Megosztás a következőn keresztül:


Az Azure szerepkör-kiosztások megértése

A szerepkör-hozzárendelések lehetővé teszik, hogy egy tag (például egy felhasználó, egy csoport, egy felügyelt identitás vagy egy szolgáltatásnév) hozzáférést biztosítson egy adott Azure-erőforráshoz. Ez a cikk a szerepkör-hozzárendelések részleteit ismerteti.

Szerepkör-hozzárendelés

Az Azure-erőforrásokhoz való hozzáférést szerepkör-hozzárendelés létrehozásával biztosítjuk, a hozzáférést pedig visszavonjuk egy szerepkör-hozzárendelés eltávolításával.

A szerepkör-hozzárendelések több összetevőből állnak, többek között a következőkből:

  • A rendszerbiztonsági tag vagy a szerepkörhöz rendelt tag.
  • A hozzárendelt szerepkör .
  • Az a hatókör , amelyhez a szerepkör hozzá van rendelve.
  • A szerepkör-hozzárendelés neve és egy leírás , amely segít elmagyarázni, hogy miért lett hozzárendelve a szerepkör.

Az Azure RBAC használatával például a következő szerepköröket rendelheti hozzá:

  • A Felhasználó Sally tulajdonosi hozzáféréssel rendelkezik a ContosoStorage erőforráscsoport contoso123 tárfiókhoz.
  • A Microsoft Entra ID Felhőgazdák csoportjában mindenki rendelkezik olvasói hozzáféréssel a ContosoStorage erőforráscsoport összes erőforrásához.
  • Az alkalmazáshoz társított felügyelt identitás a Contoso előfizetésében újraindíthatja a virtuális gépeket.

Az alábbiakban egy példa látható egy szerepkör-hozzárendelés tulajdonságaira, amikor az Azure PowerShell használatával jelenik meg:

{
  "RoleAssignmentName": "00000000-0000-0000-0000-000000000000",
  "RoleAssignmentId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "Scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
  "DisplayName": "User Name",
  "SignInName": "user@contoso.com",
  "RoleDefinitionName": "Contributor",
  "RoleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "ObjectId": "22222222-2222-2222-2222-222222222222",
  "ObjectType": "User",
  "CanDelegate": false,
  "Description": null,
  "ConditionVersion": null,
  "Condition": null
}

Az alábbiakban egy példa látható egy szerepkör-hozzárendelés tulajdonságaira, amikor az Azure CLI vagy a REST API használatával jelenik meg:

{
  "canDelegate": null,
  "condition": null,
  "conditionVersion": null,
  "description": null,
  "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "name": "00000000-0000-0000-0000-000000000000",
  "principalId": "22222222-2222-2222-2222-222222222222",
  "principalName": "user@contoso.com",
  "principalType": "User",
  "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
  "roleDefinitionName": "Contributor",
  "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
  "type": "Microsoft.Authorization/roleAssignments"
}

Az alábbi táblázat a szerepkör-hozzárendelés tulajdonságainak lényegét ismerteti.

Tulajdonság Leírás
RoleAssignmentName
name
A szerepkör-hozzárendelés neve, amely globálisan egyedi azonosító (GUID).
RoleAssignmentId
id
A szerepkör-hozzárendelés egyedi azonosítója, amely tartalmazza a nevet.
Scope
scope
A szerepkör-hozzárendelés hatókörébe tartozó Azure-erőforrás-azonosító.
RoleDefinitionId
roleDefinitionId
A szerepkör egyedi azonosítója.
RoleDefinitionName
roleDefinitionName
A szerepkör neve.
ObjectId
principalId
A szerepkört hozzárendelő tag Microsoft Entra objektumazonosítója.
ObjectType
principalType
Az egyszerű microsoft entra objektum típusa. Az érvényes értékek közé tartozik az User, Groupés ServicePrincipala .
DisplayName A felhasználók szerepkör-hozzárendelései esetén a felhasználó megjelenítendő neve.
SignInName
principalName
A felhasználó egyedi egyszerű neve (UPN) vagy a szolgáltatásnévhez társított alkalmazás neve.
Description
description
A szerepkör-hozzárendelés leírása.
Condition
condition
A szerepkördefiníciókból és attribútumokból származó egy vagy több műveletből létrehozott feltételutasítás.
ConditionVersion
conditionVersion
A feltétel verziószáma. Alapértelmezés szerint 2.0, és ez az egyetlen támogatott verzió.
CanDelegate
canDelegate
Nincs implementálva.

