Az Azure szerepkör-kiosztások megértése
A szerepkör-hozzárendelések lehetővé teszik, hogy egy tag (például egy felhasználó, egy csoport, egy felügyelt identitás vagy egy szolgáltatásnév) hozzáférést biztosítson egy adott Azure-erőforráshoz. Ez a cikk a szerepkör-hozzárendelések részleteit ismerteti.
Szerepkör-hozzárendelés
Az Azure-erőforrásokhoz való hozzáférést szerepkör-hozzárendelés létrehozásával biztosítjuk, a hozzáférést pedig visszavonjuk egy szerepkör-hozzárendelés eltávolításával.
A szerepkör-hozzárendelések több összetevőből állnak, többek között a következőkből:
- A rendszerbiztonsági tag vagy a szerepkörhöz rendelt tag.
- A hozzárendelt szerepkör .
- Az a hatókör , amelyhez a szerepkör hozzá van rendelve.
- A szerepkör-hozzárendelés neve és egy leírás , amely segít elmagyarázni, hogy miért lett hozzárendelve a szerepkör.
Az Azure RBAC használatával például a következő szerepköröket rendelheti hozzá:
- A Felhasználó Sally tulajdonosi hozzáféréssel rendelkezik a ContosoStorage erőforráscsoport contoso123 tárfiókhoz.
- A Microsoft Entra ID Felhőgazdák csoportjában mindenki rendelkezik olvasói hozzáféréssel a ContosoStorage erőforráscsoport összes erőforrásához.
- Az alkalmazáshoz társított felügyelt identitás a Contoso előfizetésében újraindíthatja a virtuális gépeket.
Az alábbiakban egy példa látható egy szerepkör-hozzárendelés tulajdonságaira, amikor az Azure PowerShell használatával jelenik meg:
{
"RoleAssignmentName": "00000000-0000-0000-0000-000000000000",
"RoleAssignmentId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
"Scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
"DisplayName": "User Name",
"SignInName": "user@contoso.com",
"RoleDefinitionName": "Contributor",
"RoleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c",
"ObjectId": "22222222-2222-2222-2222-222222222222",
"ObjectType": "User",
"CanDelegate": false,
"Description": null,
"ConditionVersion": null,
"Condition": null
}
Az alábbiakban egy példa látható egy szerepkör-hozzárendelés tulajdonságaira, amikor az Azure CLI vagy a REST API használatával jelenik meg:
{
"canDelegate": null,
"condition": null,
"conditionVersion": null,
"description": null,
"id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
"name": "00000000-0000-0000-0000-000000000000",
"principalId": "22222222-2222-2222-2222-222222222222",
"principalName": "user@contoso.com",
"principalType": "User",
"roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
"roleDefinitionName": "Contributor",
"scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
"type": "Microsoft.Authorization/roleAssignments"
}
Az alábbi táblázat a szerepkör-hozzárendelés tulajdonságainak lényegét ismerteti.
| Tulajdonság | Leírás |
|---|---|
RoleAssignmentNamename |
A szerepkör-hozzárendelés neve, amely globálisan egyedi azonosító (GUID). |
RoleAssignmentIdid |
A szerepkör-hozzárendelés egyedi azonosítója, amely tartalmazza a nevet. |
Scopescope |
A szerepkör-hozzárendelés hatókörébe tartozó Azure-erőforrás-azonosító. |
RoleDefinitionIdroleDefinitionId |
A szerepkör egyedi azonosítója. |
RoleDefinitionNameroleDefinitionName |
A szerepkör neve. |
ObjectIdprincipalId |
A szerepkört hozzárendelő tag Microsoft Entra objektumazonosítója. |
ObjectTypeprincipalType |
Az egyszerű microsoft entra objektum típusa. Az érvényes értékek közé tartozik az User, Groupés ServicePrincipala . |
DisplayName |
A felhasználók szerepkör-hozzárendelései esetén a felhasználó megjelenítendő neve. |
SignInNameprincipalName |
A felhasználó egyedi egyszerű neve (UPN) vagy a szolgáltatásnévhez társított alkalmazás neve. |
Descriptiondescription |
A szerepkör-hozzárendelés leírása. |
Conditioncondition |
A szerepkördefiníciókból és attribútumokból származó egy vagy több műveletből létrehozott feltételutasítás. |
ConditionVersionconditionVersion |
A feltétel verziószáma. Alapértelmezés szerint 2.0, és ez az egyetlen támogatott verzió. |
CanDelegatecanDelegate |
Nincs implementálva. |
Hatókör
Szerepkör-hozzárendelés létrehozásakor meg kell adnia azt a hatókört, amelyre az alkalmazás vonatkozik. A hatókör azt az erőforrást vagy erőforráskészletet jelöli, amelyhez az egyszerű felhasználó hozzáférhet. Egy szerepkör-hozzárendelés hatóköre egyetlen erőforrásra, erőforráscsoportra, előfizetésre vagy felügyeleti csoportra terjedhet ki.
