Azure-hozzáférés-kezelés delegálása másoknak

Az Azure szerepköralapú hozzáférés-vezérlésében (Azure RBAC) azure-erőforrásokhoz való hozzáférés biztosításához Azure-szerepköröket rendelhet hozzá. Ha például egy felhasználónak webhelyeket kell létrehoznia és kezelnie egy előfizetésben, hozzárendelheti a webhely közreműködői szerepkörét.

Az Azure-szerepkörök hozzárendelése az Azure-erőforrásokhoz való hozzáférés biztosításához gyakori feladat. Rendszergazdaként előfordulhat, hogy több kérést is kap a hozzáférés megadására, amelyet másnak szeretne delegálni. Azonban meg kell győződnie arról, hogy a meghatalmazott csak azokkal az engedélyekkel rendelkezik, amelyekre a feladatuk elvégzéséhez szükségük van. Ez a cikk azt ismerteti, hogyan delegálhat biztonságosabb szerepkör-hozzárendelés-kezelést a szervezet más felhasználóinak.

Miért érdemes delegálni a szerepkör-hozzárendelések kezelését?

Az alábbiakban néhány okot talál arra, hogy miért érdemes a szerepkör-hozzárendelések felügyeletét másoknak delegálni:

• Számos kérést kap a szerepkörök szervezeten belüli hozzárendelésére.
• A felhasználók nem várnak a szükséges szerepkör-hozzárendelésre.
• A saját részlegeiken, csapataikon vagy projektjeiken belüli felhasználók jobban ismerik, hogy kinek van szükségük hozzáférésre.
• A felhasználók rendelkeznek az Azure-erőforrások létrehozásához szükséges engedélyekkel, de további szerepkör-hozzárendelésre van szükségük az erőforrás teljes használatához. Például:
  • A virtuális gépek létrehozására jogosult felhasználók nem jelentkezhetnek be azonnal a virtuális gépre a virtuális gép Rendszergazda istrator bejelentkezési vagy virtuálisgép-felhasználói bejelentkezési szerepkör nélkül. Ahelyett, hogy nyomon követnél egy rendszergazdat, hogy hozzájuk rendeljen egy bejelentkezési szerepkört, hatékonyabb, ha a felhasználó saját maga rendelheti hozzá a bejelentkezési szerepkört.
  • A fejlesztő rendelkezik engedéllyel egy Azure Kubernetes Service-fürt és egy Azure Container Registry (ACR) létrehozásához, de hozzá kell rendelnie az AcrPull-szerepkört egy felügyelt identitáshoz, hogy képeket tud lekérni az ACR-ből. Ahelyett, hogy nyomon követnél egy rendszergazdat az AcrPull-szerepkör hozzárendeléséhez, hatékonyabb, ha a fejlesztő saját maga rendelheti hozzá a szerepkört.

A szerepkör-hozzárendelések kezelésének delegálása

A Tulajdonos és a Felhasználói hozzáférés Rendszergazda istrator szerepkörök beépített szerepkörök, amelyek lehetővé teszik a felhasználók számára a szerepkör-hozzárendelések létrehozását. A szerepkörök tagjai eldönthetik, hogy ki rendelkezhet írási, olvasási és törlési engedélyekkel az előfizetés bármely erőforrásához. Ha egy másik felhasználónak szeretné delegálni a szerepkör-hozzárendelés kezelését, hozzárendelheti a Tulajdonos vagy a Felhasználói hozzáférés Rendszergazda istrator szerepkört egy felhasználóhoz.

Az alábbi ábra bemutatja, hogyan delegálhat Alice szerepkör-hozzárendelési feladatokat Dara számára. Konkrét lépésekért lásd : Felhasználó hozzárendelése azure-előfizetés rendszergazdájaként.

1. Alice hozzárendeli a User Access Rendszergazda istrator szerepkört Dara-hoz.
2. A Dara mostantól bármilyen szerepkört hozzárendelhet ugyanahhoz a hatókörhöz bármely felhasználóhoz, csoporthoz vagy szolgáltatásnévhez.

Milyen problémák merülnek fel az aktuális delegálási módszerrel kapcsolatban?

A szerepkör-hozzárendelések kezelésének a szervezet más tagjaira történő delegálásának jelenlegi módszerével kapcsolatos elsődleges problémák az alábbiak.

