Bérlők, felhasználók és szerepkörök Azure Lighthouse-forgatókönyvekben
Az ügyfelek Azure Lighthouse-hoz való előkészítése előtt fontos megérteni, hogyan működnek a Microsoft Entra-bérlők, a felhasználók és a szerepkörök, és hogyan használhatók az Azure Lighthouse-forgatókönyvekben.
A bérlő a Microsoft Entra ID dedikált és megbízható példánya. Általában minden bérlő egyetlen szervezetet jelöl. Az Azure Lighthouse lehetővé teszi az erőforrások logikai leképezését egyik bérlőről a másik bérlőre. Ez lehetővé teszi, hogy a kezelő bérlő felhasználói (például egy szolgáltatóhoz tartozók) hozzáférjenek az ügyfél bérlőjében lévő delegált erőforrásokhoz, vagy lehetővé teszik a több bérlővel rendelkező vállalatok számára a felügyeleti műveletek központosítását.
A logikai előrejelzés eléréséhez az ügyfélbérlőben lévő előfizetést (vagy egy vagy több erőforráscsoportot) az Azure Lighthouse-ba kell előkészíteni . Ez az előkészítési folyamat elvégezhető Azure Resource Manager-sablonokkal, vagy nyilvános vagy privát ajánlat Azure Marketplace-en való közzétételével.
Bármelyik előkészítési módszernél meg kell határoznia az engedélyeket. Minden engedélyezés tartalmaz egy principalId azonosítót (a felügyelt bérlő Microsoft Entra-felhasználóját, csoportját vagy szolgáltatásnevét) és egy beépített szerepkört, amely meghatározza a delegált erőforrásokhoz adott engedélyeket.
Feljegyzés
Ha nincs explicit módon megadva, az Azure Lighthouse dokumentációjában szereplő "felhasználóra" való hivatkozások egy Microsoft Entra-felhasználóra, -csoportra vagy szolgáltatásnévre vonatkozhatnak az engedélyezés során.
Ajánlott eljárások a felhasználók és szerepkörök meghatározásához
Az engedélyek létrehozásakor az alábbi ajánlott eljárásokat javasoljuk:
- A legtöbb esetben inkább egy Microsoft Entra felhasználói csoporthoz vagy szolgáltatásnévhez szeretne engedélyeket rendelni, nem pedig egy sor egyéni felhasználói fiókhoz. Ezzel lehetővé teszi az egyes felhasználók hozzáférésének hozzáadását vagy eltávolítását a bérlő Microsoft Entra-azonosítóján keresztül anélkül, hogy frissítenie kellene a delegálást minden alkalommal, amikor az egyes hozzáférési követelmények megváltoznak.
- Kövesse a minimális jogosultságok elvét. A véletlen hibák esélyének csökkentése érdekében a felhasználóknak csak az adott feladatuk elvégzéséhez szükséges engedélyekkel kell rendelkezniük. További információ: Ajánlott biztonsági eljárások.
- Adjon meg egy engedélyezést a felügyelt szolgáltatások regisztrációs hozzárendelésének törlési szerepkörével , hogy szükség esetén eltávolíthassa a delegáláshoz való hozzáférést. Ha ez a szerepkör nincs hozzárendelve, a delegált erőforrásokhoz való hozzáférést csak az ügyfél bérlőjében lévő felhasználó távolíthatja el.
- Győződjön meg arról, hogy minden felhasználó, akinek meg kell tekintenie az Ügyfelek lapját az Azure Portalon, rendelkezik olvasói szerepkörsel (vagy egy másik beépített szerepkör, amely tartalmazza az olvasói hozzáférést).
Fontos
Egy Microsoft Entra-csoport engedélyeinek hozzáadásához a csoporttípust Biztonság értékre kell állítani. Ez a beállítás a csoport létrehozásakor lesz kiválasztva. További információ: Alapszintű csoport létrehozása és tagok hozzáadása a Microsoft Entra-azonosítóval.
Az Azure Lighthouse szerepkör-támogatása
Az engedélyezés meghatározásakor minden felhasználói fiókhoz hozzá kell rendelni az Azure beépített szerepköreinek egyikét. Az egyéni szerepkörök és a klasszikus előfizetés-rendszergazdai szerepkörök nem támogatottak.
Az Azure Lighthouse jelenleg az összes beépített szerepkört támogatja, az alábbi kivételekkel:
A Tulajdonos szerepkör nem támogatott.
