Proteggere le risorse con il controllo degli accessi in base al ruolo

  • 5 minuti

Grazie all'implementazione di Criteri di Azure, tutti i dipendenti dell'azienda con accesso ad Azure seguono gli standard interni per la creazione di risorse, ma è ora necessario risolvere un secondo problema: come proteggere le risorse dopo la distribuzione? Il personale IT deve gestire le impostazioni, gli sviluppatori devono avere accesso solo in lettura e gli amministratori devono essere in grado di controllarle completamente. La risposta è usare il controllo degli accessi in base al ruolo.

Il controllo degli accessi in base al ruolo consente di configurare la gestione degli accessi in modo più dettagliato per le risorse di Azure, concedendo agli utenti i diritti specifici di cui hanno bisogno per svolgere il loro lavoro. Il controllo degli accessi in base al ruolo è considerato un servizio di base ed è incluso gratuitamente in tutti i livelli sottoscrizione.

Tramite il controllo degli accessi in base al ruolo è possibile:

  • Consentire a un utente di gestire le macchine virtuali in una sottoscrizione e a un altro utente di gestire le reti virtuali.
  • Consentire a un gruppo di amministratori di database di gestire database SQL all'interno di una sottoscrizione.
  • Consentire a un utente di gestire tutte le risorse in un gruppo di risorse, ad esempio le macchine virtuali, i siti Web e le subnet virtuali.
  • Consentire a un'applicazione di accedere a tutte le risorse in un gruppo di risorse.

Per visualizzare le autorizzazioni di accesso, usare il pannello Controllo di accesso (IAM) nel portale di Azure. In questo pannello è possibile visualizzare gli utenti che possono accedere a un'area e il ruolo assegnato corrispondente. Può essere usato anche per concedere o rimuovere l'accesso.

Screenshot of Azure portal Access control - Role assignment pane showing a backup operator and billing reader roles assigned to different users.

In che modo il controllo degli accessi in base al ruolo definisce l'accesso

Il controllo degli accessi in base al ruolo definisce l'accesso in base a un modello di autorizzazione. Quando a un utente viene assegnato un ruolo, il controllo degli accessi in base al ruolo lo autorizza a eseguire determinate azioni, come la lettura, la scrittura o l'eliminazione. Pertanto, se un'assegnazione di ruolo concede all'utente le autorizzazioni di lettura per un gruppo di risorse e un'altra assegnazione di ruolo concede le autorizzazioni di scrittura per lo stesso gruppo di risorse, l'utente avrà sia le autorizzazioni di lettura che di scrittura per tale gruppo.

Procedure consigliate per il controllo degli accessi in base al ruolo

Ecco alcune procedure consigliate che è opportuno seguire per la configurazione delle risorse:

  • Separare i compiti all'interno del team e concedere agli utenti l'accesso solo nella misura necessaria per consentire loro di svolgere il lavoro. Invece di concedere a tutti autorizzazioni senza restrizioni per la sottoscrizione o le risorse di Azure, è possibile consentire solo azioni specifiche in un particolare ambito.
  • Quando si pianifica la strategia di controllo dell'accesso, concedere agli utenti il privilegio minimo necessario per svolgere le loro mansioni.
  • Usare i blocchi delle risorse per garantire che le risorse critiche non vengano modificate o eliminate, come si vedrà nella prossima unità.