Az Azure szerepkör-kiosztások megértése
A szerepkör-hozzárendelések lehetővé teszik, hogy egy tag (például egy felhasználó, egy csoport, egy felügyelt identitás vagy egy szolgáltatásnév) hozzáférést biztosítson egy adott Azure-erőforráshoz. Ez a cikk a szerepkör-hozzárendelések részleteit ismerteti.
Szerepkör-hozzárendelés
Az Azure-erőforrásokhoz való hozzáférést szerepkör-hozzárendelés létrehozásával biztosítjuk, a hozzáférést pedig visszavonjuk egy szerepkör-hozzárendelés eltávolításával.
A szerepkör-hozzárendelések több összetevőből állnak, többek között a következőkből:
- A rendszerbiztonsági tag vagy a szerepkörhöz rendelt tag.
- A hozzárendelt szerepkör .
- Az a hatókör , amelyhez a szerepkör hozzá van rendelve.
- A szerepkör-hozzárendelés neve és egy leírás , amely segít elmagyarázni, hogy miért lett hozzárendelve a szerepkör.
Az Azure RBAC használatával például a következő szerepköröket rendelheti hozzá:
- A Felhasználó Sally tulajdonosi hozzáféréssel rendelkezik a ContosoStorage erőforráscsoport contoso123 tárfiókhoz.
- A Microsoft Entra ID Felhőgazdák csoportjában mindenki rendelkezik olvasói hozzáféréssel a ContosoStorage erőforráscsoport összes erőforrásához.
- Az alkalmazáshoz társított felügyelt identitás a Contoso előfizetésében újraindíthatja a virtuális gépeket.
Az alábbiakban egy példa látható egy szerepkör-hozzárendelés tulajdonságaira, amikor az Azure PowerShell használatával jelenik meg:
{
"RoleAssignmentName": "00000000-0000-0000-0000-000000000000",
"RoleAssignmentId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
"Scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
"DisplayName": "User Name",
"SignInName": "user@contoso.com",
"RoleDefinitionName": "Contributor",
"RoleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"ObjectId": "22222222-2222-2222-2222-222222222222",
"ObjectType": "User",
"CanDelegate": false,
"Description": null,
"ConditionVersion": null,
"Condition": null
}
Az alábbiakban egy példa látható egy szerepkör-hozzárendelés tulajdonságaira, amikor az Azure CLI vagy a REST API használatával jelenik meg:
{
"canDelegate": null,
"condition": null,
"conditionVersion": null,
"description": null,
"id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
"name": "00000000-0000-0000-0000-000000000000",
"principalId": "22222222-2222-2222-2222-222222222222",
"principalName": "user@contoso.com",
"principalType": "User",
"roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"roleDefinitionName": "Contributor",
"scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
"type": "Microsoft.Authorization/roleAssignments"
}
Az alábbi táblázat a szerepkör-hozzárendelés tulajdonságainak lényegét ismerteti.
Tulajdonság | Leírás |
---|---|
RoleAssignmentName name |
A szerepkör-hozzárendelés neve, amely globálisan egyedi azonosító (GUID). |
RoleAssignmentId id |
A szerepkör-hozzárendelés egyedi azonosítója, amely tartalmazza a nevet. |
Scope scope |
A szerepkör-hozzárendelés hatókörébe tartozó Azure-erőforrás-azonosító. |
RoleDefinitionId roleDefinitionId |
A szerepkör egyedi azonosítója. |
RoleDefinitionName roleDefinitionName |
A szerepkör neve. |
ObjectId principalId |
A szerepkört hozzárendelő tag Microsoft Entra objektumazonosítója. |
ObjectType principalType |
Az egyszerű microsoft entra objektum típusa. Az érvényes értékek közé tartozik az User , Group és ServicePrincipal a . |
DisplayName |
A felhasználók szerepkör-hozzárendelései esetén a felhasználó megjelenítendő neve. |
SignInName principalName |
A felhasználó egyedi egyszerű neve (UPN) vagy a szolgáltatásnévhez társított alkalmazás neve. |
Description description |
A szerepkör-hozzárendelés leírása. |
Condition condition |
A szerepkördefiníciókból és attribútumokból származó egy vagy több műveletből létrehozott feltételutasítás. |
ConditionVersion conditionVersion |
A feltétel verziószáma. Alapértelmezés szerint 2.0, és ez az egyetlen támogatott verzió. |
CanDelegate canDelegate |
Nincs implementálva. |
Hatókör
Szerepkör-hozzárendelés létrehozásakor meg kell adnia azt a hatókört, amelyre az alkalmazás vonatkozik. A hatókör azt az erőforrást vagy erőforráskészletet jelöli, amelyhez az egyszerű felhasználó hozzáférhet. Egy szerepkör-hozzárendelés hatóköre egyetlen erőforrásra, erőforráscsoportra, előfizetésre vagy felügyeleti csoportra terjedhet ki.
Tipp.
A követelményeknek való megfeleléshez használja a legkisebb hatókört.
Ha például egy felügyelt identitáshoz hozzáférést kell adnia egyetlen tárfiókhoz, érdemes biztonsági eljárásként létrehozni a szerepkör-hozzárendelést a tárfiók hatókörében, nem az erőforráscsoportban vagy az előfizetés hatókörében.
