Wat is Azure RBAC?

  • 8 minuten

Als het gaat om identiteit en toegang, maken de meeste organisaties die overwegen de openbare cloud te gebruiken zich zorgen over twee dingen:

  1. Als mensen de organisatie verlaten, hebben ze geen toegang meer tot resources in de cloud.
  2. Het juiste evenwicht vinden tussen autonomie en centraal bestuur; Zo kunnen projectteams bijvoorbeeld virtuele machines in de cloud maken en beheren, terwijl ze centraal de netwerken beheren die vm's gebruiken om met andere resources te communiceren.

Microsoft Entra ID en op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) werken samen om deze doelen eenvoudig uit te voeren.

Azure-abonnementen

Onthoud eerst dat elk Azure-abonnement is gekoppeld aan één Microsoft Entra-directory. Gebruikers, groepen en toepassingen in die directory kunnen resources in het Azure-abonnement beheren. De abonnementen gebruiken Microsoft Entra ID voor eenmalige aanmelding (SSO) en toegangsbeheer. U kunt uw on-premises Active Directory uitbreiden naar de cloud met behulp van Microsoft Entra Verbinding maken. Met deze functie kunnen uw werknemers hun Azure-abonnementen beheren met behulp van hun bestaande werkidentiteiten. Wanneer u een on-premises Active Directory-account uitschakelt, verliest het automatisch de toegang tot alle Azure-abonnementen die zijn verbonden met Microsoft Entra-id.

Wat is Azure RBAC?

Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) is een autorisatiesysteem dat is gebouwd op Azure Resource Manager dat gedetailleerd toegangsbeheer biedt voor resources in Azure. Met Azure RBAC kunt u de exacte toegang verlenen die gebruikers nodig hebben om hun taken uit te voeren. U kunt bijvoorbeeld Azure RBAC gebruiken om een werknemer virtuele machines in een abonnement te laten beheren terwijl een andere SQL-databases binnen hetzelfde abonnement beheert.

In de volgende video wordt Azure RBAC gedetailleerd beschreven:

U kunt toegang verlenen door de juiste Azure-rol toe te wijzen aan gebruikers, groepen en toepassingen binnen een bepaald bereik. Het bereik van een roltoewijzing kan een beheergroep, abonnement, een resourcegroep of één resource zijn. Een rol die aan een bovenliggend bereik is toegewezen, verleent ook toegang tot de onderliggende bereiken die erin zijn opgenomen. Een gebruiker met toegang tot een resourcegroep kan bijvoorbeeld alle resources beheren die deze bevat, zoals websites, virtuele machines en subnetten. De Azure-rol die u toewijst bepaalt welke resources de gebruiker, groep of toepassing binnen dat bereik kan beheren.

In het volgende diagram ziet u hoe de klassieke abonnementsbeheerdersrollen, Azure-rollen en Microsoft Entra-rollen op hoog niveau zijn gerelateerd. Rollen die zijn toegewezen aan een hoger bereik, zoals een volledig abonnement, worden overgenomen door onderliggende bereiken, zoals service-exemplaren.

Diagram that depicts how the classic subscription administrator roles, Azure roles, and Microsoft Entra roles are related at a high level.

In het voorgaande diagram is een abonnement gekoppeld aan slechts één Microsoft Entra-tenant. Houd er ook rekening mee dat een resourcegroep meerdere resources kan hebben, maar dat deze is gekoppeld aan slechts één abonnement. Hoewel het niet duidelijk is in het diagram, kan een resource slechts aan één resourcegroep worden gebonden.

Wat kan ik doen met op rollen gebaseerd toegangsbeheer in Azure?

Met Azure RBAC kunt u toegang verlenen tot Azure-resources die u bepaalt. Stel dat u de toegang tot resources in Azure moet beheren voor de ontwikkel-, engineering- en marketingteams. U bent begonnen met het ontvangen van toegangsaanvragen en u moet snel leren hoe toegangsbeheer werkt voor Azure-resources.

Hier volgen enkele scenario's die u kunt implementeren met Azure RBAC:

  • Toestaan dat één gebruiker de virtuele machines in een abonnement kan beheren en een andere gebruiker de virtuele netwerken kan beheren.
  • Een databasebeheerdergroep toestaan OM SQL-databases in een abonnement te beheren
  • Toestaan dat een gebruiker alle resources in een resourcegroep kan beheren, zoals virtuele machines, websites en subnetten.
  • Toestaan dat een toepassing toegang heeft tot alle resources in een resourcegroep.

Azure RBAC in Azure Portal

In verschillende gebieden in Azure Portal ziet u een deelvenster met de naam Toegangsbeheer (IAM), ook wel identiteits- en toegangsbeheer genoemd. In dit deelvenster kunt u zien wie toegang heeft tot dat gebied en hun rol. Met hetzelfde deelvenster kunt u toegang verlenen of verwijderen.

Hieronder ziet u een voorbeeld van het deelvenster Toegangsbeheer (IAM) voor een resourcegroep. In dit voorbeeld is aan Alain de rol Back-upoperator toegewezen voor deze resourcegroep.

