Szerepkörök, engedélyek és biztonság az Azure Monitorban
Ez a cikk bemutatja, hogyan alkalmazhat gyorsan beépített monitorozási szerepkört egy Azure-beli felhasználóra, vagy hogyan hozhat létre saját egyéni szerepkört egy korlátozott figyelési engedélyekkel rendelkező felhasználó számára. A cikk ezután ismerteti az Azure Monitorhoz kapcsolódó erőforrások biztonsági szempontjait, valamint azt, hogy hogyan korlátozhatja az ezekben az erőforrásokban lévő adatokhoz való hozzáférést.
Beépített monitorozási szerepkörök
Az Azure Monitor beépített szerepkörei segítenek az erőforrásokhoz való hozzáférés korlátozásában, miközben lehetővé teszik az infrastruktúra monitorozásáért felelős munkatársak számára a szükséges adatok beszerzését és konfigurálását. Az Azure Monitor két beépített szerepkört kínál: a Figyelési olvasót és a Figyelési közreműködőt. Az Azure Monitor-naplók beépített szerepköröket is biztosítanak a Log Analytics-munkaterületek adataihoz való hozzáférés kezeléséhez, a Log Analytics-munkaterületekhez való hozzáférés kezelése című szakaszban leírtak szerint.
Figyelési olvasó
A Figyelési olvasó szerepkörrel rendelkező személyek megtekinthetik az előfizetés összes monitorozási adatát, de nem módosíthatják az erőforrásokat, és nem szerkeszthetik az erőforrások figyelésével kapcsolatos beállításokat. Ez a szerepkör megfelelő a szervezet felhasználóinak, például a támogatási vagy üzemeltetési mérnököknek, akiknek a következőkre van szükségük:
- Monitorozási irányítópultok megtekintése az Azure Portalon.
- Az Azure-riasztásokban definiált riasztási szabályok megtekintése.
- Azure Monitor-metrikák lekérdezése az Azure Monitor REST API-val, PowerShell-parancsmagokkal vagy platformfüggetlen parancssori felülettel.
- A tevékenységnapló lekérdezése a portál, az Azure Monitor REST API, a PowerShell-parancsmagok vagy a platformfüggetlen parancssori felület használatával.
- Az erőforrás diagnosztikai beállításainak megtekintése.
- Előfizetés naplóprofiljának megtekintése.
- Automatikus méretezési beállítások megtekintése.
- Riasztási tevékenység és beállítások megtekintése.
- Keresse meg a Log Analytics-munkaterület adatait, beleértve a munkaterület használati adatait is.
- Kérje le a táblázatsémákat egy Log Analytics-munkaterületen.
- Napló lekérdezések lekérése és végrehajtása Egy Log Analytics-munkaterületen.
- Az alkalmazás Elemzések adatok elérése.
Feljegyzés
Ez a szerepkör nem biztosít olvasási hozzáférést az eseményközpontba streamelt vagy tárfiókban tárolt naplóadatokhoz. Az erőforrásokhoz való hozzáférés konfigurálásáról a jelen cikk későbbi, az adatok monitorozásával kapcsolatos biztonsági szempontok című szakaszában olvashat.
Figyelési közreműködő
A Figyelési közreműködő szerepkörrel rendelkező személyek megtekinthetik az előfizetés összes monitorozási adatát. Emellett létrehozhatnak és módosíthatnak monitorozási beállításokat, de nem módosíthatnak egyéb erőforrásokat.
Ez a szerepkör a Figyelési olvasó szerepkör egy szuperhalmaza. A szervezet monitorozási csapatának tagjai vagy felügyelt szolgáltatók számára megfelelő, akiknek a korábban említett engedélyeken kívül a következőkre van szükségük:
- Tekintse meg a monitorozási irányítópultokat a portálon, és hozzon létre saját privát monitorozási irányítópultokat.
- Diagnosztikai beállítások létrehozása és szerkesztése egy erőforráshoz. 1
- Riasztási szabály tevékenységeinek és beállításainak beállítása Az Azure-riasztások használatával.
