Menerapkan kontrol akses berbasis peran
Manajemen akses aman untuk sumber daya cloud sangat penting bagi bisnis yang beroperasi di cloud. Kontrol akses berbasis peran (RBAC) adalah mekanisme yang dapat membantu Anda mengelola siapa yang dapat mengakses sumber daya Azure Anda. RBAC memungkinkan Anda menentukan operasi apa yang dapat dilakukan pengguna tertentu pada sumber daya tertentu, dan mengontrol area sumber daya apa yang dapat diakses setiap pengguna.
Azure RBAC adalah sistem otorisasi yang dibangun di Azure Resource Manager. Azure RBAC menyediakan manajemen akses sumber daya yang terperinci di Azure.
Hal-hal yang perlu diketahui tentang Azure RBAC
Berikut adalah beberapa hal yang dapat Anda lakukan dengan Azure RBAC:
Izinkan aplikasi mengakses semua sumber daya dalam grup sumber daya.
Izinkan satu pengguna untuk mengelola VM dalam langganan, dan izinkan pengguna lain untuk mengelola jaringan virtual.
Izinkan grup administrator database (DBA) untuk mengelola database SQL dalam langganan.
Izinkan pengguna untuk mengelola semua sumber daya dalam grup sumber daya, seperti VM, situs web, dan subnet.
Konsep Azure RBAC
Tabel berikut ini menjelaskan konsep inti Azure RBAC.
| Konsep | Deskripsi | Contoh |
|---|---|---|
| Perwakilan keamanan | Objek yang mewakili sesuatu yang meminta akses ke sumber daya. | Pengguna, grup, prinsipal layanan, identitas terkelola |
| Definisi peran | Sekumpulan izin yang mencantumkan operasi yang diizinkan. Azure RBAC dilengkapi dengan definisi peran bawaan, tetapi Anda juga dapat membuat definisi peran kustom Anda sendiri. | Beberapa definisi peran bawaan: Pembaca, Kontributor, Pemilik, Administrator Akses Pengguna |
| Cakupan | Batas untuk tingkat akses yang diminta, atau akses "berapa banyak" diberikan. | Grup manajemen, langganan, grup sumber daya, sumber daya |
| Penetapan peran | Tugas melampirkan definisi peran ke prinsip keamanan pada cakupan tertentu. Pengguna dapat memberikan akses yang dijelaskan dalam definisi peran dengan membuat (melampirkan) tugas untuk peran tersebut. | - Menetapkan peran Administrator Akses Pengguna ke grup admin yang dilingkup ke grup manajemen - Menetapkan peran Kontributor ke pengguna yang terlingkup ke langganan |
Hal-hal yang perlu dipertimbangkan saat menggunakan Azure RBAC
Saat Anda memikirkan bagaimana Anda dapat menerapkan peran dan penugasan cakupan dalam organisasi Anda, pertimbangkan poin-poin ini:
Pertimbangkan pemohon Anda. Rencanakan strategi Anda untuk mengakomodasi semua jenis akses ke sumber daya Anda. Prinsip keamanan dibuat untuk apa pun yang meminta akses ke sumber daya Anda. Tentukan siapa pemohon di organisasi Anda. Pemohon dapat berupa pengguna internal atau eksternal, grup pengguna, aplikasi dan layanan, sumber daya, dan sebagainya.
Pertimbangkan peran Anda. Periksa jenis tanggung jawab pekerjaan dan skenario kerja di organisasi Anda. Peran umumnya dibangun di sekitar persyaratan untuk memenuhi tugas pekerjaan atau menyelesaikan tujuan kerja. Pengguna tertentu seperti administrator, pengontrol perusahaan, dan insinyur dapat memerlukan tingkat akses di luar apa yang dibutuhkan sebagian besar pengguna. Beberapa peran dapat didefinisikan untuk menyediakan akses yang sama untuk semua anggota tim atau departemen untuk sumber daya atau aplikasi tertentu.
Pertimbangkan cakupan izin. Pikirkan tentang bagaimana Anda dapat memastikan keamanan dengan mengontrol cakupan izin untuk penetapan peran. Menguraikan jenis izin dan tingkat cakupan yang perlu Anda dukung. Anda dapat menerapkan tingkat cakupan yang berbeda untuk satu peran untuk mendukung pemohon dalam skenario yang berbeda.
Pertimbangkan definisi bawaan atau kustom. Tinjau definisi peran bawaan di Azure RBAC. Peran bawaan dapat digunakan apa adanya, atau disesuaikan untuk memenuhi persyaratan khusus untuk organisasi Anda. Anda juga dapat membuat definisi peran kustom dari awal.