a felügyeleti műveletek központosítását.
A logikai előrejelzés eléréséhez az ügyfélbérlőben lévő előfizetést (vagy egy vagy több erőforráscsoportot) az Azure Lighthouse-ba kell előkészíteni . Ez az előkészítési folyamat elvégezhető Azure Resource Manager-sablonokkal, vagy nyilvános vagy privát ajánlat Azure Marketplace-en való közzétételével.
Bármelyik előkészítési módszernél meg kell határoznia az engedélyeket. Minden engedélyezés tartalmaz egy principalId azonosítót (a felügyelt bérlő Microsoft Entra-felhasználóját, csoportját vagy szolgáltatásnevét) és egy beépített szerepkört, amely meghatározza a delegált erőforrásokhoz adott engedélyeket.
Megjegyzés:
Ha nincs explicit módon megadva, az Azure Lighthouse dokumentációjában szereplő "felhasználóra" való hivatkozások egy Microsoft Entra-felhasználóra, -csoportra vagy szolgáltatásnévre vonatkozhatnak az engedélyezés során.
Ajánlott eljárások a felhasználók és szerepkörök meghatározásához
Az engedélyek létrehozásakor az alábbi ajánlott eljárásokat javasoljuk:
- A legtöbb esetben inkább egy Microsoft Entra felhasználói csoporthoz vagy szolgáltatásnévhez szeretne engedélyeket rendelni, nem pedig egy sor egyéni felhasználói fiókhoz. Ez lehetővé teszi az egyes felhasználók hozzáférésének hozzáadását vagy eltávolítását a bérlő Microsoft Entra-azonosítóján keresztül, ahelyett, hogy frissítenie kellene a delegálást minden alkalommal, amikor az egyéni hozzáférési követelmények változnak.
- Kövesse a minimális jogosultság elvét, hogy a felhasználók csak a munkájuk elvégzéséhez szükséges engedélyekkel rendelkezzenek, ezzel csökkentve a véletlen hibák esélyét. További információ: Ajánlott biztonsági eljárások.
- Adjon meg egy engedélyezést a Felügyelt szolgáltatások regisztrációs hozzárendelésének törlési szerepkörével , hogy szükség esetén később eltávolíthassa a delegáláshoz való hozzáférést. Ha ez a szerepkör nincs hozzárendelve, a delegált erőforrásokhoz való hozzáférést csak az ügyfél bérlőjében lévő felhasználó távolíthatja el.
- Győződjön meg arról, hogy minden felhasználó, akinek meg kell tekintenie az Ügyfelek lapját az Azure Portalon, rendelkezik olvasói szerepkörsel (vagy egy másik beépített szerepkör, amely tartalmazza az olvasói hozzáférést).
Fontos
Egy Microsoft Entra-csoport engedélyeinek hozzáadásához a csoporttípust Biztonság értékre kell állítani. Ez a beállítás a csoport létrehozásakor lesz kiválasztva. További információ: Alapszintű csoport létrehozása és tagok hozzáadása a Microsoft Entra-azonosítóval.
Az Azure Lighthouse szerepkör-támogatása
Az engedélyezés meghatározásakor minden felhasználói fiókhoz hozzá kell rendelni az Azure beépített szerepköreinek egyikét. Az egyéni szerepkörök és a klasszikus előfizetés-rendszergazdai szerepkörök nem támogatottak.
Az Azure Lighthouse jelenleg az összes beépített szerepkört támogatja, az alábbi kivételekkel:
A Tulajdonos szerepkör nem támogatott.
A Felhasználói hozzáférés Rendszergazda istrator szerepkör támogatott, de csak korlátozott célra, hogy szerepköröket rendeljen egy felügyelt identitáshoz az ügyfélbérlőben. A szerepkör által általában megadott egyéb engedélyek nem érvényesek. Ha ezzel a szerepkörrel definiál egy felhasználót, meg kell adnia azokat a szerepköröket is, amelyeket a felhasználó hozzárendelhet a felügyelt identitásokhoz.