- Log Analytics-munkaterület megosztott kulcsainak listázása.
- Mentett keresések létrehozása, törlése és végrehajtása Egy Log Analytics-munkaterületen.
- Hozza létre és törölje a Log Analytics munkaterületi tárolókonfigurációját.
- Webtesztek és összetevők létrehozása az Alkalmazás Elemzések. Lásd: Erőforrások, szerepkörök és hozzáférés-vezérlés az Alkalmazás Elemzések.
1 Diagnosztikai beállítás létrehozásához vagy szerkesztéséhez a felhasználóknak külön kell megadniuk a ListKeys-engedélyt a célerőforráson (tárfiók vagy eseményközpont névterén).
Feljegyzés
Ez a szerepkör nem biztosít olvasási hozzáférést az eseményközpontba streamelt vagy tárfiókban tárolt naplóadatokhoz. Az erőforrásokhoz való hozzáférés konfigurálásáról a jelen cikk későbbi, az adatok monitorozásával kapcsolatos biztonsági szempontok című szakaszában olvashat.
Engedélyek és egyéni Azure-szerepkörök figyelése
Ha az előző beépített szerepkörök nem felelnek meg a csapat pontos igényeinek, részletesebb engedélyekkel létrehozhat egy Egyéni Azure-szerepkört . Az Azure Monitor gyakori azure-beli szerepköralapú hozzáférés-vezérlési (RBAC) műveleteit itt találja.
| Művelet | Leírás |
|---|---|
| Microsoft. Elemzések/ActionGroups/[Olvasás, Írás, Törlés] | Műveletcsoportok olvasása, írása vagy törlése. |
| Microsoft. Elemzések/ActivityLogAlerts/[Olvasás, Írás, Törlés] | Tevékenységnapló-riasztások olvasása, írása vagy törlése. |
| Microsoft. Elemzések/AlertRules/[Olvasás, Írás, Törlés] | Riasztási szabályok olvasása, írása vagy törlése (klasszikus riasztásokból). |
| Microsoft. Elemzések/AlertRules/Incidensek/Olvasás | A riasztási szabályok incidenseinek (az aktivált riasztási szabály előzményeinek) listázása. Ez csak a portálra vonatkozik. |
| Microsoft. Elemzések/Automatikus skálázás Gépház/[Olvasás, Írás, Törlés] | Automatikus skálázási beállítások olvasása, írása vagy törlése. |
| Microsoft. Elemzések/Diagnostic Gépház/[Olvasás, Írás, Törlés] | Diagnosztikai beállítások olvasása, írása vagy törlése. |
| Microsoft. Elemzések/EventCategories/Read | Sorolja fel a tevékenységnaplóban lehetséges összes kategóriát. Az Azure Portal használja. |
| Microsoft. Elemzések/eventtypes/digestevents/Read | Erre az engedélyre azoknak a felhasználóknak van szükség, akiknek hozzáférésre van szükségük a tevékenységnaplóhoz a portálon keresztül. |
| Microsoft. Elemzések/eventtypes/values/Read | Tevékenységnapló-események (felügyeleti események) listázása egy előfizetésben. Ez az engedély mind a programozott, mind a portál tevékenységnaplóhoz való hozzáférésére vonatkozik. |
| Microsoft. Elemzések/ExtendedDiagnostic Gépház/[Olvasás, Írás, Törlés] | A hálózati folyamatnaplók diagnosztikai beállításainak olvasása, írása vagy törlése. |
| Microsoft. Elemzések/LogDefinitions/Read | Erre az engedélyre azoknak a felhasználóknak van szükség, akiknek hozzáférésre van szükségük a tevékenységnaplóhoz a portálon keresztül. |
| Microsoft. Elemzések/LogProfiles/[Olvasás, Írás, Törlés] | Naplóprofilok olvasása, írása vagy törlése (a tevékenységnapló streamelése eseményközpontba vagy tárfiókba). |
| Microsoft. Elemzések/MetricAlerts/[Olvasás, Írás, Törlés] | Metrikariasztási szabályok olvasása, írása vagy törlése. |
| Microsoft. Elemzések/MetricDefinitions/Read | Metrikadefiníciók olvasása (az erőforráshoz rendelkezésre álló metrikatípusok listája). |
| Microsoft. Elemzések/Metrikák/Olvasás | Metrikák olvasása egy erőforráshoz. |
| Microsoft.Insights/Regisztráció/Ació | Regisztrálja az Azure Monitor erőforrás-szolgáltatót. |
| Microsoft. Elemzések/ScheduledQueryRules/[Olvasás, Írás, Törlés] | Naplókeresési riasztások olvasása, írása vagy törlése az Azure Monitorban. |
Feljegyzés
Az erőforrások riasztásaihoz, diagnosztikai beállításaihoz és metrikáihoz való hozzáféréshez a felhasználónak olvasási hozzáféréssel kell rendelkeznie az erőforrás erőforrástípusához és hatóköréhez. Ha olyan diagnosztikai beállítást hoz létre, amely adatokat küld egy tárfiókba vagy streameket az eseményközpontokba, a felhasználónak ListKeys-engedéllyel kell rendelkeznie a célerőforráson.
