Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatának ajánlott eljárásait ismerteti. Ezek az ajánlott eljárások az Azure RBAC-vel kapcsolatos tapasztalatainkból és az olyan ügyfelek tapasztalataiból származnak, mint ön.
Csak a szükséges hozzáférés biztosítása a felhasználóknak
Az Azure RBAC használata lehetővé teszi, hogy elkülönítse a kötelességeket a csapaton belül, valamint csak olyan mértékű hozzáférést biztosítson, amelyre a felhasználóknak a feladataik elvégzéséhez szükségük van. Ahelyett, hogy mindenki számára korlátlan engedélyeket adnának az Azure-előfizetésében vagy erőforrásaiban, csak bizonyos műveleteket engedélyezhet egy adott hatókörben.
A hozzáférés-vezérlési stratégia tervezésekor ajánlott eljárás, hogy a felhasználók a lehető legkevesebb jogosultságot kapják a munkájuk elvégzésére. Ne rendeljen szélesebb szerepköröket szélesebb hatókörökhöz, még akkor is, ha eredetileg kényelmesebbnek tűnik. Egyéni szerepkörök létrehozásakor csak a felhasználóknak szükséges engedélyeket kell tartalmaznia. A szerepkörök és hatókörök korlátozásával korlátozhatja, hogy mely erőforrások legyenek veszélyben, ha a rendszerbiztonsági tagot valaha is veszélybe sodorják.
Az alábbi ábra egy javasolt mintát mutat be az Azure RBAC használatához.
A szerepkörök hozzárendelésével kapcsolatos további információkért lásd: Azure-szerepkörök hozzárendelése az Azure Portalhasználatával.
Az előfizetés-tulajdonosok számának korlátozása
Legfeljebb 3 előfizetés-tulajdonossal kell rendelkeznie, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. Ez a javaslat a Microsoft Defender for Cloud felületén figyelhető meg. A Defender for Cloud további identitás- és hozzáférési javaslatait a biztonsági ajánlások - egy referencia útmutatóban találod.
Kiemelt rendszergazdai szerepkör-hozzárendelések korlátozása
Egyes szerepkörök kiemelt rendszergazdai szerepkörökként vannak azonosítva. Fontolja meg a következő műveleteket a biztonsági helyzet javítása érdekében:
- Távolítsa el a szükségtelen kiemelt szerepkör-hozzárendeléseket.
- Ne rendeljen emelt szintű rendszergazdai szerepkört, ha ehelyett feladatfüggvény-szerepkört lehet használni.
- Ha kiemelt rendszergazdai szerepkört kell hozzárendelnie, használjon szűk hatókört, például erőforráscsoportot vagy erőforrást szélesebb hatókör helyett, például felügyeleti csoportot vagy előfizetést.
- Ha szerepkör-hozzárendelések létrehozására jogosult szerepkört rendel hozzá, fontolja meg egy feltétel hozzáadását a szerepkör-hozzárendelés korlátozásához. További információért lásd: Azure-szerepkör-hozzárendelési jogok delegálása másoknak feltételekkel.
További információ: Kiemelt rendszergazdai szerepkör-hozzárendelések listázása vagy kezelése.
A Microsoft Entra Privileged Identity Management használata
A kiemelt fiókok rosszindulatú kibertámadásokkal szembeni védelméhez a Microsoft Entra Privileged Identity Management (PIM) használatával csökkentheti a jogosultságok expozíciós idejét, és jelentések és riasztások segítségével növelheti a használatuk láthatóságát. A PIM a Microsoft Entra-azonosítóhoz és az Azure-erőforrásokhoz való igény szerinti jogosultsági hozzáférés biztosításával segít megvédeni a kiemelt fiókokat. A hozzáférés időkorláthoz kötött lehet, amely után a jogosultságok automatikusan visszavonódnak.
További információ: Mi a Microsoft Entra Privileged Identity Management?
Szerepkörök hozzárendelése csoportokhoz, nem felhasználókhoz
A szerepkör-hozzárendelések kezelhetőbbé tétele érdekében kerülje a szerepkörök közvetlen hozzárendelését a felhasználókhoz. Ehelyett rendeljen szerepköröket csoportokhoz. A szerepkörök felhasználók helyett csoportokhoz való hozzárendelése is segít minimalizálni a szerepkör-hozzárendelések számát, amely előfizetésenként korlátozott szerepkör-hozzárendeléssel rendelkezik.
Szerepkörök hozzárendelése a szerepkör neve helyett az egyedi szerepkör-azonosítóval
Előfordulhat, hogy egy szerepkör neve megváltozik, például:
- Saját egyéni szerepkört használsz, és úgy döntesz, hogy megváltoztatod a nevet.
- Ön egy olyan szerepkört használ, amelynek a nevében (előzetes verzió) szerepel. Amikor a szerepkör felszabadul, átnevezik.
Még ha átneveznek is egy szerepkört, a szerepkör azonosítója nem változik. Ha szkriptekkel vagy automatizálással hozza létre a szerepkör-hozzárendeléseket, ajánlott az egyedi szerepkör-azonosítót használni a szerepkör neve helyett. Ezért ha egy szerepkört átneveznek, a szkriptek nagyobb valószínűséggel fognak működni.
További információ: Szerepkör hozzárendelése az egyedi szerepkörazonosítóval és az Azure PowerShell- és Szerepkör hozzárendelése az egyedi szerepkör-azonosító és az Azure CLIhasználatával.
Ne használjon helyettesítő karaktereket egyéni szerepkörök létrehozásakor
Egyéni szerepkörök létrehozásakor a helyettesítő karakter (*) karakter használatával határozhatja meg az engedélyeket. Javasoljuk, hogy a helyettesítő karakter (Actions) használata helyett adja meg explicit módon a DataActions és * karaktert. A jövőbeli Actions vagy DataActions által biztosított további hozzáférés és engedélyek nem kívánt viselkedést eredményezhetnek a helyettesítő karakter használatával. További információ: Azure egyéni szerepkörök.