Resources beveiligen met op rollen gebaseerd toegangsbeheer (RBAC: Role-based Access Control)

  • 5 minuten

Het implementeren van Azure Policy heeft ervoor gezorgd dat al onze werknemers met Azure-toegang onze interne standaarden voor het maken van resources volgen, maar we hebben een tweede probleem dat we moeten oplossen: hoe beveiligen we deze resources zodra ze zijn geïmplementeerd? We hebben IT-medewerkers die instellingen moeten beheren, ontwikkelaars die alleen-lezentoegang moeten hebben en beheerders die ze volledig moeten kunnen beheren. Voer op rollen gebaseerd toegangsbeheer (RBAC) in.

RBAC biedt gedetailleerd toegangsbeheer voor Azure-resources, zodat u gebruikers de specifieke rechten kunt verlenen die ze nodig hebben om hun taken uit te voeren. RBAC wordt beschouwd als een kernservice en is gratis opgenomen in alle abonnementsniveaus.

Met RBAC kunt u het volgende doen:

  • Eén gebruiker virtuele machines laten beheren in een abonnement en een andere gebruiker virtuele netwerken laten beheren.
  • Een groep database-beheerders (DBA) SQL-databases laten beheren in een abonnement.
  • Een gebruiker alle resources in een resourcegroep laten beheren, zoals virtuele machines, websites en virtuele subnetten.
  • Een toepassing toegang geven tot alle resources in een resourcegroep.

Als u toegangsmachtigingen wilt weergeven, gebruikt u het deelvenster Access Control (IAM) in Azure Portal. In dit deelvenster kunt u bepalen wie toegang heeft tot een gebied en de toegewezen rol. Op hetzelfde deelvenster kunt u tevens toegang verlenen of intrekken.

Screenshot of Azure portal Access control - Role assignment pane showing a backup operator and billing reader roles assigned to different users.

Hoe toegang wordt gedefinieerd in RBAC

In RBAC wordt gebruikgemaakt van een toestemmingsmodel om toegang te krijgen. Wanneer u aan een rol bent toegewezen, kunt u met RBAC specifieke acties uitvoeren, zoals lezen, schrijven of verwijderen. Als dus één roltoewijzing u leesmachtigingen verleent voor een resourcegroep en een andere roltoewijzing u schrijfmachtiging verleent voor dezelfde resourcegroep, dan hebt u zowel een lees- als schrijfmachtiging voor die resourcegroep.

Aanbevolen procedures voor RBAC

Hier volgen enkele aanbevolen procedures die u moet gebruiken bij het instellen van resources:

  • Verdeel taken binnen uw team en verdeel gebruikers alleen de hoeveelheid toegang die ze nodig hebben om hun taken uit te voeren. Sta uitsluitend bepaalde acties toe bij een bepaald bereik in plaats van iedereen onbeperkte machtigingen te verlenen in uw Azure-abonnement of -resources.
  • Verleen bij het plannen van uw strategie voor toegangsbeheer gebruikers het laagste bevoegdheidsniveau dat ze nodig hebben om hun werk te doen.
  • Gebruik resourcevergrendelingen om ervoor te zorgen dat kritieke resources niet worden gewijzigd of verwijderd (zoals u in de volgende les leert).