Hatókör

Szerepkör-hozzárendelés létrehozásakor meg kell adnia azt a hatókört, amelyre az alkalmazás vonatkozik. A hatókör azt az erőforrást vagy erőforráskészletet jelöli, amelyhez az egyszerű felhasználó hozzáférhet. Egy szerepkör-hozzárendelés hatóköre egyetlen erőforrásra, erőforráscsoportra, előfizetésre vagy felügyeleti csoportra terjedhet ki.

Tipp.

A követelményeknek való megfeleléshez használja a legkisebb hatókört.

Ha például egy felügyelt identitáshoz hozzáférést kell adnia egyetlen tárfiókhoz, érdemes biztonsági eljárásként létrehozni a szerepkör-hozzárendelést a tárfiók hatókörében, nem az erőforráscsoportban vagy az előfizetés hatókörében.

A hatókörről további információt a hatókör ismertetése című témakörben talál.

Hozzárendelendő szerepkör

A szerepkör-hozzárendelés egy szerepkördefinícióhoz van társítva. A szerepkördefiníció megadja azokat az engedélyeket, amelyekkel az egyszerű felhasználónak rendelkeznie kell a szerepkör-hozzárendelés hatókörén belül.

Hozzárendelhet egy beépített szerepkördefiníciót vagy egy egyéni szerepkördefiníciót. Szerepkör-hozzárendelés létrehozásakor bizonyos eszközökhöz a szerepkördefiníció azonosítóját kell használni, míg más eszközökkel megadhatja a szerepkör nevét.

A szerepkördefiníciókról további információt a szerepkördefiníciók ismertetése című témakörben talál.

Rendszerbiztonsági tag

A főnevek közé tartoznak a felhasználók, a biztonsági csoportok, a felügyelt identitások, a számítási feladatok identitásai és a szolgáltatásnevek. Az egyszerű fiókokat a Microsoft Entra-bérlő hozza létre és felügyeli. Szerepkört bármely taghoz hozzárendelhet. A Microsoft Entra ID objektumazonosítójával azonosíthatja a szerepkört hozzárendelni kívánt tagot.

Ha az Azure PowerShell, az Azure CLI, a Bicep vagy más infrastruktúra kódként (IaC) technológiával hoz létre szerepkör-hozzárendelést, meg kell adnia az egyszerű típust. Az egyszerű típusok közé tartozik a Felhasználó, a Csoport és a ServicePrincipal. Fontos megadni a megfelelő egyszerű típust. Ellenkező esetben időnként üzembehelyezési hibák merülhetnek fel, különösen akkor, ha szolgáltatásnevek és felügyelt identitások használatával dolgozik.

Név

A szerepkör-hozzárendelés erőforrásnevének globálisan egyedi azonosítónak (GUID) kell lennie.

A szerepkör-hozzárendelési erőforrásneveknek egyedinek kell lenniük a Microsoft Entra-bérlőn belül, még akkor is, ha a szerepkör-hozzárendelés hatóköre szűkebb.

Tipp.

Ha az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával hoz létre szerepkör-hozzárendelést, a létrehozási folyamat automatikusan egyedi nevet ad a szerepkör-hozzárendelésnek.

Ha a Bicep vagy más infrastruktúra kódalapú (IaC) technológiával hoz létre szerepkör-hozzárendelést, gondosan meg kell terveznie a szerepkör-hozzárendelések elnevezését. További információ: Azure RBAC-erőforrások létrehozása a Bicep használatával.

