Descrivere il controllo degli accessi in base al ruolo di Azure
Quando sono presenti più team IT e tecnici, come si controlla il tipo di accesso di ognuno alle risorse nell'ambiente cloud? Il principio dei privilegi minimi indica che è consigliabile concedere l'accesso solo fino al livello necessario per completare un'attività. Se è necessario solo l'accesso in lettura a un BLOB di archiviazione, è consigliabile concedere solo tale accesso e non l'accesso in scrittura, né l'accesso in lettura ad altri BLOB di archiviazione. Si tratta di una prassi di sicurezza valida da seguire.
Tuttavia, la gestione di tale livello di autorizzazioni per un intero team potrebbe risultare complessa. Invece di definire i requisiti di accesso dettagliati per ogni persona e quindi aggiornarli quando vengono create nuove risorse o quando nuove persone si aggiungono al team, Azure consente di controllare l'accesso tramite il controllo degli accessi in base al ruolo.
Azure offre ruoli predefiniti per la descrizione di regole di accesso comuni per le risorse cloud. È anche possibile definire regole personalizzate. A ogni ruolo è associato un set di autorizzazioni di accesso correlate al ruolo stesso. Quando si assegnano uno o più ruoli a persone o gruppi, questi ricevono tutte le autorizzazioni di accesso associate.
Quindi, un nuovo ingegnere aggiunto al gruppo di controllo degli accessi in base al ruolo di Azure per ingegneri riceverà automaticamente lo stesso accesso degli altri ingegneri nello stesso gruppo. Analogamente, se si aggiungono altre risorse per cui si imposta il controllo degli accessi in base al ruolo di Azure, tutti i membri di quel gruppo di controllo degli accessi in base al ruolo di Azure avranno per le nuove risorse le stesse autorizzazioni che hanno per quelle esistenti.
Come viene applicato il controllo degli accessi in base al ruolo alle risorse?
Il controllo degli accessi in base al ruolo viene applicato a un ambito, che è una risorsa o un set di risorse cui si applica l'accesso.
Il diagramma seguente illustra la relazione tra ruoli e ambiti. Si potrebbe assegnare il ruolo di proprietario a un gruppo di gestione, a una sottoscrizione o a un gruppo di risorse, che avranno quindi maggior controllo e autorità. A un osservatore, che non si prevede esegua aggiornamenti, si potrebbe assegnare il ruolo di Lettore per lo stesso ambito, per cui potrà esaminare o osservare il gruppo di gestione, la sottoscrizione o il gruppo di risorse.
Gli ambiti includono:
- Un gruppo di gestione (raccolta di più sottoscrizioni).
- Una singola sottoscrizione.
- Un gruppo di risorse.
- Una singola risorsa.
Osservatori, utenti che gestiscono risorse, amministratori e processi automatizzati descrivono tutti i tipi di utenti o account a cui viene in genere assegnato ognuno dei diversi ruoli.
Il controllo degli accessi in base al ruolo di Azure è gerarchico, per cui quando si concede l'accesso in un ambito padre, le stesse autorizzazioni vengono ereditate dagli ambiti figlio. Ad esempio:
- Quando si assegna il ruolo Proprietario a un utente nell'ambito del gruppo di gestione, l'utente può gestire qualsiasi aspetto in tutte le sottoscrizioni all'interno del gruppo di gestione.
- Quando si assegna il ruolo Lettore a un gruppo nell'ambito della sottoscrizione, i membri del gruppo possono visualizzare ogni gruppo di risorse e risorsa all'interno della sottoscrizione.
Come viene applicato Controllo degli accessi in base al ruolo di Azure?
Controllo degli accessi in base al ruolo di Azure viene applicato per ogni azione avviata su una risorsa di Azure che passa attraverso Azure Resource Manager. Resource Manager è un servizio di gestione che consente di organizzare e proteggere le risorse cloud.
In genere è possibile accedere a Resource Manager dal portale di Azure, da Azure Cloud Shell, da Azure PowerShell e dall'interfaccia della riga di comando di Azure. Controllo degli accessi in base al ruolo di Azure non applica autorizzazioni di accesso a livello di applicazione o di dati. La sicurezza delle applicazioni deve essere gestita dall'applicazione.
Il controllo degli accessi in base al ruolo di Azure usa un modello di autorizzazione. Quando viene assegnato un ruolo, il controllo degli accessi in base al ruolo di Azure consente di eseguire azioni nell'ambito di tale ruolo. Se un'assegnazione di ruolo concede all'utente le autorizzazioni di lettura per un gruppo di risorse e un'altra assegnazione di ruolo concede le autorizzazioni di scrittura per lo stesso gruppo di risorse, l'utente avrà sia autorizzazioni sia di lettura sia di scrittura per il gruppo.