Az Azure RBAC hatókörének ismertetése
A hatókör azon erőforrások készlete, amelyekre a hozzáférés vonatkozik. Amikor szerepkört rendel hozzá, fontos megérteni a hatókört, hogy a rendszerbiztonsági tagnak csak a valóban szükséges hozzáférést biztosíthassa. A hatókör korlátozásával korlátozhatja, hogy mely erőforrások legyenek veszélyben, ha a biztonsági rendszerbiztonsági tagot valaha is veszélybe sodorják.
Hatókörszintek
Az Azure-ban négy szinten adhat meg hatókört: felügyeleti csoport, előfizetés, erőforráscsoport és erőforrás. A hatókörök szülő-gyermek (származtatott) kapcsolatokba vannak rendezve. A hierarchia minden szintje pontosabbá teszi a hatókört. A szerepköröket a hatókör bármelyik szintjén hozzárendelheti. A kiválasztott szint határozza meg, hogy a szerepkör milyen széles körben legyen alkalmazva. Az alacsonyabb szintek magasabb szintekről öröklik a szerepkör-engedélyeket.
A felügyeleti csoportok az előfizetések feletti hatókörszintek, de a felügyeleti csoportok összetettebb hierarchiákat támogatnak. Az alábbi ábrán egy példa látható a definiálható felügyeleti csoportok és előfizetések hierarchiájára. További információ a felügyeleti csoportokról: Mik azok az Azure felügyeleti csoportok?
Hatókör formátuma
Ha a parancssor használatával rendel hozzá szerepköröket, meg kell adnia a hatókört. A parancssori eszközök esetében a hatókör egy potenciálisan hosszú sztring, amely azonosítja a szerepkör-hozzárendelés pontos hatókörét. Az Azure Portalon ez a hatókör általában erőforrás-azonosítóként jelenik meg.
A hatókör a perjel (/) karakterrel elválasztott azonosítók sorozatából áll. Ez a sztring a következő hierarchiát fejezi ki, ahol a helyőrzők ({}
) nélküli szövegek rögzített azonosítók:
/subscriptions
/{subscriptionId}
/resourcegroups
/{resourceGroupName}
/providers
/{providerName}
/{resourceType}
/{resourceSubType1}
/{resourceSubType2}
/{resourceName}
{subscriptionId}
a használni kívánt előfizetés azonosítója (GUID).{resourceGroupName}
az azt tartalmazó erőforráscsoport neve.{providerName}
az erőforrást kezelő erőforrás-szolgáltató neve, majd{resourceType}
{resourceSubType*}
az erőforrás-szolgáltató további szintjeinek azonosítása.{resourceName}
egy adott erőforrást azonosító sztring utolsó része.
A felügyeleti csoportok szintje meghaladja az előfizetéseket, és a legszélesebb (legkevésbé specifikus) hatókörrel rendelkeznek. Ezen a szinten a szerepkör-hozzárendelések a felügyeleti csoporton belüli előfizetésekre vonatkoznak. A felügyeleti csoport hatóköre a következő formátummal rendelkezik:
/providers
/Microsoft.Management
/managementGroups
/{managmentGroupName}
Példák hatókörre
Hatókör | Példa |
---|---|
Felügyeleti csoport | /providers/Microsoft.Management/managementGroups/marketing-group |
Előfizetés | /subscriptions/00000000-0000-0000-0000-000000000000 |
Erőforráscsoport | /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/Example-Storage-rg |
/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/pharma-sales |
|
Erőforrás | /subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01 |
/subscriptions/00000000-0000-0000-0000-000000000000/resourceGroups/MyVirtualNetworkResourceGroup/providers/Microsoft.Network/virtualNetworks/MyVirtualNetwork12345 |
Erőforrás hatókörének meghatározása
Meglehetősen egyszerű meghatározni egy felügyeleti csoport, előfizetés vagy erőforráscsoport hatókörét. Csak ismernie kell a nevet és az előfizetés azonosítóját. Az erőforrás hatókörének meghatározása azonban egy kicsit több munkát igényel. Az alábbiakban néhány módszert talál az erőforrás hatókörének meghatározására.
Nyissa meg az erőforrást az Azure Portalon, majd tekintse meg a tulajdonságokat. Az erőforrásnak fel kell sorolnia az erőforrás-azonosítót , ahol meghatározhatja a hatókört. Itt látható például egy tárfiók erőforrásazonosítója.
Egy másik módszer, ha az Azure Portal használatával ideiglenesen hozzárendel egy szerepkört az erőforrás hatókörében, majd az Azure PowerShell vagy az Azure CLI használatával listázni a szerepkör-hozzárendelést. A kimenetben a hatókör tulajdonságként jelenik meg.
RoleAssignmentId : /subscriptions/<subscriptionId>/resourceGroups/test-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01/pro viders/Microsoft.Authorization/roleAssignments/<roleAssignmentId> Scope : /subscriptions/<subscriptionId>/resourceGroups/test-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01 DisplayName : User SignInName : user@contoso.com RoleDefinitionName : Storage Blob Data Reader RoleDefinitionId : 2a2b9908-6ea1-4ae2-8e65-a410df84e7d1 ObjectId : <principalId> ObjectType : User CanDelegate : False Description : ConditionVersion : Condition :
{ "canDelegate": null, "condition": null, "conditionVersion": null, "description": null, "id": "/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId}", "name": "{roleAssignmentId}", "principalId": "{principalId}", "principalName": "user@contoso.com", "principalType": "User", "resourceGroup": "test-rg", "roleDefinitionId": "/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleDefinitions/2a2b9908-6ea1-4ae2-8e65-a410df84e7d1", "roleDefinitionName": "Storage Blob Data Reader", "scope": "/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg/providers/Microsoft.Storage/storageAccounts/azurestorage12345/blobServices/default/containers/blob-container-01", "type": "Microsoft.Authorization/roleAssignments" }
Hatókör- és ARM-sablonok
A szerepkör-hozzárendelés egy speciális típus az Azure Resource Managerben, amelyet bővítményerőforrásnak neveznek. A bővítményerőforrás olyan erőforrás, amely egy másik erőforrás képességeihez ad hozzá. Ezek mindig egy másik erőforrás bővítményeként (például gyermekként) léteznek. Az előfizetés hatókörében például egy szerepkör-hozzárendelés az előfizetés bővítményerőforrása. A szerepkör-hozzárendelés neve mindig a kibővíteni kívánt erőforrás neve, plusz /Microsoft.Authorization/roleAssignments/{roleAssignmentId}
. A szerepkörök Azure Resource Manager-sablonnal (ARM-sablonnal) való hozzárendelésekor általában nem kell megadnia a hatókört. Ennek az az oka, hogy a hatókör mező végül mindig a kibővítendő erőforrás azonosítója lesz. A hatókör a szerepkör-hozzárendelés azonosítójából határozható meg. Az alábbi táblázat példákat mutat be egy szerepkör-hozzárendelés azonosítójára és a megfelelő hatókörre:
Szerepkör-hozzárendelés azonosítója | Hatókör |
---|---|
/subscriptions/{subscriptionId}/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId} |
/subscriptions/{subscriptionId} |
/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg/providers/Microsoft.Authorization/roleAssignments/{roleAssignmentId} |
/subscriptions/{subscriptionId}/resourceGroups/Example-Storage-rg |
További információ a hatókör- és ARM-sablonokról: Azure-szerepkörök hozzárendelése Azure Resource Manager-sablonok használatával. A bővítmény típusú erőforrástípusok teljes listájáért tekintse meg az egyéb erőforrások képességeit bővítő erőforrástípusokat.