Share via

Inzicht in Azure-roltoewijzingen.

  • Artikel

Met roltoewijzingen kunt u een principal (zoals een gebruiker, een groep, een beheerde identiteit of een service-principal) toegang verlenen tot een specifieke Azure-resource. In dit artikel worden de details van roltoewijzingen beschreven.

Roltoewijzing

Toegang tot Azure-resources wordt verleend door een roltoewijzing te maken en de toegang wordt ingetrokken door een roltoewijzing te verwijderen.

Een roltoewijzing heeft verschillende onderdelen, waaronder:

  • De principal of aan wie de rol is toegewezen.
  • De rol waaraan ze zijn toegewezen.
  • Het bereik waaraan de rol is toegewezen.
  • De naam van de roltoewijzing en een beschrijving waarmee u kunt uitleggen waarom de rol is toegewezen.

U kunt bijvoorbeeld Azure RBAC gebruiken om rollen toe te wijzen, zoals:

  • Gebruiker Sally heeft eigenaarstoegang tot het opslagaccount contoso123 in de resourcegroep ContosoStorage.
  • Iedereen in de groep Cloudbeheerders in Microsoft Entra ID heeft lezertoegang tot alle resources in de resourcegroep ContosoStorage.
  • De beheerde identiteit die is gekoppeld aan een toepassing, mag virtuele machines opnieuw opstarten binnen het abonnement van Contoso.

Hieronder ziet u een voorbeeld van de eigenschappen in een roltoewijzing wanneer deze wordt weergegeven met behulp van Azure PowerShell:

{
  "RoleAssignmentName": "00000000-0000-0000-0000-000000000000",
  "RoleAssignmentId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "Scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
  "DisplayName": "User Name",
  "SignInName": "user@contoso.com",
  "RoleDefinitionName": "Contributor",
  "RoleDefinitionId": "b24988ac-6180-42a0-ab88-20f7382dd24c",
  "ObjectId": "22222222-2222-2222-2222-222222222222",
  "ObjectType": "User",
  "CanDelegate": false,
  "Description": null,
  "ConditionVersion": null,
  "Condition": null
}

Hieronder ziet u een voorbeeld van de eigenschappen in een roltoewijzing wanneer deze wordt weergegeven met behulp van de Azure CLI of de REST API:

{
  "canDelegate": null,
  "condition": null,
  "conditionVersion": null,
  "description": null,
  "id": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleAssignments/00000000-0000-0000-0000-000000000000",
  "name": "00000000-0000-0000-0000-000000000000",
  "principalId": "22222222-2222-2222-2222-222222222222",
  "principalName": "user@contoso.com",
  "principalType": "User",
  "roleDefinitionId": "/subscriptions/11111111-1111-1111-1111-111111111111/providers/Microsoft.Authorization/roleDefinitions/b24988ac-6180-42a0-ab88-20f7382dd24c",
  "roleDefinitionName": "Contributor",
  "scope": "/subscriptions/11111111-1111-1111-1111-111111111111",
  "type": "Microsoft.Authorization/roleAssignments"
}

In de volgende tabel wordt beschreven wat de eigenschappen van de roltoewijzing betekenen.

Eigenschappen Beschrijving
RoleAssignmentName
name		 De naam van de roltoewijzing, een GUID (Globally Unique Identifier).
RoleAssignmentId
id		 De unieke id van de roltoewijzing, die de naam bevat.
Scope
scope		 De Azure-resource-id waarop de roltoewijzing is gericht.
RoleDefinitionId
roleDefinitionId		 De unieke id van de rol.
RoleDefinitionName
roleDefinitionName		 De naam van de rol.
ObjectId
principalId		 De Microsoft Entra-object-id voor de principal waaraan de rol is toegewezen.
ObjectType
principalType		 Het type Microsoft Entra-object dat de principal vertegenwoordigt. Geldige waarden zijn onder andere User, Groupen ServicePrincipal.
DisplayName Voor roltoewijzingen voor gebruikers, de weergavenaam van de gebruiker.
SignInName
principalName		 De unieke principal-naam (UPN) van de gebruiker of de naam van de toepassing die is gekoppeld aan de service-principal.
Description
description		 De beschrijving van de roltoewijzing.
Condition
condition		 Voorwaarde-instructie gebouwd met behulp van een of meer acties van roldefinitie en kenmerken.
ConditionVersion
conditionVersion		 Het versienummer van de voorwaarde. De standaardinstelling is 2.0 en is de enige ondersteunde versie.
CanDelegate
canDelegate		 Niet geïmplementeerd.

Bereik

Wanneer u een roltoewijzing maakt, moet u het bereik opgeven waarop deze wordt toegepast. Het bereik vertegenwoordigt de resource of set resources waartoe de principal toegang heeft. U kunt een roltoewijzing toewijzen aan één resource, een resourcegroep, een abonnement of een beheergroep.

