Implementare il controllo degli accessi in base al ruolo
La gestione degli accessi sicura per le risorse cloud è fondamentale per le aziende che operano nel cloud. Il controllo degli accessi in base al ruolo è un meccanismo che consente di gestire chi può accedere alle risorse di Azure. Con il controllo degli accessi in base al ruolo è possibile determinare le operazioni che utenti specifici possono eseguire su risorse specifiche e controllare le aree di una risorsa accessibili per ogni utente.
Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager. Il controllo degli accessi in base al ruolo di Azure supporta la gestione granulare degli accessi alle risorse di Azure.
Informazioni utili sul controllo degli accessi in base al ruolo di Azure
Di seguito vengono indicati alcuni possibili usi del controllo degli accessi in base al ruolo di Azure:
Consentire a un'applicazione di accedere a tutte le risorse in un gruppo di risorse.
Consentire a un utente di gestire le macchine virtuali in una sottoscrizione e a un altro utente di gestire le reti virtuali.
Consentire a un gruppo di amministratori di database di gestire database SQL all'interno di una sottoscrizione.
Consentire a un utente di gestire tutte le risorse in un gruppo di risorse, ad esempio macchine virtuali, siti Web e subnet.
Concetti relativi al controllo degli accessi in base al ruolo di Azure
Nella tabella seguente sono descritti i concetti principali del controllo degli accessi in base al ruolo di Azure.
| Idea | Descrizione | Esempi |
|---|---|---|
| Entità di sicurezza principale | Oggetto che rappresenta un elemento che richiede l'accesso alle risorse. | Utente, gruppo, entità servizio, identità gestita |
| Definizione del ruolo | Set di autorizzazioni che elenca le operazioni consentite. Il controllo degli accessi in base al ruolo di Azure include definizioni di ruolo predefinite, ma è anche possibile creare definizioni di ruolo personalizzate. | Alcune definizioni di ruolo predefinite: Lettore, Collaboratore, Proprietario, Amministratore accesso utenti |
| Scope | Limite per il livello di accesso richiesto o "quanto" accesso viene concesso. | Gruppo di gestione, sottoscrizione, gruppo di risorse, risorsa |
| Assegnazione di ruolo | Un'assegnazione collega una definizione di ruolo a un'entità di sicurezza in un ambito specifico. Gli utenti possono concedere l'accesso descritto in una definizione di ruolo creando (collegando) un'assegnazione per il ruolo. | - Assegnare il ruolo Amministratore accesso utenti a un gruppo di amministrazione con ambito limitato a un gruppo di gestione - Assegnare il ruolo Collaboratore a un utente con ambito limitato a una sottoscrizione |
Aspetti di cui tenere conto quando si usa il controllo degli accessi in base al ruolo di Azure
Quando si pensa a come implementare le assegnazioni di ruoli e ambito all'interno dell'organizzazione, considerare questi punti:
Valutare i richiedenti. Pianificare la strategia in modo da supportare i requisiti di tutti i tipi di accesso alle risorse. Vengono create entità di sicurezza per qualsiasi elemento che richiede l'accesso alle risorse. Determinare chi sono i richiedenti nell'organizzazione. I richiedenti possono essere utenti interni o esterni, gruppi di utenti, applicazioni e servizi, risorse e così via.
Valutare i ruoli. Esaminare i tipi di responsabilità professionali e gli scenari di lavoro nell'organizzazione. I ruoli sono in genere basati sui requisiti esistenti per eseguire le attività professionali previste o raggiungere gli obiettivi di un lavoro. Alcuni utenti come amministratori, supervisori aziendali e tecnici possono richiedere un livello di accesso superiore a quello di cui ha bisogno la maggior parte degli utenti. Alcuni ruoli possono essere definiti per fornire lo stesso accesso a tutti i membri di un team o di un reparto per risorse o applicazioni specifiche.
Valutare l'ambito delle autorizzazioni. Si pensi a come è possibile garantire la sicurezza controllando l'ambito delle autorizzazioni per le assegnazioni di ruolo. Delineare i tipi di autorizzazioni e i livelli di ambito che è necessario supportare. È possibile applicare diversi livelli di ambito per un singolo ruolo per supportare richiedenti in scenari diversi.
Valutare le definizioni predefinite o personalizzate. Esaminare le definizioni di ruolo predefinite nel controllo degli accessi in base al ruolo di Azure. I ruoli predefiniti possono essere usati così come sono o modificati per soddisfare i requisiti specifici per l'organizzazione. È anche possibile creare definizioni di ruolo personalizzate da zero.