Tipp.
A követelményeknek való megfeleléshez használja a legkisebb hatókört.
Ha például egy felügyelt identitáshoz hozzáférést kell adnia egyetlen tárfiókhoz, érdemes biztonsági eljárásként létrehozni a szerepkör-hozzárendelést a tárfiók hatókörében, nem az erőforráscsoportban vagy az előfizetés hatókörében.
A hatókörről további információt a hatókör ismertetése című témakörben talál.
Hozzárendelendő szerepkör
A szerepkör-hozzárendelés egy szerepkördefinícióhoz van társítva. A szerepkördefiníció megadja azokat az engedélyeket, amelyekkel az egyszerű felhasználónak rendelkeznie kell a szerepkör-hozzárendelés hatókörén belül.
Hozzárendelhet egy beépített szerepkördefiníciót vagy egy egyéni szerepkördefiníciót. Szerepkör-hozzárendelés létrehozásakor bizonyos eszközökhöz a szerepkördefiníció azonosítóját kell használni, míg más eszközökkel megadhatja a szerepkör nevét.
A szerepkördefiníciókról további információt a szerepkördefiníciók ismertetése című témakörben talál.
Rendszerbiztonsági tag
A főnevek közé tartoznak a felhasználók, a biztonsági csoportok, a felügyelt identitások, a számítási feladatok identitásai és a szolgáltatásnevek. Az egyszerű fiókokat a Microsoft Entra-bérlő hozza létre és felügyeli. Szerepkört bármely taghoz hozzárendelhet. A Microsoft Entra ID objektumazonosítójával azonosíthatja a szerepkört hozzárendelni kívánt tagot.
Ha az Azure PowerShell, az Azure CLI, a Bicep vagy más infrastruktúra kódként (IaC) technológiával hoz létre szerepkör-hozzárendelést, meg kell adnia az egyszerű típust. Az egyszerű típusok közé tartozik a Felhasználó, a Csoport és a ServicePrincipal. Fontos megadni a megfelelő egyszerű típust. Ellenkező esetben időnként üzembehelyezési hibák merülhetnek fel, különösen akkor, ha szolgáltatásnevek és felügyelt identitások használatával dolgozik.
Név
A szerepkör-hozzárendelés erőforrásnevének globálisan egyedi azonosítónak (GUID) kell lennie.
A szerepkör-hozzárendelési erőforrásneveknek egyedinek kell lenniük a Microsoft Entra-bérlőn belül, még akkor is, ha a szerepkör-hozzárendelés hatóköre szűkebb.
Tipp.
Ha az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával hoz létre szerepkör-hozzárendelést, a létrehozási folyamat automatikusan egyedi nevet ad a szerepkör-hozzárendelésnek.
Ha a Bicep vagy más infrastruktúra kódalapú (IaC) technológiával hoz létre szerepkör-hozzárendelést, gondosan meg kell terveznie a szerepkör-hozzárendelések elnevezését. További információ: Azure RBAC-erőforrások létrehozása a Bicep használatával.