• A meghatalmazott korlátlan hozzáféréssel rendelkezik a szerepkör-hozzárendelés hatókörében. Ez sérti a minimális jogosultság elvét, ami szélesebb támadási felületet tesz elérhetővé.
• A meghatalmazott bármilyen szerepkört hozzárendelhet bármely felhasználóhoz a hatókörükön belül, beleértve magukat is.
• A meghatalmazott hozzárendelheti a tulajdonosi vagy felhasználói hozzáférési Rendszergazda istrator szerepköröket egy másik felhasználóhoz, aki ezután szerepköröket rendelhet más felhasználókhoz.

A tulajdonosi vagy felhasználói hozzáférés Rendszergazda istrator szerepkörök hozzárendelése helyett biztonságosabb módszer a meghatalmazott szerepkör-hozzárendelések létrehozásának korlátozása.

Biztonságosabb módszer: Szerepkör-hozzárendelés-kezelés delegálása feltételekkel

A szerepkör-hozzárendelések kezelésének feltételekkel történő delegálásával korlátozhatja a felhasználó által létrehozható szerepkör-hozzárendeléseket. Az előző példában Alice engedélyezheti Dara számára, hogy szerepkör-hozzárendeléseket hozzon létre a nevében, de nem minden szerepkör-hozzárendelést. Alice például korlátozhatja a Dara által hozzárendelhető szerepköröket, és korlátozhatja azokat az egyszerű tagokat, amelyekhez Dara szerepköröket rendelhet. Ezt a feltételekkel rendelkező delegálást néha korlátozott delegálásnak is nevezik, és Azure attribútumalapú hozzáférés-vezérlési (Azure ABAC) feltételekkel implementálják.

Ez a videó áttekintést nyújt a szerepkör-hozzárendelések feltételekkel történő kezelésének delegálásáról.

Miért delegálhatja a szerepkör-hozzárendelések felügyeletét feltételekkel?

Az alábbiakban néhány okot talál arra, hogy miért biztonságosabb a szerepkör-hozzárendelés-kezelés másokra való delegálása feltételekkel:

• Korlátozhatja a meghatalmazott által létrehozható szerepkör-hozzárendeléseket.
• Megakadályozhatja, hogy egy meghatalmazott egy másik felhasználó szerepköröket rendeljen hozzá.
• A szervezet minimális jogosultságú szabályzatainak megfelelőségét kikényszerítheti.
• Az Azure-erőforrások felügyeletét anélkül automatizálhatja, hogy teljes engedélyeket kellene adnia egy szolgáltatásfióknak.

Példa feltételekre

Vegyünk egy példát, ahol Alice rendszergazda, és az előfizetés felhasználói hozzáférése Rendszergazda istrator szerepkörrel rendelkezik. Alice lehetővé szeretné tenni Dara számára, hogy meghatározott szerepköröket rendeljen hozzá adott csoportokhoz. Alice nem szeretné, hogy Dara más szerepkör-hozzárendelési engedélyekkel rendelkezzen. Az alábbi ábra bemutatja, hogyan delegálhat Alice szerepkör-hozzárendelési feladatokat Dara számára feltételekkel.

1. Alice hozzárendeli a szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkört Darához. Alice feltételeket ad hozzá, hogy Dara csak a biztonsági mentési közreműködői vagy a biztonsági mentési olvasó szerepköröket rendelhesse hozzá a marketing- és értékesítési csoportokhoz.
2. A Dara mostantól hozzárendelheti a Biztonsági mentési közreműködői vagy a Biztonsági mentési olvasó szerepköröket a marketing- és értékesítési csoportokhoz.
3. Ha Dara más szerepköröket próbál hozzárendelni, vagy bármilyen szerepkört szeretne hozzárendelni különböző tagokhoz (például felhasználóhoz vagy felügyelt identitáshoz), a szerepkör-hozzárendelés meghiúsul.

Szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkör

A szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkör egy beépített szerepkör, amely a szerepkör-hozzárendelések kezelésének másokkal való delegálására lett kialakítva. Kevesebb jogosultsággal rendelkezik, mint a User Access Rendszergazda istrator, amely a legkevésbé ajánlott jogosultsági eljárásokat követi. A szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkör a következő engedélyekkel rendelkezik:

• Szerepkör-hozzárendelés létrehozása a megadott hatókörben
• Szerepkör-hozzárendelés törlése a megadott hatókörben
• A titkos kódok kivételével minden típusú erőforrás olvasása
• Támogatási jegy létrehozása és frissítése

Szerepkör-hozzárendelések korlátozásának módjai

Az alábbiakban bemutatjuk, hogyan korlátozhatók a szerepkör-hozzárendelések feltételekkel. Ezeket a feltételeket a forgatókönyvnek megfelelően is kombinálhatja.

• A hozzárendelhető szerepkörök korlátozása

  

• A szerepkörökhöz hozzárendelhető szerepkörök és rendszernevek (felhasználók, csoportok vagy szolgáltatásnevek) korlátozása

  

• A szerepkörök és a hozzárendelhető konkrét tagok korlátozása

  

• A szerepkör-hozzárendelési műveletek hozzáadásának és eltávolításának különböző feltételeinek megadása

  

Szerepkör-hozzárendelés-kezelés delegálása feltételekkel

Ha feltételekkel szeretné delegálni a szerepkör-hozzárendelés kezelését, a szerepköröket a jelenlegi módon rendeli hozzá, de a szerepkör-hozzárendeléshez is hozzáad egy feltételt.

1. A meghatalmazott által igényelt engedélyek meghatározása

   • Milyen szerepköröket rendelhet hozzá a meghatalmazott?
   • Milyen típusú tagokat rendelhet a meghatalmazott szerepkörökhöz?
   • Mely tagokhoz rendelhet szerepköröket a meghatalmazott?
   • El tudja távolítani a delegált szerepkör-hozzárendeléseket?

2. Új szerepkör-hozzárendelés indítása

3. Válassza ki a szerepköralapú hozzáférés-vezérlési Rendszergazda istrator szerepkört

   Bármelyik szerepkört kiválaszthatja, amely tartalmazza a műveletet, de a Microsoft.Authorization/roleAssignments/write szerepköralapú hozzáférés-vezérlési Rendszergazda istrator kevesebb engedéllyel rendelkezik.

4. A meghatalmazott kiválasztása

   Válassza ki azt a felhasználót, akihez szerepkör-hozzárendelés-kezelést szeretne delegálni.

5. Feltétel hozzáadása

   A feltétel hozzáadásának több módja is van. Használhat például egy feltételsablont az Azure Portalon, az Azure Portal speciális feltételszerkesztőjében, az Azure PowerShellben, az Azure CLI-ben, a Bicepben vagy a REST API-ban.

   Sablon

   Válasszon a feltételsablonok listájából. Válassza a Konfigurálás lehetőséget a szerepkörök, az egyszerű típusok vagy a tagok megadásához.

   További információ: Azure-szerepkör-hozzárendelés-kezelés delegálása másokkal feltételekkel.

   

   Feltételszerkesztő

   Ha a feltételsablonok nem működnek a forgatókönyvhöz, vagy ha további szabályozásra van szüksége, használhatja a feltételszerkesztőt.

   Példák: Példák az Azure-szerepkör-hozzárendelések felügyeletének feltételekkel történő delegálására.

   

   Azure PowerShell

   New-AzRoleAssignment

   $roleDefinitionId = "f58310d9-a9f6-439a-9e8d-f62e7b41a168"
   $principalId = "<principalId>"
   $scope = "/subscriptions/<subscriptionId>"
   $condition = "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
   $conditionVersion = "2.0"
   New-AzRoleAssignment -ObjectId $principalId -Scope $scope -RoleDefinitionId $roleDefinitionId -Condition $condition -ConditionVersion $conditionVersion
   

   Azure CLI

   az role assignment create

   set roleDefinitionId="f58310d9-a9f6-439a-9e8d-f62e7b41a168"
   set principalId="{principalId}"
   set principalType="User"
   set scope="/subscriptions/{subscriptionId}"
   set condition="((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
   set conditionVersion="2.0"
   az role assignment create --assignee-object-id %principalId% --assignee-principal-type %principalType% --scope %scope% --role %roleDefinitionId% --condition %condition% --condition-version %conditionVersion%
   

