Szerepkördefiníció létrehozása

  • 5 perc

A szerepkördefiníciók egy JSON-fájlban definiált engedélykészletekből állnak. Minden engedélykészletnek van egy neve, például műveletek vagy NotActions , amelyek az engedélyeket írják le. Néhány példa az engedélykészletekre:

  • A műveletek engedélyei azonosítják az engedélyezett műveleteket.

  • A NotActions-engedélyek határozzák meg, hogy mely műveletek nem engedélyezettek.

  • A DataActions-engedélyek azt jelzik, hogyan módosíthatók vagy használhatók az adatok.

  • Az AssignableScopes engedélyei felsorolják azokat a hatóköröket, ahol egy szerepkördefiníció hozzárendelhető.

Az alábbi ábra az Azure RBAC közreműködői szerepkörének részleteit mutatja be.

Az Azure RBAC-ben és az egyéni szerepkörökben lévő beépített szerepköröket bemutató diagram. Az engedélykészletek a beépített közreműködői szerepkörhöz jelennek meg, beleértve a műveleteket, a nem műveleteket és az adatműveleteket.

A Műveletek engedélyek azt mutatják, hogy a Közreműködő szerepkör minden műveleti jogosultsággal rendelkezik. A csillag "*" helyettesítő karakter azt jelenti, hogy "minden". A NotActions-engedélyek szűkítik a Műveletek csoport által biztosított jogosultságokat, és három műveletet tagadnak meg:

  • Authorization/*/Delete: Nincs engedélye az "összes" törlésére vagy eltávolítására.
  • Authorization/*/Write: Nem jogosult az "összes" írására vagy módosítására.
  • Authorization/elevateAccess/Action: Nem jogosult a hozzáférési jogosultságok szintjének vagy hatókörének növelésére.

A közreműködői szerepkör két engedéllyel is rendelkezik az adatok befolyásolására:

  • "NotDataActions": []: Nincsenek konkrét műveletek a listában. Ezért minden művelet hatással lehet az adatokra.
  • "AssignableScopes": ["/"]: A szerepkör minden olyan hatókörhöz hozzárendelhető, amely hatással van az adatokra.

Tudnivalók a szerepkör-definíciókról

Tekintse át a szerepkör-definíciók alábbi jellemzőit:

  • Az Azure RBAC beépített szerepköröket és engedélykészleteket biztosít. Egyéni szerepköröket és engedélyeket is létrehozhat.

  • A tulajdonos beépített szerepköre a legmagasabb szintű hozzáférési jogosultsággal rendelkezik az Azure-ban.

  • A rendszer kivonja a NotActions-engedélyeket a Műveletek engedélyekből a szerepkörök tényleges engedélyeinek meghatározásához.

  • A szerepkörhöz tartozó AssignableScopes-engedélyek lehetnek felügyeleti csoportok, előfizetések, erőforráscsoportok vagy erőforrások.

Szerepkör-engedélyek

A Műveletek és a NotActions engedélyek együttes használatával biztosíthatja és megtagadhatja az egyes szerepkörök pontos jogosultságait. A Műveletek engedélyek biztosíthatják a hozzáférés szélességét, a NotActions-engedélyek pedig szűkíthetik a hozzáférést.

Az alábbi táblázat bemutatja, hogyan használják a Műveletek vagy a NotActions engedélyeket három beépített szerepkör definícióiban: Tulajdonos, Közreműködő és Olvasó. Az engedélyek a Tulajdonos szerepkörről a Közreműködői és olvasói szerepkörökre lesznek szűkítve a hozzáférés korlátozásához.