A hatókörről további információt a hatókör ismertetése című témakörben talál.
Hozzárendelendő szerepkör
A szerepkör-hozzárendelés egy szerepkördefinícióhoz van társítva. A szerepkördefiníció megadja azokat az engedélyeket, amelyekkel az egyszerű felhasználónak rendelkeznie kell a szerepkör-hozzárendelés hatókörén belül.
Hozzárendelhet egy beépített szerepkördefiníciót vagy egy egyéni szerepkördefiníciót. Szerepkör-hozzárendelés létrehozásakor bizonyos eszközökhöz a szerepkördefiníció azonosítóját kell használni, míg más eszközökkel megadhatja a szerepkör nevét.
A szerepkördefiníciókról további információt a szerepkördefiníciók ismertetése című témakörben talál.
Rendszerbiztonsági tag
A főnevek közé tartoznak a felhasználók, a biztonsági csoportok, a felügyelt identitások, a számítási feladatok identitásai és a szolgáltatásnevek. Az egyszerű fiókokat a Microsoft Entra-bérlő hozza létre és felügyeli. Szerepkört bármely taghoz hozzárendelhet. A Microsoft Entra ID objektumazonosítójával azonosíthatja a szerepkört hozzárendelni kívánt tagot.
Ha az Azure PowerShell, az Azure CLI, a Bicep vagy más infrastruktúra kódként (IaC) technológiával hoz létre szerepkör-hozzárendelést, meg kell adnia az egyszerű típust. Az egyszerű típusok közé tartozik a Felhasználó, a Csoport és a ServicePrincipal. Fontos megadni a megfelelő egyszerű típust. Ellenkező esetben időnként üzembehelyezési hibák merülhetnek fel, különösen akkor, ha szolgáltatásnevek és felügyelt identitások használatával dolgozik.
Név
A szerepkör-hozzárendelés erőforrásnevének globálisan egyedi azonosítónak (GUID) kell lennie.
A szerepkör-hozzárendelési erőforrásneveknek egyedinek kell lenniük a Microsoft Entra-bérlőn belül, még akkor is, ha a szerepkör-hozzárendelés hatóköre szűkebb.
Tipp.
Ha az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával hoz létre szerepkör-hozzárendelést, a létrehozási folyamat automatikusan egyedi nevet ad a szerepkör-hozzárendelésnek.
Ha a Bicep vagy más infrastruktúra kódalapú (IaC) technológiával hoz létre szerepkör-hozzárendelést, gondosan meg kell terveznie a szerepkör-hozzárendelések elnevezését. További információ: Azure RBAC-erőforrások létrehozása a Bicep használatával.
Erőforrás-törlési viselkedés
Amikor töröl egy felhasználót, csoportot, szolgáltatásnevet vagy felügyelt identitást a Microsoft Entra-azonosítóból, érdemes törölnie a szerepkör-hozzárendeléseket. A rendszer nem törli őket automatikusan. A törölt egyszerű azonosítóra hivatkozó szerepkör-hozzárendelések érvénytelenek lesznek.
Ha megpróbálja újból felhasználni egy szerepkör-hozzárendelés nevét egy másik szerepkör-hozzárendeléshez, az üzembe helyezés sikertelen lesz. Ez a probléma nagyobb valószínűséggel fordul elő, ha Bicep- vagy Azure Resource Manager-sablont (ARM-sablont) használ a szerepkör-hozzárendelések üzembe helyezéséhez, mivel ezeknek az eszközöknek a használatakor explicit módon kell beállítania a szerepkör-hozzárendelés nevét. Ennek a viselkedésnek a megkerüléséhez távolítsa el a régi szerepkör-hozzárendelést, mielőtt újra létrehozza, vagy győződjön meg arról, hogy egyedi nevet használ egy új szerepkör-hozzárendelés üzembe helyezésekor.
Leírás
A szerepkör-hozzárendeléshez szöveges leírást is hozzáadhat. Bár a leírások nem kötelezőek, célszerű felvenni őket a szerepkör-hozzárendelésekbe. Adjon meg egy rövid indoklást arra vonatkozóan, hogy miért van szüksége a megbízónak a hozzárendelt szerepkörre. Amikor valaki naplózzák a szerepkör-hozzárendeléseket, a leírások segíthetnek megérteni, hogy miért hozták létre őket, és hogy továbbra is alkalmazhatók-e.
Feltételek
Egyes szerepkörök az adott műveletek kontextusában lévő attribútumok alapján támogatják a szerepkör-hozzárendelési feltételeket . A szerepkör-hozzárendelési feltétel egy további ellenőrzés, amelyet igény szerint hozzáadhat a szerepkör-hozzárendeléshez, hogy részletesebb hozzáférés-vezérlést biztosítson.
Hozzáadhat például egy feltételt, amely megköveteli, hogy egy objektumnak rendelkeznie kell egy adott címkével ahhoz, hogy a felhasználó elolvassa az objektumot.
A feltételeket általában vizualizációs feltételszerkesztővel hozza létre, de a kódban az alábbi példafeltételek jelennek meg:
((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'))
Az előző feltétel lehetővé teszi a felhasználók számára, hogy a Project blobindexcímkéjével és kaszkádolt értékkel olvassák a blobokat.
További információ a feltételekről: Mi az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?