A felhasználói hozzáférés-rendszergazdai szerepkör támogatott, de csak korlátozott célra , hogy szerepköröket rendeljen egy felügyelt identitáshoz az ügyfélbérlében. A szerepkör által általában megadott egyéb engedélyek nem érvényesek. Ha ezzel a szerepkörrel definiál egy felhasználót, meg kell adnia azokat a szerepköröket is, amelyeket a felhasználó hozzárendelhet a felügyelt identitásokhoz.
Az engedélyekkel rendelkező
DataActions
szerepkörök nem támogatottak.Az alábbi műveletek egyikét tartalmazó szerepkörök nem támogatottak:
- */ír
- */töröl
- Microsoft.Authorization/*
- Microsoft.Authorization/*/write
- Microsoft.Authorization/*/delete
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Authorization/roleDefinitions/write
- Microsoft.Authorization/roleDefinitions/delete
- Microsoft.Authorization/classicAdministrators/write
- Microsoft.Authorization/classicAdministrators/delete
- Microsoft.Authorization/locks/write
- Microsoft.Authorization/locks/delete
- Microsoft.Authorization/denyAssignments/write
- Microsoft.Authorization/denyAssignments/delete
Fontos
Szerepkörök hozzárendelésekor mindenképpen tekintse át az egyes szerepkörökhöz megadott műveleteket . Annak ellenére, hogy az engedélyekkel rendelkező DataActions
szerepkörök nem támogatottak, vannak olyan esetek, amikor a támogatott szerepkörökben szereplő műveletek lehetővé tehetik az adatokhoz való hozzáférést. Ez általában akkor fordul elő, ha az adatok hozzáférési kulcsokon keresztül vannak közzétéve, és nem a felhasználó identitásán keresztül érhetők el. A virtuálisgép-közreműködői szerepkör például tartalmazza a műveletet, amely visszaadja a Microsoft.Storage/storageAccounts/listKeys/action
tárfiók hozzáférési kulcsait, amelyek felhasználhatók bizonyos ügyféladatok lekérésére.
Bizonyos esetekben előfordulhat, hogy egy korábban az Azure Lighthouse-ban támogatott szerepkör elérhetetlenné válik. Ha például az DataActions
engedély olyan szerepkörhöz van hozzáadva, amely korábban nem rendelkezik ezzel az engedéllyel, akkor ez a szerepkör már nem használható új delegálások előkészítésekor. Azok a felhasználók, akik már hozzárendelték ezt a szerepkört, továbbra is dolgozhatnak a korábban delegált erőforrásokon, de nem fognak tudni elvégezni semmilyen olyan feladatot, amely az DataActions
engedélyt használja.
Amint új, alkalmazható beépített szerepkört ad hozzá az Azure-hoz, hozzárendelhető az ügyfél Azure Resource Manager-sablonokkal történő előkészítésekor. A felügyelt szolgáltatásajánlat közzétételekor előfordulhat, hogy az újonnan hozzáadott szerepkör elérhetővé válik a Partnerközpontban. Hasonlóképpen, ha egy szerepkör elérhetetlenné válik, előfordulhat, hogy egy ideig továbbra is megjelenik a Partnerközpontban, de ilyen szerepkörökkel nem tehet közzé új ajánlatokat.
Delegált előfizetések átadása a Microsoft Entra-bérlők között
Ha egy előfizetés átkerül egy másik Microsoft Entra-bérlői fiókba, az Azure Lighthouse előkészítési folyamatán keresztül létrehozott regisztrációs definíció és regisztrációs hozzárendelési erőforrások megmaradnak. Ez azt jelenti, hogy a bérlők kezeléséhez az Azure Lighthouse-on keresztül biztosított hozzáférés továbbra is érvényben marad az adott előfizetésre (vagy az előfizetésen belüli delegált erőforráscsoportokra).
Az egyetlen kivétel az, ha az előfizetés átkerül egy Microsoft Entra-bérlőre, amelyhez korábban delegálták. Ebben az esetben a bérlő delegálási erőforrásai el lesznek távolítva, és az Azure Lighthouse-on keresztül biztosított hozzáférés már nem érvényes, mivel az előfizetés most már közvetlenül az adott bérlőhöz tartozik (ahelyett, hogy az Azure Lighthouse-on keresztül delegálják). Ha azonban az előfizetést más kezelő bérlőknek is delegálták, a többi bérlő ugyanazzal a hozzáféréssel rendelkezik az előfizetéshez.
Következő lépések
- Ismerje meg az Azure Lighthouse ajánlott biztonsági eljárásait.
- Ügyfelek előkészítése az Azure Lighthouse-ba Azure Resource Manager-sablonok használatával, vagy egy privát vagy nyilvános felügyelt szolgáltatási ajánlat Azure Marketplace-en való közzétételével.