Az Azure RBAC hatókörének ismertetése

A hatókör azon erőforrások készlete, amelyekre a hozzáférés vonatkozik. A szerepkörök hozzárendelésekor fontos megérteni a hatókört, hogy a rendszerbiztonsági tagnak csak a valóban szükséges hozzáférést biztosíthassa. A hatókör korlátozásával korlátozhatja, hogy mely erőforrások vannak veszélyben, ha a rendszerbiztonsági tag biztonsága valaha is sérül.

Hatókörszintek

Az Azure-ban négy szinten adhat meg hatókört: felügyeleti csoport, előfizetés, erőforráscsoport és erőforrás. A hatókörök szülő-gyermek (származtatott) kapcsolatokba vannak rendezve. A hierarchia minden szintje pontosabbá teszi a hatókört. A szerepköröket a hatókör bármelyik szintjén hozzárendelheti. A kiválasztott szint határozza meg, hogy a szerepkör milyen széles körben legyen alkalmazva. Az alacsonyabb szintek a magasabb szintekről öröklik a szerepkör-engedélyeket.

Scope for a role assignment

A felügyeleti csoportok az előfizetések feletti hatókörszintek, de a felügyeleti csoportok összetettebb hierarchiákat támogatnak. Az alábbi ábrán egy példa látható a definiálható felügyeleti csoportok és előfizetések hierarchiájára. A felügyeleti csoportokkal kapcsolatos további információkért lásd: Mik azok az Azure felügyeleti csoportok?

Management group and subscription hierarchy

Hatókör formátuma

Ha a parancssor használatával rendel szerepköröket, meg kell adnia a hatókört. Parancssori eszközök esetén a hatókör egy potenciálisan hosszú sztring, amely azonosítja a szerepkör-hozzárendelés pontos hatókörét. A Azure Portal ez a hatókör általában erőforrás-azonosítóként jelenik meg.

A hatókör a perjel (/) karakterrel elválasztott azonosítók sorozatából áll. Ez a sztring a következő hierarchiát fejezi ki, ahol a helyőrzők ({}) nélküli szövegek rögzített azonosítók:

/subscriptions
    /{subscriptionId}
        /resourcegroups
            /{resourceGroupName}
                /providers
                    /{providerName}
                        /{resourceType}
                            /{resourceSubType1}
                                /{resourceSubType2}
                                    /{resourceName}
  • {subscriptionId} A a használni kívánt előfizetés azonosítója (GUID).
  • {resourcesGroupName} A az azt tartalmazó erőforráscsoport neve.
  • {providerName} az erőforrást kezelő erőforrás-szolgáltató neve, majd {resourceType}{resourceSubType*} az adott erőforrás-szolgáltató további szintjeinek azonosítása.
  • {resourceName} A a sztring utolsó része, amely egy adott erőforrást azonosít.

A felügyeleti csoportok szintje meghaladja az előfizetéseket, és a legszélesebb körű (legkevésbé specifikus) hatókörrel rendelkeznek. Ezen a szinten a szerepkör-hozzárendelések a felügyeleti csoporton belüli előfizetésekre vonatkoznak. A felügyeleti csoport hatóköre a következő formátumú:

/providers
    /Microsoft.Management
        /managementGroups
            /{managmentGroupName}

Példák hatókörre

Hatókör Példa
Felügyeleti csoport /providers/Microsoft.Management/managementGroups/marketing-group
Előfizetés /subscriptions/00000000-0000-0000-0000-000000000000
Erőforráscsoport /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/Example-Storage-rg
/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales
Erőforrás /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01
/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyVirtualNetworkResourceGroup/providers/Microsoft.Network/virtualNetworks/MyVirtualNetwork12345

Erőforrás hatókörének meghatározása

Meglehetősen egyszerű meghatározni egy felügyeleti csoport, előfizetés vagy erőforráscsoport hatókörét. Csak ismernie kell a nevet és az előfizetés azonosítóját. Az erőforrás hatókörének meghatározása azonban egy kicsit több munkát igényel. Az alábbiakban néhány módszert talál az erőforrás hatókörének meghatározására.

  • A Azure Portal nyissa meg az erőforrást, majd tekintse meg a tulajdonságokat. Az erőforrásnak fel kell sorolnia az erőforrás-azonosítót , ahol meghatározhatja a hatókört. Íme például egy tárfiók erőforrás-azonosítói.

    Resource IDs for a storage account in Azure portal

  • Másik lehetőségként a Azure Portal használatával ideiglenesen hozzárendelhet egy szerepkört az erőforrás hatókörében, majd Azure PowerShell vagy az Azure CLI használatával listázhatja a szerepkör-hozzárendelést. A kimenetben a hatókör tulajdonságként jelenik meg.

    RoleAssignmentId   : /subscriptions/<subscriptionId>/resourceGroups/test-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01/pro
                         viders/Microsoft.Authorization/roleAssignments/<roleAssignmentId>
    Scope              : /subscriptions/<subscriptionId>/resourceGroups/test-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01
    DisplayName        : User
    SignInName         : user@contoso.com
    RoleDefinitionName : Storage Blob Data Reader
    RoleDefinitionId   : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1
    ObjectId           : <principalId>
    ObjectType         : User
    CanDelegate        : False
    Description        :
    ConditionVersion   :
    Condition          :
    
    {
        "canDelegate": null,
        "condition": null,
        "conditionVersion": null,
        "description": null,
        "id": "/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}",
        "name": "{roleAssignmentId}",
        "principalId": "{principalId}",
        "principalName": "user@contoso.com",
        "principalType": "User",
        "resourceGroup": "test-rg",
        "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1",
        "roleDefinitionName": "Storage Blob Data Reader",
        "scope": "/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01",
        "type": "Microsoft.Authorization/roleAssignments"
      }
    

Hatókör- és ARM-sablonok

A szerepkör-hozzárendelés az Azure Resource Manager egy speciális típusa, amelyet bővítményerőforrásnak neveznek. A bővítményerőforrás olyan erőforrás, amely egy másik erőforrás képességeihez ad hozzá. Ezek mindig egy másik erőforrás bővítményeként (például gyermekként) léteznek. Az előfizetés hatókörében például egy szerepkör-hozzárendelés az előfizetés bővítményerőforrása. A szerepkör-hozzárendelés neve mindig a kibővíteni kívánt erőforrás neve, plusz /Microsoft.Authorization/roleAssignments/{roleAssignmentId}. Ha szerepköröket rendel hozzá az Azure Resource Manager sablon (ARM-sablon) használatával, általában nem kell megadnia a hatókört. Ennek az az oka, hogy a hatókörmező végül mindig a kibővíteni kívánt erőforrás azonosítója lesz. A hatókör a szerepkör-hozzárendelés azonosítójából határozható meg. Az alábbi táblázat példákat mutat be egy szerepkör-hozzárendelés azonosítójára és a megfelelő hatókörre:

Szerepkör-hozzárendelés azonosítója Hatókör
/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId} /subscriptions/{subscriptionId}
/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId} /subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg

További információ a hatókör- és ARM-sablonokról: Azure-szerepkörök hozzárendelése Azure-Resource Manager-sablonok használatával. A bővítmény típusú erőforrástípusok teljes listájáért tekintse meg az egyéb erőforrások képességeit bővítő erőforrástípusokat.

Következő lépések