Erőforrás-törlési viselkedés

Amikor töröl egy felhasználót, csoportot, szolgáltatásnevet vagy felügyelt identitást a Microsoft Entra-azonosítóból, érdemes törölnie a szerepkör-hozzárendeléseket. A rendszer nem törli őket automatikusan. A törölt egyszerű azonosítóra hivatkozó szerepkör-hozzárendelések érvénytelenek lesznek.

Ha megpróbálja újból felhasználni egy szerepkör-hozzárendelés nevét egy másik szerepkör-hozzárendeléshez, az üzembe helyezés sikertelen lesz. Ez a probléma nagyobb valószínűséggel fordul elő, ha Bicep- vagy Azure Resource Manager-sablont (ARM-sablont) használ a szerepkör-hozzárendelések üzembe helyezéséhez, mivel ezeknek az eszközöknek a használatakor explicit módon kell beállítania a szerepkör-hozzárendelés nevét. Ennek a viselkedésnek a megkerüléséhez távolítsa el a régi szerepkör-hozzárendelést, mielőtt újra létrehozza, vagy győződjön meg arról, hogy egyedi nevet használ egy új szerepkör-hozzárendelés üzembe helyezésekor.

Leírás

A szerepkör-hozzárendeléshez szöveges leírást is hozzáadhat. Bár a leírások nem kötelezőek, célszerű felvenni őket a szerepkör-hozzárendelésekbe. Adjon meg egy rövid indoklást arra vonatkozóan, hogy miért van szüksége a megbízónak a hozzárendelt szerepkörre. Amikor valaki naplózzák a szerepkör-hozzárendeléseket, a leírások segíthetnek megérteni, hogy miért hozták létre őket, és hogy továbbra is alkalmazhatók-e.

Feltételek

Egyes szerepkörök az adott műveletek kontextusában lévő attribútumok alapján támogatják a szerepkör-hozzárendelési feltételeket . A szerepkör-hozzárendelési feltétel egy további ellenőrzés, amelyet igény szerint hozzáadhat a szerepkör-hozzárendeléshez, hogy részletesebb hozzáférés-vezérlést biztosítson.

Hozzáadhat például egy feltételt, amely megköveteli, hogy egy objektumnak rendelkeznie kell egy adott címkével ahhoz, hogy a felhasználó elolvassa az objektumot.

A feltételeket általában vizualizációs feltételszerkesztővel hozza létre, de a kódban az alábbi példafeltételek jelennek meg:

((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'))

Az előző feltétel lehetővé teszi a felhasználók számára, hogy a Project blobindexcímkéjével és kaszkádolt értékkel olvassák a blobokat.

További információ a feltételekről: Mi az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?

Integráció a Privileged Identity Management szolgáltatással (előzetes verzió)

Fontos

Az Azure-beli szerepkör-hozzárendelések integrációja a Privileged Identity Management szolgáltatással jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Ha Microsoft Entra-azonosítójú P2 vagy Microsoft Entra ID-kezelés licenccel rendelkezik, a Microsoft Entra Privileged Identity Management (PIM) integrálva lesz a szerepkör-hozzárendelési lépésekbe. Szerepköröket például korlátozott ideig rendelhet hozzá a felhasználókhoz. A felhasználókat szerepkör-hozzárendelésekre is jogosulttá teheti, hogy aktiválva legyenek a szerepkör használatához, például jóváhagyás kéréséhez. A jogosult szerepkör-hozzárendelések korlátozott ideig biztosítják a megfelelő hozzáférést egy szerepkörhöz. Nem hozhat létre jogosult szerepkör-hozzárendeléseket alkalmazásokhoz, szolgáltatásnevekhez vagy felügyelt identitásokhoz, mert nem tudják végrehajtani az aktiválási lépéseket. Jogosult szerepkör-hozzárendeléseket a felügyeleti csoport, az előfizetés és az erőforráscsoport hatókörében hozhat létre, erőforrás-hatókörben azonban nem. Ez a képesség fázisokban van üzembe helyezve, ezért lehet, hogy még nem érhető el a bérlőben, vagy a felület másként néz ki.