Erőforrás-törlési viselkedés
Amikor töröl egy felhasználót, csoportot, szolgáltatásnevet vagy felügyelt identitást a Microsoft Entra-azonosítóból, érdemes törölnie a szerepkör-hozzárendeléseket. A rendszer nem törli őket automatikusan. A törölt egyszerű azonosítóra hivatkozó szerepkör-hozzárendelések érvénytelenek lesznek.
Ha megpróbálja újból felhasználni egy szerepkör-hozzárendelés nevét egy másik szerepkör-hozzárendeléshez, az üzembe helyezés sikertelen lesz. Ez a probléma nagyobb valószínűséggel fordul elő, ha Bicep- vagy Azure Resource Manager-sablont (ARM-sablont) használ a szerepkör-hozzárendelések üzembe helyezéséhez, mivel ezeknek az eszközöknek a használatakor explicit módon kell beállítania a szerepkör-hozzárendelés nevét. Ennek a viselkedésnek a megkerüléséhez távolítsa el a régi szerepkör-hozzárendelést, mielőtt újra létrehozza, vagy győződjön meg arról, hogy egyedi nevet használ egy új szerepkör-hozzárendelés üzembe helyezésekor.
Leírás
A szerepkör-hozzárendeléshez szöveges leírást is hozzáadhat. Bár a leírások nem kötelezőek, célszerű felvenni őket a szerepkör-hozzárendelésekbe. Adjon meg egy rövid indoklást arra vonatkozóan, hogy miért van szüksége a megbízónak a hozzárendelt szerepkörre. Amikor valaki naplózzák a szerepkör-hozzárendeléseket, a leírások segíthetnek megérteni, hogy miért hozták létre őket, és hogy továbbra is alkalmazhatók-e.
Feltételek
Egyes szerepkörök az adott műveletek kontextusában lévő attribútumok alapján támogatják a szerepkör-hozzárendelési feltételeket . A szerepkör-hozzárendelési feltétel egy további ellenőrzés, amelyet igény szerint hozzáadhat a szerepkör-hozzárendeléshez, hogy részletesebb hozzáférés-vezérlést biztosítson.
Hozzáadhat például egy feltételt, amely megköveteli, hogy egy objektumnak rendelkeznie kell egy adott címkével ahhoz, hogy a felhasználó elolvassa az objektumot.
A feltételeket általában vizualizációs feltételszerkesztővel hozza létre, de a kódban az alábbi példafeltételek jelennek meg:
((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'))
Az előző feltétel lehetővé teszi a felhasználók számára, hogy a Project blobindexcímkéjével és kaszkádolt értékkel olvassák a blobokat.
További információ a feltételekről: Mi az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?
Integráció a Privileged Identity Management szolgáltatással (előzetes verzió)
Fontos
Az Azure-beli szerepkör-hozzárendelések integrációja a Privileged Identity Management szolgáltatással jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Ha Microsoft Entra-azonosítójú P2 vagy Microsoft Entra ID-kezelés licenccel rendelkezik, a Microsoft Entra Privileged Identity Management (PIM) integrálva lesz a szerepkör-hozzárendelési lépésekbe. Szerepköröket például korlátozott ideig rendelhet hozzá a felhasználókhoz. A felhasználókat szerepkör-hozzárendelésekre is jogosulttá teheti, hogy aktiválva legyenek a szerepkör használatához, például jóváhagyás kéréséhez. A jogosult szerepkör-hozzárendelések korlátozott ideig biztosítják a megfelelő hozzáférést egy szerepkörhöz. Nem hozhat létre jogosult szerepkör-hozzárendeléseket alkalmazásokhoz, szolgáltatásnevekhez vagy felügyelt identitásokhoz, mert nem tudják végrehajtani az aktiválási lépéseket. Jogosult szerepkör-hozzárendeléseket a felügyeleti csoport, az előfizetés és az erőforráscsoport hatókörében hozhat létre, erőforrás-hatókörben azonban nem. Ez a képesség fázisokban van üzembe helyezve, ezért lehet, hogy még nem érhető el a bérlőben, vagy a felület másként néz ki.
