Azonosság- és hozzáférés-kezelés Azure Arc-kompatibilis kiszolgálókhoz
A szervezetnek a megfelelő hozzáférési vezérlőket kell megterveznie a hibrid környezetek helyszíni és felhőalapú identitáskezelési rendszerek használatával történő védelméhez.
Ezek az identitáskezelési rendszerek fontos szerepet játszanak. Segítenek megbízható hozzáférés-kezelési vezérlők tervezésében és megvalósításában az Azure Arc-kompatibilis kiszolgálók infrastruktúrájának védelme érdekében.
Managed identity
A létrehozáskor a Microsoft Entra ID rendszer által hozzárendelt identitása csak az Azure Arc-kompatibilis kiszolgálók állapotának frissítésére használható (például a "utoljára látott" szívverés). Ha hozzáférést ad az identitásnak az Azure-erőforrásokhoz, engedélyezheti, hogy a kiszolgálón lévő alkalmazások hozzáférhessenek az Azure-erőforrásokhoz (például titkos kulcsok lekéréséhez egy Key Vaultból). A következőt kell tenni:
- Fontolja meg, hogy a kiszolgálóalkalmazások milyen jogos használati eseteket használnak a hozzáférési jogkivonatok beszerzéséhez és az Azure-erőforrásokhoz való hozzáféréshez, miközben tervezik ezeknek az erőforrásoknak a hozzáférés-vezérlését is.
- Szabályozhatja a kiemelt felhasználói szerepköröket az Azure Arc-kompatibilis kiszolgálókon (a helyi rendszergazdák vagy a Hibrid ügynökbővítmény-alkalmazások csoport tagjai Windows rendszeren és a Himds csoport tagjai Linuxon), hogy elkerülje a rendszer által felügyelt identitásokkal való visszaélést az Azure-erőforrásokhoz való jogosulatlan hozzáférés érdekében.
- Az Azure RBAC használatával szabályozhatja és kezelheti az Azure Arc-kompatibilis kiszolgálók felügyelt identitásainak engedélyeit, és rendszeres hozzáférési felülvizsgálatokat végezhet ezekhez az identitásokhoz.
Szerepköralapú hozzáférés-vezérlés (RBAC)
A minimális jogosultsági elvet követve a felhasználók, csoportok vagy alkalmazások olyan szerepkörökkel vannak hozzárendelve, mint a "közreműködő" vagy a "tulajdonos" vagy az "Azure Csatlakozás ed Machine Resource Rendszergazda istrator", képesek olyan műveleteket végrehajtani, mint a bővítmények üzembe helyezése, a gyökér- vagy rendszergazdai hozzáférés delegálása az Azure Arc-kompatibilis kiszolgálókon. Ezeket a szerepköröket körültekintően kell használni a lehetséges robbanási sugár korlátozása érdekében, vagy végül egyéni szerepkörökkel helyettesítve.
A felhasználók jogosultságának korlátozásához és a kiszolgálók Azure-ba való előkészítésének engedélyezéséhez az Azure Csatlakozás gép előkészítési szerepköre megfelelő. Ez a szerepkör csak kiszolgálók előkészítésére használható, és nem lehet újra előkészíteni vagy törölni a kiszolgálóerőforrást. A hozzáférés-vezérléssel kapcsolatos további információkért tekintse át az Azure Arc-kompatibilis kiszolgálók biztonsági áttekintését .
Vegye figyelembe az Azure Monitor Log Analytics-munkaterületre küldhető bizalmas adatokat is – ugyanez az RBAC-elvet kell alkalmazni magára az adatokra. Az Azure Arc-kompatibilis kiszolgálók olvasási hozzáférése hozzáférést biztosíthat a Log Analytics-ügynök által a társított Log Analytics-munkaterületen tárolt naplóadatokhoz. Tekintse át, hogyan valósíthat meg részletes Log Analytics-munkaterület-hozzáférést az Azure Monitor Logs üzembehelyezési dokumentációjának megtervezésében.
Felépítés
Az alábbi ábra egy referenciaarchitektúrát mutat be, amely bemutatja az Azure Arc-kompatibilis kiszolgálók szerepköreit, engedélyeit és műveleteinek folyamatát:
Design considerations
- Döntse el, hogy a szervezetből kik férhessenek hozzá az előkészítési kiszolgálókhoz a szükséges engedélyek beállításához a kiszolgálókon és az Azure-ban.
- Döntse el, hogy ki kezelje az Azure Arc-kompatibilis kiszolgálókat. Ezután döntse el, hogy ki tekintheti meg az adatait az Azure-szolgáltatásokból és más felhőkörnyezetekből.
- Döntse el, hogy hány Arc-előkészítési szolgáltatásnévre van szüksége. Ezen identitások közül több használható olyan kiszolgálók előkészítésére, amelyek egy vállalat különböző üzleti funkciói vagy egységei tulajdonában vannak, és amelyek működési felelősségen és tulajdonjogon alapulnak.
- Tekintse át az Azure nagyvállalati szintű kezdőzónájának identitás- és hozzáférés-kezelési tervezési területét . Tekintse át a területet az Azure Arc-kompatibilis kiszolgálók általános identitás- és hozzáférési modellre gyakorolt hatásának felméréséhez.
Tervezési javaslatok
- Kiszolgálók előkészítése és felügyelete
- A biztonsági csoportok segítségével helyi rendszergazdai jogosultságokat rendelhet a kiszolgálókon található azonosított felhasználókhoz vagy szolgáltatásfiókokhoz, hogy nagy léptékben regisztráljanak az Azure Arcra.
- A Microsoft Entra szolgáltatásnévvel kiszolgálókat hozhat létre az Azure Arcon. Fontolja meg több Microsoft Entra-szolgáltatásnév használatát egy decentralizált üzemeltetési modellben, ahol a kiszolgálókat különböző informatikai csapatok felügyelik.
- Használjon rövid élettartamú Microsoft Entra szolgáltatásnév ügyfélkulcsokat.
- Rendelje hozzá az Azure Csatlakozás gép előkészítési szerepkörét az erőforráscsoport szintjén.
- Használja a Microsoft Entra biztonsági csoportokat, és adja meg a hibrid kiszolgáló erőforrás-Rendszergazda istrator szerepkörét. Adja meg a szerepkört az Azure Arc-kompatibilis kiszolgálói erőforrásokat kezelő csapatoknak és egyéneknek az Azure-ban.
- Microsoft Entra ID által védett erőforrás-hozzáférés
- Felügyelt identitások használata a helyszíni kiszolgálókon (és más felhőkörnyezeteken) futó alkalmazásokhoz a Microsoft Entra ID által védett felhőerőforrásokhoz való hozzáférés biztosításához.
- A felügyelt identitásokhoz való hozzáférés korlátozása a Microsoft Entra alkalmazásengedélyekkel engedélyezett alkalmazások számára.
- Helyi biztonsági csoport használata
Hybrid agent extension applications
Windowson vagy a Linux himds csoportjában, hogy hozzáférést biztosítson a felhasználóknak, hogy Azure-erőforrás-hozzáférési jogkivonatokat kérjenek az Azure Arc-kompatibilis kiszolgálókról.
További lépések
A hibrid felhő bevezetésére vonatkozó további útmutatásért tekintse át a következő erőforrásokat:
- Tekintse át az Azure Arc jumpstart-forgatókönyveit .
- Tekintse át az Azure Arc-kompatibilis kiszolgálók előfeltételeit .
- Tervezze meg az Azure Arc-kompatibilis kiszolgálók nagy léptékű üzembe helyezését .
- További információ az Azure Arcról az Azure Arc képzési tervével.