Tip

Gebruik het kleinste bereik dat u nodig hebt om te voldoen aan uw vereisten.

Als u bijvoorbeeld een beheerde identiteit toegang moet verlenen tot één opslagaccount, is het een goede beveiligingspraktijk om de roltoewijzing te maken binnen het bereik van het opslagaccount, niet in het bereik van de resourcegroep of het abonnementsbereik.

Zie Bereik voor meer informatie over het bereik.

Rol die moet worden toegewezen

Een roltoewijzing is gekoppeld aan een roldefinitie. De roldefinitie geeft de machtigingen op die de principal moet hebben binnen het bereik van de roltoewijzing.

U kunt een ingebouwde roldefinitie of een aangepaste roldefinitie toewijzen. Wanneer u een roltoewijzing maakt, moet u voor sommige hulpprogramma's de roldefinitie-id gebruiken terwijl u met andere hulpprogramma's de naam van de rol kunt opgeven.

Zie Roldefinities begrijpen voor meer informatie over roldefinities.

Principal

Principals zijn onder andere gebruikers, beveiligingsgroepen, beheerde identiteiten, workloadidentiteiten en service-principals. Principals worden gemaakt en beheerd in uw Microsoft Entra-tenant. U kunt een rol toewijzen aan elke principal. Gebruik de Object-id-id van Microsoft Entra om de principal te identificeren waaraan u de rol wilt toewijzen.

Wanneer u een roltoewijzing maakt met behulp van Azure PowerShell, de Azure CLI, Bicep of een andere infrastructuur als codetechnologie (IaC), geeft u het principal-type op. Principal-typen omvatten Gebruiker, Groep en ServicePrincipal. Het is belangrijk om het juiste principal-type op te geven. Anders kunnen er onregelmatige implementatiefouten optreden, met name wanneer u met service-principals en beheerde identiteiten werkt.

Naam

De resourcenaam van een roltoewijzing moet een GUID (Globally Unique Identifier) zijn.

Resourcenamen voor roltoewijzing moeten uniek zijn binnen de Microsoft Entra-tenant, zelfs als het bereik van de roltoewijzing smaller is.

Tip

Wanneer u een roltoewijzing maakt met behulp van De Azure-portal, Azure PowerShell of de Azure CLI, krijgt het aanmaakproces de roltoewijzing automatisch een unieke naam.

Als u een roltoewijzing maakt met bicep of een andere infrastructuur als codetechnologie (IaC), moet u zorgvuldig plannen hoe u uw roltoewijzingen noemt. Zie Azure RBAC-resources maken met Bicep voor meer informatie.

Gedrag bij verwijderen van resources

Wanneer u een gebruiker, groep, service-principal of beheerde identiteit verwijdert uit Microsoft Entra ID, is het een goed idee om roltoewijzingen te verwijderen. Ze worden niet automatisch verwijderd. Roltoewijzingen die naar een verwijderde principal-id verwijzen, worden ongeldig.

Als u de naam van een roltoewijzing opnieuw probeert te gebruiken voor een andere roltoewijzing, mislukt de implementatie. Dit probleem treedt waarschijnlijk op wanneer u Bicep of een ARM-sjabloon (Azure Resource Manager) gebruikt om uw roltoewijzingen te implementeren, omdat u de naam van de roltoewijzing expliciet moet instellen wanneer u deze hulpprogramma's gebruikt. Als u dit gedrag wilt omzeilen, moet u de oude roltoewijzing verwijderen voordat u deze opnieuw maakt of ervoor zorgen dat u een unieke naam gebruikt wanneer u een nieuwe roltoewijzing implementeert.

Beschrijving

U kunt een tekstbeschrijving toevoegen aan een roltoewijzing. Hoewel beschrijvingen optioneel zijn, is het een goed idee om ze toe te voegen aan uw roltoewijzingen. Geef een korte reden op waarom de principal de toegewezen rol nodig heeft. Wanneer iemand de roltoewijzingen controleert, kunnen beschrijvingen helpen om te begrijpen waarom ze zijn gemaakt en of ze nog steeds van toepassing zijn.

Voorwaarden

Sommige rollen ondersteunen voorwaarden voor roltoewijzing op basis van kenmerken in de context van specifieke acties. Een voorwaarde voor roltoewijzing is een extra controle die u optioneel kunt toevoegen aan uw roltoewijzing om geavanceerder toegangscontrole te bieden.

U kunt bijvoorbeeld een voorwaarde toevoegen waarvoor een object een specifieke tag moet hebben voor de gebruiker om het object te lezen.