Szerepkör neve Leírás Műveletek engedélyei NotActions-engedélyek
Tulajdonos Teljes hozzáférést biztosít az összes erőforrás kezeléséhez, beleértve a szerepkörök Azure RBAC-ben való hozzárendelését is. * n.a.
Közreműködő Teljes hozzáférést biztosít az összes erőforrás kezeléséhez, de nem teszi lehetővé szerepkörök hozzárendelését az Azure RBAC-ben, nem kezelheti a hozzárendeléseket az Azure Blueprintsben, és nem oszthat meg képtárakat. * - Microsoft.Authorization/*/Delete
- Microsoft.Authorization/*/Write
- Microsoft.Authorization/elevateAccess/Action
Olvasó Az összes erőforrás megtekintése, de nem teszi lehetővé a módosítások módosítását. /*/read n.a.

Szerepkör-hatókörök

A szerepkör-engedélyek megadása után az AssignableScopes engedélyekkel adhatja meg a szerepkör hozzárendelésének módját. Lássunk néhány példát.

  • Szerepkör hatóköre hozzárendeléshez két előfizetésben:

    "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e", "/subscriptions/e91d47c4-76f3-4271-a796-21b4ecfe3624"

  • Szerepkör hatóköre hozzárendeléshez csak a hálózati erőforráscsoportban:

    "/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e/resourceGroups/Network"

  • Szerepkör hatóköre hozzárendeléshez az összes kérelmező számára:

    "/"

A szerepkörök létrehozásakor megfontolandó szempontok

Vegye figyelembe a következő szempontokat a szerepkör-definíciók Azure RBAC-ben való létrehozásával kapcsolatban:

  • Fontolja meg a beépített szerepkörök használatát. Tekintse át az Azure RBAC beépített szerepkör-definícióinak listáját. Több mint 100 előre definiált szerepkör-definíció közül választhat, például tulajdonos, biztonsági mentési operátor, webhely-közreműködő és SQL Security Manager. A beépített szerepkörök a szolgáltatások, feladatok és felhasználók számos kategóriájához vannak definiálva, beleértve az általános, a hálózatkezelést, a tárolást, az adatbázisokat stb.

  • Fontolja meg egyéni definíciók létrehozását. Saját egyéni szerepkörök definiálása a szervezet adott üzleti forgatókönyveinek megfelelően. A beépített szerepkörök engedélyeit úgy módosíthatja, hogy megfeleljenek a szervezet speciális követelményeinek. Az egyéni szerepkördefiníciókat az alapoktól is létrehozhatja.

  • Fontolja meg a hozzáférési hatókör korlátozását. Rendelje hozzá a szerepköröket a feladatfeladatok elvégzéséhez szükséges minimális hatókörszinttel. Egyes felhasználók, például a rendszergazdák teljes hozzáférést igényelnek a vállalati erőforrásokhoz az infrastruktúra fenntartásához. A szervezet többi felhasználójának írási hozzáférésre lehet szüksége a személyes vagy csapaterőforráshoz, valamint írásvédett hozzáférést a megosztott vállalati erőforrásokhoz.

  • Fontolja meg az adatok módosításainak szabályozását. Azonosítsa azokat az adatokat vagy erőforrásokat, amelyeket csak bizonyos helyzetekben kell módosítani, és szigorú hozzáférés-vezérlést alkalmazzon. A felhasználók számára a lehető legkevesebb hozzáférésre van szükségük a munkájukhoz. A jól megtervezett hozzáférés-kezelési stratégia segít fenntartani az infrastruktúrát, és megelőzni a biztonsági problémákat.

  • Fontolja meg a megtagadási hozzárendelések alkalmazását. Állapítsa meg, hogy végre kell-e hajtania a megtagadási hozzárendelési funkciót. A szerepkör-hozzárendelésekhez hasonlóan a megtagadás-hozzárendelések megtagadási műveleteket fűznek egy felhasználóhoz, csoporthoz vagy szolgáltatásnévhez egy adott hatókörben a hozzáférés megtagadása érdekében. A megtagadás-hozzárendelések akkor is meggátolják, hogy a felhasználók elvégezzék a megadott Azure-erőforrásműveleteket, ha egy szerepkör-hozzárendelés hozzáférést biztosít számukra.