Praktik terbaik untuk Azure RBAC

Artikel ini menjelaskan beberapa praktik terbaik untuk menggunakan kontrol akses berbasis peran Azure (Azure RBAC). Praktik terbaik ini berasal dari pengalaman kami dengan Azure RBAC dan pengalaman pelanggan seperti Anda.

Hanya memberikan akses yang dibutuhkan pengguna

Dengan menggunakan Azure RBAC, Anda dapat memisahkan tugas dalam tim Anda dan hanya memberikan sejumlah akses kepada pengguna yang mereka butuhkan untuk melakukan pekerjaan mereka. Daripada memberi izin tidak terbatas kepada semua orang di langganan atau sumber daya Azure Anda, sebaiknya hanya mengizinkan tindakan tertentu pada cakupan tertentu.

Saat merencanakan strategi kontrol akses Anda, praktik terbaiknya adalah memberi pengguna hak istimewa secukupnya untuk menyelesaikan pekerjaan mereka. Hindari menetapkan peran yang lebih luas pada cakupan yang lebih luas, meskipun di awal terkesan lebih tepat untuk melakukannya. Saat membuat peran kustom, hanya menyertakan izin yang dibutuhkan pengguna. Dengan membatasi peran dan cakupan, Anda membatasi sumber daya apa yang berisiko jika keamanan utama bisa dikompromikan.

Diagram berikut ini memperlihatkan pola yang disarankan untuk menggunakan Azure RBAC.

Azure RBAC and least privilege

Untuk informasi tentang cara menetapkan peran, lihat Menetapkan peran Azure menggunakan portal Microsoft Azure.

Membatasi jumlah pemilik langganan

Anda harus membatasi maksimal 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang abai. Rekomendasi ini dapat dipantau di Pertahanan Microsoft untuk Cloud. Untuk rekomendasi identitas dan akses lainnya di Pertahanan untuk Cloud, lihat Rekomendasi keamanan - panduan referensi.

Membatasi penetapan peran administrator istimewa

Beberapa peran diidentifikasi sebagai peran administrator istimewa. Pertimbangkan untuk mengambil tindakan berikut untuk meningkatkan postur keamanan Anda:

  • Hapus penetapan peran istimewa yang tidak perlu.
  • Hindari menetapkan peran administrator istimewa saat peran fungsi pekerjaan dapat digunakan sebagai gantinya.
  • Jika Anda harus menetapkan peran administrator istimewa, gunakan cakupan sempit, seperti grup sumber daya atau sumber daya, alih-alih cakupan yang lebih luas, seperti grup manajemen atau langganan.
  • Jika Anda menetapkan peran dengan izin untuk membuat penetapan peran, pertimbangkan untuk menambahkan kondisi untuk membatasi penetapan peran. Untuk informasi selengkapnya, lihat Mendelegasikan manajemen penetapan peran Azure kepada orang lain dengan kondisi.

Untuk informasi selengkapnya, lihat Mencantumkan atau mengelola penetapan peran administrator istimewa.

Menggunakan Microsoft Entra Privileged Identity Management

Untuk melindungi akun istimewa dari serangan cyber berbahaya, Anda dapat menggunakan Microsoft Entra Privileged Identity Management (PIM) untuk menurunkan waktu paparan hak istimewa dan meningkatkan visibilitas Anda ke dalam penggunaannya melalui laporan dan pemberitahuan. PIM membantu melindungi akun istimewa dengan menyediakan akses istimewa just-in-time ke ID Microsoft Entra dan sumber daya Azure. Akses dapat dibatasi waktu setelah hak istimewa dicabut secara otomatis.

Untuk informasi selengkapnya, lihat Apa itu Microsoft Entra Privileged Identity Management?.

Menetapkan peran ke grup, bukan pengguna

Agar menetapkan peran lebih mudah dikelola, hindari menetapkan peran secara langsung kepada pengguna. Lebih baik, menetapkan peran ke grup. Menetapkan peran ke grup, bukan ke pengguna juga akan membantu meminimalkan jumlah penetapan peran, yang memiliki batas penetapan peran per langganan.

Tetap peran menggunakan ID peran unik, bukan nama peran

Nama peran dapat berubah beberapa kali, misalnya:

  • Anda menggunakan peran kustom Anda sendiri dan Anda memutuskan untuk mengubah namanya.
  • Anda menggunakan peran pratinjau yang memiliki (Pratinjau) dalam namanya. Ketika peran dirilis, nama peran diganti.

Meskipun peran diganti namanya, ID peran tidak berubah. Jika Anda menggunakan skrip atau otomasi untuk membuat tugas peran, ini adalah praktik terbaik untuk menggunakan ID peran unik, alih-alih nama peran. Oleh karena itu, jika peran diganti namanya, skrip Anda kemungkinan akan berfungsi.

Untuk informasi selengkapnya, lihat Menetapkan peran menggunakan ID peran unik dan Azure PowerShell dan Menetapkan peran menggunakan ID peran unik dan Azure CLI.

Hindari menggunakan kartubebas saat membuat peran kustom

Saat membuat peran kustom, Anda dapat menggunakan karakter kartubebas (*) untuk menentukan izin. Disarankan agar Anda menentukan Actions dan DataActions secara eksplisit alih-alih menggunakan karakter kartubebas (*). Akses dan izin tambahan yang diberikan melalui perilaku di masa mendatang Actions atau DataActions mungkin tidak diinginkan menggunakan kartubebas. Untuk informasi selengkapnya, lihat Peran kustom Azure.

Langkah berikutnya