Az előző táblázat segítségével például létrehozhat egy Azure-beli egyéni szerepkört egy tevékenységnapló-olvasóhoz a következőkkel:
$role = Get-AzRoleDefinition "Reader"
$role.Id = $null
$role.Name = "Activity Log Reader"
$role.Description = "Can view activity logs."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Insights/eventtypes/*")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/mySubscription")
New-AzRoleDefinition -Role $role
Biztonsági szempontok az adatok monitorozásához
Az Azure Monitorban lévő adatok elküldhetők egy tárfiókban, vagy streamelhetők egy eseményközpontba, amelyek mindegyike általános célú Azure-erőforrás. Mivel ezek általános célú erőforrások, a létrehozásuk, törlésük és hozzáférésük egy rendszergazda számára fenntartott kiemelt művelet. Mivel ezek az adatok bizalmas információkat, például IP-címeket vagy felhasználóneveket tartalmazhatnak, a következő eljárásokkal megelőzheti a visszaélést:
- Egyetlen dedikált tárfiók használata az adatok monitorozásához. Ha több tárfiókra kell különítenie a figyelési adatokat, soha ne ossza meg a tárfiókok használatát a figyelési és a nem figyelési adatok között. A használat ilyen módon történő megosztása véletlenül hozzáférést biztosíthat a nem figyelési adatokhoz azoknak a szervezeteknek, amelyeknek csak monitorozási adatokhoz kell hozzáférni. A biztonsági információk és eseménykezelés harmadik féltől származó szervezetének például csak a figyelési adatokhoz kell hozzáférnie.
- Használjon egyetlen dedikált service bus- vagy eseményközpont-névteret az összes diagnosztikai beállításban az előző pontban ismertetett okból.
- A figyeléssel kapcsolatos tárfiókokhoz vagy eseményközpontokhoz való hozzáférés korlátozásához tartsa őket külön erőforráscsoportban. A figyelési szerepkörök hatókörének használatával korlátozhatja a hozzáférést csak az adott erőforráscsoportra.
- Soha ne adjon a ListKeys-engedélyt sem a tárfiókokhoz, sem az eseményközpontokhoz az előfizetés hatókörében, ha a felhasználónak csak a figyelési adatokhoz kell hozzáférnie. Ehelyett adja meg ezeket az engedélyeket a felhasználónak egy erőforrás- vagy erőforráscsoport-hatókörben (ha dedikált figyelési erőforráscsoportot használ).
