Implementowanie kontroli dostępu opartej na rolach
Bezpieczne zarządzanie dostępem dla zasobów w chmurze ma kluczowe znaczenie dla firm działających w chmurze. Kontrola dostępu oparta na rolach (RBAC) to mechanizm ułatwiający zarządzanie osobami, które mogą uzyskiwać dostęp do zasobów platformy Azure. Kontrola dostępu oparta na rolach pozwala określić, jakie operacje mogą wykonywać użytkownicy w określonych zasobach, i kontrolować obszary zasobu, do których może uzyskiwać dostęp każdy użytkownik.
Kontrola dostępu oparta na rolach platformy Azure to system autoryzacji oparty na usłudze Azure Resource Manager. Kontrola dostępu oparta na rolach platformy Azure zapewnia szczegółowe zarządzanie dostępem do zasobów na platformie Azure.
Informacje o kontroli dostępu opartej na rolach platformy Azure
Oto kilka czynności, które można wykonać za pomocą kontroli dostępu opartej na rolach platformy Azure:
Zezwalanie aplikacji na dostęp do wszystkich zasobów w grupie zasobów.
Zezwalaj jednemu użytkownikowi na zarządzanie maszynami wirtualnymi w ramach subskrypcji i zezwalaj innemu użytkownikowi na zarządzanie sieciami wirtualnymi.
Zezwalanie grupie administratorów baz danych na zarządzanie bazami danych SQL w ramach subskrypcji
Zezwalanie użytkownikowi na zarządzanie wszystkimi zasobami w grupie zasobów, w tym maszynami wirtualnymi, witrynami internetowymi i podsieciami.
Pojęcia dotyczące kontroli dostępu opartej na rolach platformy Azure
W poniższej tabeli opisano podstawowe pojęcia dotyczące kontroli dostępu opartej na rolach platformy Azure.
| Koncepcja | opis | Przykłady |
|---|---|---|
| Podmiot zabezpieczeń | Obiekt reprezentujący coś, co żąda dostępu do zasobów. | Użytkownik, grupa, jednostka usługi, tożsamość zarządzana |
| Definicja roli | Zestaw uprawnień, które wyświetla listę dozwolonych operacji. Kontrola dostępu oparta na rolach platformy Azure zawiera wbudowane definicje ról, ale można również utworzyć własne definicje ról niestandardowych. | Niektóre wbudowane definicje ról: czytelnik, współautor, właściciel, Administracja istrator dostępu użytkowników |
| Scope | Granica żądanego poziomu dostępu lub "ile" dostępu jest udzielana. | Grupa zarządzania, subskrypcja, grupa zasobów, zasób |
| Przypisanie roli | Przypisaniedołącza definicję roli do podmiotu zabezpieczeń w określonym zakresie. Użytkownicy mogą udzielić dostępu opisanego w definicji roli, tworząc (dołączając) przypisanie roli. | — Przypisywanie roli Administracja istratora dostępu użytkowników do grupy administracyjnej o zakresie do grupy zarządzania — Przypisywanie roli Współautor do użytkownika w zakresie subskrypcji |
Kwestie do rozważenia podczas korzystania z kontroli dostępu opartej na rolach platformy Azure
Podczas myślenia o tym, jak można zaimplementować role i przypisania zakresu w organizacji, należy wziąć pod uwagę następujące kwestie:
Zastanów się nad swoimi żądaniami. Zaplanuj strategię, aby uwzględnić wszystkie typy dostępu do zasobów. Podmioty zabezpieczeń są tworzone dla wszystkich elementów żądających dostępu do zasobów. Określ, kto jest osobami żądającym w organizacji. Żądania mogą być użytkownikami wewnętrznymi lub zewnętrznymi, grupami użytkowników, aplikacjami i usługami, zasobami itd.
Weź pod uwagę role. Sprawdź typy obowiązków i scenariuszy pracy w organizacji. Role są często tworzone na podstawie wymagań dotyczących realizacji zadań podrzędnych lub realizacji celów pracy. Niektórzy użytkownicy, tacy jak administratorzy, kontrolery firmowe i inżynierowie, mogą wymagać poziomu dostępu poza tym, czego potrzebuje większość użytkowników. Niektóre role można zdefiniować, aby zapewnić taki sam dostęp dla wszystkich członków zespołu lub działu dla określonych zasobów lub aplikacji.
Rozważ zakres uprawnień. Zastanów się, jak można zapewnić bezpieczeństwo, kontrolując zakres uprawnień dla przypisań ról. Opis typów uprawnień i poziomów zakresu, które należy obsługiwać. W różnych scenariuszach można zastosować różne poziomy zakresu dla pojedynczej roli do obsługi żądających.
Rozważ wbudowane lub niestandardowe definicje. Przejrzyj wbudowane definicje ról w kontroli dostępu opartej na rolach platformy Azure. Wbudowane role mogą być używane w taki sposób, jak jest, lub dostosowane do określonych wymagań organizacji. Możesz również tworzyć niestandardowe definicje ról od podstaw.