   Bicep

   param roleDefinitionResourceId string
   param principalId string
   param condition string
   
   targetScope = 'subscription'
   
   resource roleAssignment 'Microsoft.Authorization/roleAssignments@2020-04-01-preview' = {
     name: guid(subscription().id, principalId, roleDefinitionResourceId)
     properties: {
       roleDefinitionId: roleDefinitionResourceId
       principalId: principalId
       principalType: 'User'
       condition: condition
       conditionVersion:'2.0'
     }
   }
   

   {
     "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
     "contentVersion": "1.0.0.0",
     "parameters": {
       "roleDefinitionResourceId": {
         "value": "providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168"
       },
       "principalId": {
         "value": "{principalId}"
       },
       "condition": {
         "value": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))"
       }
     }
   }
   

   REST API

   Szerepkör-hozzárendelések – Létrehozás

   PUT https://management.azure.com/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleAssignments/f58310d9-a9f6-439a-9e8d-f62e7b41a168?api-version=2020-04-01-Preview
   
   {
     "properties": {
       "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/f58310d9-a9f6-439a-9e8d-f62e7b41a168",
       "principalId": "{principalId}",
       "condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Request[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals {5e467623-bb1f-42f4-a55d-6e525e11384b, a795c7a0-d4a2-40c1-ae25-d81f01202912} AND @Resource[Microsoft.Authorization/roleAssignments:PrincipalType] ForAnyOfAnyValues:StringEqualsIgnoreCase {'User'}))",
       "conditionVersion": "2.0"
     }
   }
   

6. Szerepkör hozzárendelése delegálandó feltétellel

   Miután megadta a feltételt, végezze el a szerepkör-hozzárendelést.

7. Forduljon a meghatalmazotthoz

   Tájékoztassa a meghatalmazottat, hogy mostantól feltételekkel rendelhetnek hozzá szerepköröket.

Beépített szerepkörök feltételekkel

A Key Vault adathozzáférési Rendszergazda istrator és a virtuálisgép-adatelérési Rendszergazda istrator (előzetes verzió) szerepkörök már beépített feltétellel rendelkeznek a szerepkör-hozzárendelések korlátozásához.

A Key Vault adatelérési Rendszergazda istrator szerepkörrel kezelheti a Key Vault titkos kulcsaihoz, tanúsítványaihoz és kulcsaihoz való hozzáférést. Kizárólag a hozzáférés-vezérlésre összpontosít, anélkül, hogy jogosultsági szerepköröket, például tulajdonosi vagy felhasználói hozzáférés-Rendszergazda istrator szerepköröket rendelhet hozzá. Lehetővé teszi a feladatok jobb elkülönítését olyan forgatókönyvek esetében, mint a inaktív titkosítás kezelése az adatszolgáltatásokban, hogy jobban megfeleljenek a minimális jogosultsági elvnek. A feltétel a következő Azure Key Vault-szerepkörökhöz korlátozza a szerepkör-hozzárendeléseket:

• Key Vault Rendszergazda istrator
• Key Vault tanúsítványkezelő
• Key Vault Crypto Officer
• Key Vault titkosítási szolgáltatás titkosítási felhasználója
• Key Vault titkosítási felhasználó
• Key Vault-olvasó
• Key Vault titkos kulcsok tisztviselője
• Key Vault titkos kulcsok felhasználója

Ha tovább szeretné korlátozni a Key Vault adathozzáférési Rendszergazda istrator szerepkör-hozzárendelését, saját feltételt adhat hozzá, hogy korlátozza a Key Vault-szerepkörökhöz hozzárendelhető tagok (felhasználók, csoportok vagy szolgáltatásnevek) típusait.

Ismert problémák

A szerepkör-hozzárendelés-kezelés feltételekkel történő delegálásával kapcsolatos ismert problémák:

• A Privileged Identity Management használatával nem delegálhat szerepkör-hozzárendelés-kezelést feltételekkel.
• Nem rendelkezhet szerepkör-hozzárendeléssel Microsoft.Storage-adatművelettel és GUID összehasonlító operátort használó ABAC-feltétellel. További információ: Az Azure RBAC hibaelhárítása.

Licenckövetelmények

A funkció használata ingyenes, és az Azure-előfizetés részét képezi.

Következő lépések

• Azure-szerepkör-hozzárendelés-kezelés delegálása másokkal feltételekkel
• Mi az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?
• Példák az Azure-szerepkör-hozzárendelések felügyeletének delegálására feltételekkel