Screenshot of the Azure portal showing the Access control Role assignment pane with the Backup operator section highlighted.

Hoe werkt Azure RBAC?

U kunt de toegang tot resources beheren met behulp van Azure RBAC door roltoewijzingen te maken, die bepalen hoe machtigingen worden afgedwongen. Als u een roltoewijzing wilt maken, hebt u drie elementen nodig: een beveiligingsprincipaal, een roldefinitie en een bereik. U kunt deze elementen beschouwen als 'wie', 'wat' en 'waar'.

1. Beveiligingsprincipaal (wie)

Een beveiligingsprincipaal is slechts een uitgebreide naam voor een gebruiker, groep of toepassing waaraan u toegang wilt verlenen.

An illustration showing security principal including user, group, and service principal.

2. Roldefinitie (wat u kunt doen)

Een roldefinitie is een verzameling machtigingen. Dit wordt soms gewoon een rol genoemd. Een roldefinitie bevat de machtigingen die de rol kan uitvoeren, zoals lezen, schrijven en verwijderen. Rollen kunnen op hoog niveau zijn, zoals eigenaar of specifiek, zoals Inzender voor virtuele machines.

An illustration listing different built-in and custom roles with zoom-in on the definition for the contributor role.

Azure bevat diverse ingebouwde rollen die u kunt gebruiken. Hieronder vindt u vier fundamentele ingebouwde rollen:

  • Eigenaar: Heeft volledige toegang tot alle resources, inclusief het recht om toegang tot anderen te delegeren
  • Inzender: Kan alle typen Azure-resources maken en beheren, maar kan geen toegang verlenen aan anderen
  • Lezer: Kan bestaande Azure-resources weergeven
  • Gebruikerstoegang Beheer istrator: hiermee kunt u gebruikerstoegang tot Azure-resources beheren

Als de ingebouwde rollen niet voldoen aan de specifieke behoeften van uw organisatie, kunt u uw eigen aangepaste rollen maken.

3. Bereik (waar)

Bereik is het niveau waarop de toegang van toepassing is. Dit is handig als u van iemand een Inzender voor websites wilt maken, maar slechts voor één resourcegroep.

In Azure kunt u een bereik op meerdere niveaus opgeven: beheergroep, abonnement, resourcegroep of resource. Bereiken zijn gestructureerd in een bovenliggende/onderliggende relatie. Wanneer u toegang verleent in een bovenliggend bereik, worden deze machtigingen overgenomen door de onderliggende bereiken. Als u bijvoorbeeld de rol Inzender toewijst aan een groep binnen het abonnementsbereik, wordt die rol overgenomen door alle resourcegroepen en resources in het abonnement.

An illustration showing a hierarchical representation of different Azure levels to apply scope. The hierarchy, starting with the highest level, is in this order: Management group, subscription, resource group, and resource.

Roltoewijzing

Zodra u hebt bepaald wie, wat en waar, kunt u deze elementen combineren om toegang te verlenen. Een roltoewijzing is het proces van het binden van een rol aan een beveiligingsprincipaal in een bepaald bereik voor het verlenen van toegang. Als u toegang wilt verlenen, maakt u een roltoewijzing. Als u de toegang wilt intrekken, verwijdert u een roltoewijzing.

In het volgende voorbeeld ziet u hoe de rol Inzender is toegewezen aan de groep Marketing binnen het bereik van de verkoopresourcegroep.

An illustration showing a sample role assignment process for Marketing group, which is a combination of security principal, role definition, and scope. The Marketing group falls under the Group security principal and has a Contributor role assigned for the Resource group scope.

Azure RBAC is een model toestaan

Azure RBAC is een model voor toestaan . Dit betekent dat wanneer u een rol hebt toegewezen, u met Azure RBAC bepaalde acties kunt uitvoeren, zoals lezen, schrijven of verwijderen. Dus als één roltoewijzing u leesmachtigingen verleent voor een resourcegroep en een andere roltoewijzing u schrijfmachtigingen verleent aan dezelfde resourcegroep, hebt u lees- en schrijfmachtigingen voor die resourcegroep.

Azure RBAC heeft iets met de naam NotActions machtigingen. U kunt een NotActions set niet-toegestane machtigingen maken. De toegang die een rol verleent, de effectieve machtigingen, wordt berekend door de NotActions bewerkingen af te trekken van de Actions bewerkingen. De rol Inzender heeft bijvoorbeeld zowel Actions als NotActions. Het jokerteken (*) geeft Actions aan dat alle bewerkingen op het besturingsvlak kunnen worden uitgevoerd. Vervolgens trekt u de volgende bewerkingen NotActions af om de effectieve machtigingen te berekenen:

  • Rollen en roltoewijzingen verwijderen
  • Rollen en roltoewijzingen maken
  • De beller gebruikerstoegang Beheer istrator toegang verlenen tot het tenantbereik
  • Blauwdrukartefacten maken of bijwerken
  • Eventuele blauwdrukartefacten verwijderen