A rendelkezésre álló hozzárendeléstípus-beállítások a PIM-szabályzattól függően eltérőek lehetnek. A PIM-szabályzat például meghatározza, hogy létre lehet-e hozni állandó hozzárendeléseket, az időhöz kötött hozzárendelések maximális időtartamát, a szerepkörök aktiválási követelményeit (jóváhagyás, többtényezős hitelesítés vagy feltételes hozzáférés hitelesítési környezete) és egyéb beállításokat. További információ: Azure-erőforrásszerepkör-beállítások konfigurálása a Privileged Identity Managementben.
Ha nem szeretné használni a PIM funkciót, válassza ki az Aktív hozzárendelés típusát és az Állandó hozzárendelés időtartamát. Ezek a beállítások létrehoznak egy szerepkör-hozzárendelést, amelyben az egyszerű mindig rendelkezik engedélyekkel a szerepkörben.
A PIM jobb megértéséhez tekintse át a következő feltételeket.
| Kifejezés vagy fogalom | Szerepkör-hozzárendelés kategóriája | Leírás |
|---|---|---|
| jogosult | Típus | Egy szerepkör-hozzárendelés, amely megköveteli, hogy a felhasználó egy vagy több műveletet hajt végre a szerepkör használatához. Ha egy felhasználó jogosulttá vált egy szerepkörre, az azt jelenti, hogy aktiválhatja a szerepkört, amikor kiemelt feladatokat kell végrehajtania. Nincs különbség az állandó és a jogosult szerepkör-hozzárendeléssel rendelkező személyek hozzáférésében. Az egyetlen különbség az, hogy egyes embereknek nincs szükségük arra, hogy mindig hozzáférjenek. |
| aktív | Típus | Olyan szerepkör-hozzárendelés, amely nem követeli meg, hogy a felhasználó bármilyen műveletet végrehajtson a szerepkör használatához. Az aktívként hozzárendelt felhasználók rendelkeznek a szerepkörhöz rendelt jogosultságokkal. |
| aktiválás | Egy vagy több művelet végrehajtásának folyamata egy felhasználó által jogosult szerepkör használatára. A műveletek közé tartozhat a többtényezős hitelesítés (MFA) ellenőrzése, az üzleti indoklás megadása vagy a kijelölt jóváhagyók jóváhagyásának kérése. | |
| állandó jogosult | Időtartam | Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig jogosult a szerepkör aktiválására. |
| állandó aktív | Időtartam | Olyan szerepkör-hozzárendelés, amelyben a felhasználó mindig műveletek végrehajtása nélkül használhatja a szerepkört. |
| időkorlátos jogosult | Időtartam | Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdési és a befejezési dátumon belül aktiválhatja a szerepkört. |
| időkorlát aktív | Időtartam | Olyan szerepkör-hozzárendelés, amelyben a felhasználó csak a kezdési és a befejezési dátumon belül használhatja a szerepkört. |
| igény szerinti (JIT) hozzáférés | Olyan modell, amelyben a felhasználók ideiglenes engedélyeket kapnak a kiemelt feladatok végrehajtásához, ami megakadályozza, hogy a rosszindulatú vagy jogosulatlan felhasználók hozzáférjenek az engedélyek lejárta után. A hozzáférés csak akkor érhető el, ha a felhasználóknak szükségük van rá. | |
| a minimális jogosultsági hozzáférés elve | Ajánlott biztonsági gyakorlat, amelyben minden felhasználó csak a szükséges minimális jogosultságokkal rendelkezik a tevékenységek végrehajtásához. Ez a gyakorlat minimálisra csökkenti a globális rendszergazdák számát, és konkrét rendszergazdai szerepköröket használ bizonyos forgatókönyvekhez. |
További információ: Mi a Microsoft Entra Privileged Identity Management?