Normaal gesproken bouwt u voorwaarden met behulp van een editor voor visuele voorwaarden, maar hier ziet een voorbeeldvoorwaarde eruit in code:

((!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'} AND NOT SubOperationMatches{'Blob.List'})) OR (@resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'))

Met de voorgaande voorwaarde kunnen gebruikers blobs lezen met een blob-indextagsleutel van Project en een waarde van Trapsgewijs.

Zie Wat is op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC) voor meer informatie over voorwaarden?

Integratie met Privileged Identity Management (preview)

Belangrijk

Integratie van Azure-roltoewijzing met Privileged Identity Management is momenteel in PREVIEW. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Als u een Microsoft Entra ID P2- of Microsoft Entra ID-governance-licentie hebt, is Microsoft Entra Privileged Identity Management (PIM) geïntegreerd in de stappen voor roltoewijzing. U kunt bijvoorbeeld gedurende een beperkte periode rollen toewijzen aan gebruikers. U kunt gebruikers ook in aanmerking maken voor roltoewijzingen, zodat ze moeten activeren om de rol te kunnen gebruiken, zoals goedkeuring van de aanvraag. In aanmerking komende roltoewijzingen bieden Just-In-Time-toegang tot een rol gedurende een beperkte periode. U kunt geen in aanmerking komende roltoewijzingen maken voor toepassingen, service-principals of beheerde identiteiten, omdat ze de activeringsstappen niet kunnen uitvoeren. Deze mogelijkheid wordt in fasen geïmplementeerd, dus deze is mogelijk nog niet beschikbaar in uw tenant of uw interface kan er anders uitzien.

De beschikbare opties voor het toewijzingstype kunnen variëren, afhankelijk van of uw PIM-beleid. Pim-beleid bepaalt bijvoorbeeld of permanente toewijzingen kunnen worden gemaakt, maximale duur voor tijdgebonden toewijzingen, vereisten voor rolactivering (goedkeuring, meervoudige verificatie of verificatiecontext voor voorwaardelijke toegang) en andere instellingen. Zie Azure-resourcerolinstellingen configureren in Privileged Identity Management voor meer informatie.

Schermopname van roltoewijzing toevoegen met opties voor toewijzingstype weergegeven.

Als u PIM beter wilt begrijpen, moet u de volgende termen bekijken.

Term of concept Roltoewijzingscategorie Beschrijving
in aanmerking komend Type Een roltoewijzing die vereist dat een gebruiker een of meer acties uitvoert om de rol te kunnen gebruiken. Als een gebruiker in aanmerking komt voor een rol, betekent dit dat de gebruiker de rol kan activeren wanneer deze nodig is om bevoegde taken uit te voeren. Er is geen verschil in de toegang voor iemand met een permanente roltoewijzing ten opzichte van iemand die in aanmerking komt voor een roltoewijzing. Het enige verschil is dat sommige gebruikers niet voortdurend toegang nodig hebben.
actief Type Een roltoewijzing die niet vereist dat een gebruiker een actie uitvoert om de rol te kunnen gebruiken. Gebruikers die zijn toegewezen als actief zijn in het bezit van de bevoegdheden die zijn toegewezen aan de rol.
activeren Het proces van het uitvoeren van een of meer acties om de rol te kunnen gebruiken waarvoor de gebruiker in aanmerking komt. Acties kunnen bestaan uit het uitvoeren van een meervoudige verificatiecontrole (MFA), het verstrekken van een zakelijke reden of het aanvragen van goedkeuring van aangewezen goedkeurders.
permanent in aanmerking komend Duur Een roltoewijzing waarbij een gebruiker altijd in aanmerking komt om de rol te activeren.
permanent actief Duur Een roltoewijzing waarbij een gebruiker de rol altijd kan gebruiken zonder acties te hoeven uitvoeren.
tijdsgebonden in aanmerking komende Duur Een roltoewijzing waarbij een gebruiker in aanmerking komt om de rol alleen binnen de begin- en einddatum te activeren.
tijdsgebonden actieve Duur Een roltoewijzing waarbij een gebruiker de rol alleen binnen begin- en einddatums kan gebruiken.
Just-in-time-toegang (JIT) Een model waarbij gebruikers tijdelijke machtigingen ontvangen om bepaalde taken uit te mogen voeren, waardoor kwaadwillende of onbevoegde gebruikers geen toegang kunnen krijgen na het verlopen van deze machtigingen. Toegang wordt alleen verleend wanneer gebruikers deze nodig hebben.
Principe van toegang met minimale bevoegdheden Een aanbevolen beveiligingspraktijk waarbij elke gebruiker alleen de minimale bevoegdheden heeft die nodig zijn om de taken uit te voeren die ze mogen uitvoeren. Met deze procedure wordt het aantal globale beheerders tot het minimum beperkt en worden er specifieke beheerdersrollen gebruikt voor bepaalde scenario's.

Zie Wat is Microsoft Entra Privileged Identity Management? voor meer informatie.

Volgende stappen