Megosztás a következőn keresztül:


Az Azure szerepkör-kiosztások megértése

A szerepkör-hozzárendelések lehetővé teszik, hogy egy tag (például egy felhasználó, egy csoport, egy felügyelt identitás vagy egy szolgáltatásnév) hozzáférést biztosítson egy adott Azure-erőforráshoz. Ez a cikk a szerepkör-hozzárendelések részleteit ismerteti.

Szerepkör-hozzárendelés

Az Azure-erőforrásokhoz való hozzáférést szerepkör-hozzárendelés létrehozásával biztosítjuk, a hozzáférést pedig visszavonjuk egy szerepkör-hozzárendelés eltávolításával.

A szerepkör-hozzárendelések több összetevőből állnak, többek között a következőkből:

  • A rendszerbiztonsági tag vagy a szerepkörhöz rendelt tag.
  • A hozzárendelt szerepkör .
  • Az a hatókör , amelyhez a szerepkör hozzá van rendelve.
  • A szerepkör-hozzárendelés neve és egy leírás , amely segít elmagyarázni, hogy miért lett hozzárendelve a szerepkör.

Az Azure RBAC használatával például a következő szerepköröket rendelheti hozzá:

  • A Felhasználó Sally tulajdonosi hozzáféréssel rendelkezik a ContosoStorage erőforráscsoport contoso123 tárfiókhoz.
  • A Microsoft Entra ID Felhőgazdák csoportjában mindenki rendelkezik olvasói hozzáféréssel a ContosoStorage erőforráscsoport összes erőforrásához.
  • Az alkalmazáshoz társított felügyelt identitás a Contoso előfizetésében újraindíthatja a virtuális gépeket.

Az alábbiakban egy példa látható egy szerepkör-hozzárendelés tulajdonságaira, amikor az Azure PowerShell használatával jelenik meg:

{
  "RoleAssignmentName": "00000000-0000-0000-0000-000000000000",
  "RoleAssignmentId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "Scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
  "DisplayName": "User Name",
  "SignInName": "user@contoso.com",
  "RoleDefinitionName": "Contributor",
  "RoleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "ObjectId": "22222222-2222-2222-2222-222222222222",
  "ObjectType": "User",
  "CanDelegate": false,
  "Description": null,
  "ConditionVersion": null,
  "Condition": null
}

Az alábbiakban egy példa látható egy szerepkör-hozzárendelés tulajdonságaira, amikor az Azure CLI vagy a REST API használatával jelenik meg:

{
  "canDelegate": null,
  "condition": null,
  "conditionVersion": null,
  "description": null,
  "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "name": "00000000-0000-0000-0000-000000000000",
  "principalId": "22222222-2222-2222-2222-222222222222",
  "principalName": "user@contoso.com",
  "principalType": "User",
  "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
  "roleDefinitionName": "Contributor",
  "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
  "type": "Microsoft.Authorization/roleAssignments"
}

Az alábbi táblázat a szerepkör-hozzárendelés tulajdonságainak lényegét ismerteti.

Tulajdonság Leírás
RoleAssignmentName
name
A szerepkör-hozzárendelés neve, amely globálisan egyedi azonosító (GUID).
RoleAssignmentId
id
A szerepkör-hozzárendelés egyedi azonosítója, amely tartalmazza a nevet.
Scope
scope
A szerepkör-hozzárendelés hatókörébe tartozó Azure-erőforrás-azonosító.
RoleDefinitionId
roleDefinitionId
A szerepkör egyedi azonosítója.
RoleDefinitionName
roleDefinitionName
A szerepkör neve.
ObjectId
principalId
A szerepkört hozzárendelő tag Microsoft Entra objektumazonosítója.
ObjectType
principalType
Az egyszerű microsoft entra objektum típusa. Az érvényes értékek közé tartozik az User, Groupés ServicePrincipala .
DisplayName A felhasználók szerepkör-hozzárendelései esetén a felhasználó megjelenítendő neve.
SignInName
principalName
A felhasználó egyedi egyszerű neve (UPN) vagy a szolgáltatásnévhez társított alkalmazás neve.
Description
description
A szerepkör-hozzárendelés leírása.
Condition
condition
A szerepkördefiníciókból és attribútumokból származó egy vagy több műveletből létrehozott feltételutasítás.
ConditionVersion
conditionVersion
A feltétel verziószáma. Alapértelmezés szerint 2.0, és ez az egyetlen támogatott verzió.
CanDelegate
canDelegate
Nincs implementálva.

Hatókör

Szerepkör-hozzárendelés létrehozásakor meg kell adnia azt a hatókört, amelyre az alkalmazás vonatkozik. A hatókör azt az erőforrást vagy erőforráskészletet jelöli, amelyhez az egyszerű felhasználó hozzáférhet. Egy szerepkör-hozzárendelés hatóköre egyetlen erőforrásra, erőforráscsoportra, előfizetésre vagy felügyeleti csoportra terjedhet ki.

Tipp.

A követelményeknek való megfeleléshez használja a legkisebb hatókört.

Ha például egy felügyelt identitáshoz hozzáférést kell adnia egyetlen tárfiókhoz, érdemes biztonsági eljárásként létrehozni a szerepkör-hozzárendelést a tárfiók hatókörében, nem az erőforráscsoportban vagy az előfizetés hatókörében.