A figyeléssel kapcsolatos tárfiókokhoz való hozzáférés korlátozása
Ha egy felhasználónak vagy alkalmazásnak hozzáférésre van szüksége a tárfiókban lévő monitorozási adatokhoz, hozzon létre egy közös hozzáférésű jogosultságkódot (SAS) a tárfiókon, amely a blobtárolóhoz szolgáltatásszintű írásvédett hozzáféréssel rendelkező figyelési adatokat tartalmaz. A PowerShellben a fiók SAS-kódja a következő kódhoz hasonlóan nézhet ki:
$context = New-AzStorageContext -ConnectionString "[connection string for your monitoring Storage Account]"
$token = New-AzStorageAccountSASToken -ResourceType Service -Service Blob -Permission "rl" -Context $context
Ezután átadhatja a jogkivonatot annak az entitásnak, amelyet be kell olvasnia a tárfiókból. Az entitás az adott tárfiókban lévő összes blobból listázhat és olvashat.
Másik lehetőségként, ha ezt az engedélyt az Azure RBAC-vel kell szabályoznia, akkor az adott entitásnak megadhatja az Microsoft.Storage/storageAccounts/listkeys/action adott tárfiókra vonatkozó engedélyt. Erre az engedélyre azoknak a felhasználóknak van szükségük, akiknek diagnosztikai beállítást kell beállítaniuk ahhoz, hogy adatokat küldjenek egy tárfiókba. Létrehozhatja például a következő egyéni Azure-szerepkört egy olyan felhasználóhoz vagy alkalmazáshoz, akinek csak egy tárfiókból kell olvasnia:
$role = Get-AzRoleDefinition "Reader"
$role.Id = $null
$role.Name = "Monitoring Storage Account Reader"
$role.Description = "Can get the storage account keys for a monitoring storage account."
$role.Actions.Clear()
$role.Actions.Add("Microsoft.Storage/storageAccounts/listkeys/action")
$role.Actions.Add("Microsoft.Storage/storageAccounts/Read")
$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/mySubscription/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccounts/myMonitoringStorageAccount")
New-AzRoleDefinition -Role $role
Figyelmeztetés
A ListKeys engedély lehetővé teszi, hogy a felhasználó listázhassa az elsődleges és másodlagos tárfiókkulcsokat. Ezek a kulcsok minden aláírt engedélyt (például olvasást, írást, blobok létrehozását és törlését) biztosítanak a felhasználónak az adott tárfiókban található összes aláírt szolgáltatás (blob, üzenetsor, tábla, fájl) között. Javasoljuk, hogy lehetőség szerint használjunk fiók SAS-t.
A figyeléssel kapcsolatos eseményközpontokhoz való hozzáférés korlátozása
Hasonló mintát követhet az eseményközpontokkal, de először létre kell hoznia egy dedikált engedélyezési szabályt a figyeléshez. Ha olyan alkalmazáshoz szeretne hozzáférést adni, amely csak figyeléssel kapcsolatos eseményközpontokat szeretne figyelni, kövesse az alábbi lépéseket:
A portálon hozzon létre egy megosztott hozzáférési szabályzatot az eseményközpontokon, amelyek csak figyelési jogcímekkel rendelkező streamelési figyelési adatokhoz lettek létrehozva. Nevezheti például "monitoringReadOnly"-nak. Ha lehetséges, adja meg ezt a kulcsot közvetlenül a fogyasztónak, és hagyja ki a következő lépést.
Ha a fogyasztónak alkalmi kulcsra van szüksége, adja meg a felhasználónak az adott eseményközpontHoz tartozó ListKeys-műveletet. Ez a lépés azoknak a felhasználóknak is szükséges, akiknek diagnosztikai beállítást vagy naplóprofilt kell beállítaniuk az eseményközpontokba való streameléshez. Létrehozhat például egy Azure RBAC-szabályt:
$role = Get-AzRoleDefinition "Reader" $role.Id = $null $role.Name = "Monitoring Event Hub Listener" $role.Description = "Can get the key to listen to an event hub streaming monitoring data." $role.Actions.Clear() $role.Actions.Add("Microsoft.EventHub/namespaces/authorizationrules/listkeys/action") $role.Actions.Add("Microsoft.EventHub/namespaces/Read") $role.AssignableScopes.Clear() $role.AssignableScopes.Add("/subscriptions/mySubscription/resourceGroups/myResourceGroup/providers/Microsoft.ServiceBus/namespaces/mySBNameSpace") New-AzRoleDefinition -Role $role