A rendelkezésre álló hozzárendeléstípus-beállítások a PIM-szabályzattól függően eltérőek lehetnek. A PIM-szabályzat például meghatározza, hogy létre lehet-e hozni állandó hozzárendeléseket, az időhöz kötött hozzárendelések maximális időtartamát, a szerepkörök aktiválási követelményeit (jóváhagyás, többtényezős hitelesítés vagy feltételes hozzáférés hitelesítési környezete) és egyéb beállításokat. További információ: Azure-erőforrásszerepkör-beállítások konfigurálása a Privileged Identity Managementben.

Ha nem szeretné használni a PIM funkciót, válassza ki az Aktív hozzárendelés típusát és az Állandó hozzárendelés időtartamát. Ezek a beállítások létrehoznak egy szerepkör-hozzárendelést, amelyben az egyszerű mindig rendelkezik engedélyekkel a szerepkörben.

Képernyőkép a Szerepkör-hozzárendelés hozzáadása lehetőségről, amelyen megjelennek a Hozzárendelés típusbeállításai.

A PIM jobb megértéséhez tekintse át a következő feltételeket.

Kifejezés vagy fogalom Szerepkör-hozzárendelés kategóriája Leírás
jogosult Típus Egy szerepkör-hozzárendelés, amely megköveteli, hogy a felhasználó egy vagy több műveletet hajt végre a szerepkör használatához. Ha egy felhasználó jogosulttá vált egy szerepkörre, az azt jelenti, hogy aktiválhatja a szerepkört, amikor kiemelt feladatokat kell végrehajtania. Nincs különbség az állandó és a jogosult szerepkör-hozzárendeléssel rendelkező személyek hozzáférésében. Az egyetlen különbség az, hogy egyes embereknek nincs szükségük arra, hogy mindig hozzáférjenek.
aktív Típus Olyan szerepkör-hozzárendelés, amely nem követeli meg, hogy a felhasználó bármilyen műveletet végrehajtson a szerepkör használatához. Az aktívként hozzárendelt felhasználók rendelkeznek a szerepkörhöz rendelt jogosultságokkal.
aktiválás Egy vagy több művelet végrehajtásának folyamata egy felhasználó által jogosult szerepkör használatára. A műveletek közé tartozhat a többtényezős hitelesítés (MFA) ellenőrzése, az üzleti indoklás megadása vagy a kijelölt jóváhagyók jóváhagyásának kérése.
állandó jogosult Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig jogosult a szerepkör aktiválására.
állandó aktív Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig műveletek végrehajtása nélkül használhatja a szerepkört.
időkorlátos jogosult Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdési és a befejezési dátumon belül aktiválhatja a szerepkört.
időkorlát aktív Időtartam Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdési és a befejezési dátumon belül használhatja a szerepkört.
igény szerinti (JIT) hozzáférés Olyan modell, amelyben a felhasználók ideiglenes engedélyeket kapnak a kiemelt feladatok végrehajtásához, ami megakadályozza, hogy a rosszindulatú vagy jogosulatlan felhasználók hozzáférjenek az engedélyek lejárta után. A hozzáférés csak akkor érhető el, ha a felhasználóknak szükségük van rá.
a minimális jogosultsági hozzáférés elve Ajánlott biztonsági gyakorlat, amelyben minden felhasználó csak a szükséges minimális jogosultságokkal rendelkezik a tevékenységek végrehajtásához. Ez a gyakorlat minimálisra csökkenti a globális rendszergazdák számát, és konkrét rendszergazdai szerepköröket használ bizonyos forgatókönyvekhez.

További információ: Mi a Microsoft Entra Privileged Identity Management?

Következő lépések