A hatókörről további információt a hatókör ismertetése című témakörben talál.

Hozzárendelendő szerepkör

A szerepkör-hozzárendelés egy szerepkördefinícióhoz van társítva. A szerepkördefiníció megadja azokat az engedélyeket, amelyekkel az egyszerű felhasználónak rendelkeznie kell a szerepkör-hozzárendelés hatókörén belül.

Hozzárendelhet egy beépített szerepkördefiníciót vagy egy egyéni szerepkördefiníciót. Szerepkör-hozzárendelés létrehozásakor bizonyos eszközökhöz a szerepkördefiníció azonosítóját kell használni, míg más eszközökkel megadhatja a szerepkör nevét.

A szerepkördefiníciókról további információt a szerepkördefiníciók ismertetése című témakörben talál.

Rendszerbiztonsági tag

A főnevek közé tartoznak a felhasználók, a biztonsági csoportok, a felügyelt identitások, a számítási feladatok identitásai és a szolgáltatásnevek. Az egyszerű fiókokat a Microsoft Entra-bérlő hozza létre és felügyeli. Szerepkört bármely taghoz hozzárendelhet. A Microsoft Entra ID objektumazonosítójával azonosíthatja a szerepkört hozzárendelni kívánt tagot.

Ha az Azure PowerShell, az Azure CLI, a Bicep vagy más infrastruktúra kódként (IaC) technológiával hoz létre szerepkör-hozzárendelést, meg kell adnia az egyszerű típust. Az egyszerű típusok közé tartozik a Felhasználó, a Csoport és a ServicePrincipal. Fontos megadni a megfelelő egyszerű típust. Ellenkező esetben időnként üzembehelyezési hibák merülhetnek fel, különösen akkor, ha szolgáltatásnevek és felügyelt identitások használatával dolgozik.

Név

A szerepkör-hozzárendelés erőforrásnevének globálisan egyedi azonosítónak (GUID) kell lennie.

A szerepkör-hozzárendelési erőforrásneveknek egyedinek kell lenniük a Microsoft Entra-bérlőn belül, még akkor is, ha a szerepkör-hozzárendelés hatóköre szűkebb.

Tipp.

Ha az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával hoz létre szerepkör-hozzárendelést, a létrehozási folyamat automatikusan egyedi nevet ad a szerepkör-hozzárendelésnek.

Ha a Bicep vagy más infrastruktúra kódalapú (IaC) technológiával hoz létre szerepkör-hozzárendelést, gondosan meg kell terveznie a szerepkör-hozzárendelések elnevezését. További információ: Azure RBAC-erőforrások létrehozása a Bicep használatával.

Erőforrás-törlési viselkedés

Amikor töröl egy felhasználót, csoportot, szolgáltatásnevet vagy felügyelt identitást a Microsoft Entra-azonosítóból, érdemes törölnie a szerepkör-hozzárendeléseket. A rendszer nem törli őket automatikusan. A törölt egyszerű azonosítóra hivatkozó szerepkör-hozzárendelések érvénytelenek lesznek.

Ha megpróbálja újból felhasználni egy szerepkör-hozzárendelés nevét egy másik szerepkör-hozzárendeléshez, az üzembe helyezés sikertelen lesz. Ez a probléma nagyobb valószínűséggel fordul elő, ha Bicep- vagy Azure Resource Manager-sablont (ARM-sablont) használ a szerepkör-hozzárendelések üzembe helyezéséhez, mivel ezeknek az eszközöknek a használatakor explicit módon kell beállítania a szerepkör-hozzárendelés nevét. Ennek a viselkedésnek a megkerüléséhez távolítsa el a régi szerepkör-hozzárendelést, mielőtt újra létrehozza, vagy győződjön meg arról, hogy egyedi nevet használ egy új szerepkör-hozzárendelés üzembe helyezésekor.

Leírás

A szerepkör-hozzárendeléshez szöveges leírást is hozzáadhat. Bár a leírások nem kötelezőek, célszerű felvenni őket a szerepkör-hozzárendelésekbe. Adjon meg egy rövid indoklást arra vonatkozóan, hogy miért van szüksége a megbízónak a hozzárendelt szerepkörre. Amikor valaki naplózzák a szerepkör-hozzárendeléseket, a leírások segíthetnek megérteni, hogy miért hozták létre őket, és hogy továbbra is alkalmazhatók-e.

Feltételek

Egyes szerepkörök az adott műveletek kontextusában lévő attribútumok alapján támogatják a szerepkör-hozzárendelési feltételeket . A szerepkör-hozzárendelési feltétel egy további ellenőrzés, amelyet igény szerint hozzáadhat a szerepkör-hozzárendeléshez, hogy részletesebb hozzáférés-vezérlést biztosítson.

Hozzáadhat például egy feltételt, amely megköveteli, hogy egy objektumnak rendelkeznie kell egy adott címkével ahhoz, hogy a felhasználó elolvassa az objektumot.

A feltételeket általában vizualizációs feltételszerkesztővel hozza létre, de a kódban az alábbi példafeltételek jelennek meg:

((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'))

Az előző feltétel lehetővé teszi a felhasználók számára, hogy a Project blobindexcímkéjével és kaszkádolt értékkel olvassák a blobokat.

További információ a feltételekről: Mi az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?

Következő lépések