Az engedélyekkel rendelkező
DataActions
szerepkörök nem támogatottak.Az alábbi műveletek egyikét tartalmazó szerepkörök nem támogatottak:
- */Írni
- */Töröl
- Microsoft.Authorization/*
- Microsoft.Authorization/*/write
- Microsoft.Authorization/*/delete
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Authorization/roleDefinitions/write
- Microsoft.Authorization/roleDefinitions/delete
- Microsoft.Authorization/classic Rendszergazda istrators/write
- Microsoft.Authorization/classic Rendszergazda istrators/delete
- Microsoft.Authorization/locks/write
- Microsoft.Authorization/locks/delete
- Microsoft.Authorization/denyAssignments/write
- Microsoft.Authorization/denyAssignments/delete
Fontos
Szerepkörök hozzárendelésekor mindenképpen tekintse át az egyes szerepkörökhöz megadott műveleteket . Bizonyos esetekben, bár az engedélyekkel rendelkező DataActions
szerepkörök nem támogatottak, a szerepkörben szereplő műveletek lehetővé tehetik az adatokhoz való hozzáférést, ahol az adatok hozzáférési kulcsokon keresztül érhetők el, és nem érhetők el a felhasználó identitásán keresztül. A virtuálisgép-közreműködői szerepkör például tartalmazza a műveletet, amely visszaadja a Microsoft.Storage/storageAccounts/listKeys/action
tárfiók hozzáférési kulcsait, amelyek felhasználhatók bizonyos ügyféladatok lekérésére.
Bizonyos esetekben előfordulhat, hogy egy korábban az Azure Lighthouse-ban támogatott szerepkör elérhetetlenné válik. Ha például az DataActions
engedély olyan szerepkörhöz van hozzáadva, amely korábban nem rendelkezik ezzel az engedéllyel, akkor ez a szerepkör már nem használható új delegálások előkészítésekor. Azok a felhasználók, akik már hozzárendelték a szerepkört, továbbra is dolgozhatnak a korábban delegált erőforrásokon, de nem fogják tudni elvégezni az DataActions
engedélyt használó feladatokat.
Amint új, alkalmazható beépített szerepkört ad hozzá az Azure-hoz, hozzárendelhető az ügyfél Azure Resource Manager-sablonokkal történő előkészítésekor. A felügyelt szolgáltatásajánlat közzétételekor előfordulhat, hogy az újonnan hozzáadott szerepkör elérhetővé válik a Partnerközpontban. Hasonlóképpen, ha egy szerepkör elérhetetlenné válik, előfordulhat, hogy egy ideig továbbra is megjelenik a Partnerközpontban; Ilyen szerepkörökkel azonban nem tehet közzé új ajánlatokat.
Delegált előfizetések átadása a Microsoft Entra-bérlők között
Ha egy előfizetés átkerül egy másik Microsoft Entra-bérlői fiókba, az Azure Lighthouse előkészítési folyamatán keresztül létrehozott regisztrációs definíció és regisztrációs hozzárendelési erőforrások megmaradnak. Ez azt jelenti, hogy a bérlők kezeléséhez az Azure Lighthouse-on keresztül biztosított hozzáférés továbbra is érvényben marad az adott előfizetésre (vagy az előfizetésen belüli delegált erőforráscsoportokra).
Az egyetlen kivétel az, ha az előfizetés átkerül egy Microsoft Entra-bérlőre, amelyhez korábban delegálták. Ebben az esetben a bérlő delegálási erőforrásai el lesznek távolítva, és az Azure Lighthouse-on keresztül biztosított hozzáférés már nem érvényes, mivel az előfizetés most már közvetlenül az adott bérlőhöz tartozik (ahelyett, hogy az Azure Lighthouse-on keresztül delegálják). Ha azonban az előfizetést más kezelő bérlőknek is delegálták, a többi bérlő ugyanazzal a hozzáféréssel rendelkezik az előfizetéshez.
Következő lépések
- Ismerje meg az Azure Lighthouse ajánlott biztonsági eljárásait.
- Ügyfelek előkészítése az Azure Lighthouse-ba Azure Resource Manager-sablonok használatával, vagy egy privát vagy nyilvános felügyelt szolgáltatási ajánlat Azure Marketplace-en való közzétételével.