Tworzenie definicji roli
Definicja roli składa się z zestawów uprawnień zdefiniowanych w pliku JSON. Każdy zestaw uprawnień ma nazwę, taką jak Akcje lub NotActions , które opisują uprawnienia. Oto kilka przykładów zestawów uprawnień:
Uprawnienia akcji określają, jakie akcje są dozwolone.
Uprawnienia NotActions określają, które akcje nie są dozwolone.
Uprawnienia usługi DataActions wskazują, jak można zmienić lub użyć danych.
Uprawnienia AssignableScopes zawierają listę zakresów, do których można przypisać definicję roli.
Na poniższym diagramie przedstawiono szczegóły roli Współautor w kontroli dostępu opartej na rolach platformy Azure.
Uprawnienia Akcje pokazują , że rola Współautor ma wszystkie uprawnienia akcji. Symbol wieloznaczny "*" gwiazdki oznacza "wszystko". Uprawnienia NotActions zawężają uprawnienia udostępniane przez zestaw akcji i odmawiają trzech akcji:
Authorization/*/Delete: Brak autoryzacji do usuwania lub usuwania dla "wszystkich".Authorization/*/Write: Brak autoryzacji do zapisu lub zmiany dla "wszystkich".Authorization/elevateAccess/Action: Brak autoryzacji do zwiększenia poziomu lub zakresu uprawnień dostępu.
Rola Współautor ma również dwa uprawnienia do określania sposobu, w jaki dane mogą mieć wpływ:
"NotDataActions": []: nie ma określonych akcji. W związku z tym wszystkie akcje mogą mieć wpływ na dane."AssignableScopes": ["/"]: Rolę można przypisać dla wszystkich zakresów, które mają wpływ na dane.
Informacje o definicjach ról
Zapoznaj się z następującymi cechami definicji ról:
Kontrola dostępu oparta na rolach platformy Azure zapewnia wbudowane role i zestawy uprawnień. Można również tworzyć role niestandardowe i uprawnienia.
Wbudowana rola Właściciel ma najwyższy poziom uprawnień dostępu na platformie Azure.
System odejmuje uprawnienia NotActions z uprawnień Akcje w celu określenia obowiązujących uprawnień dla roli.
Uprawnienia AssignableScopes dla roli mogą być grupami zarządzania, subskrypcjami, grupami zasobów lub zasobami.
Uprawnienia roli
Użyj jednocześnie uprawnień Akcje i NotActions, aby udzielić i odmówić dokładnych uprawnień dla każdej roli. Uprawnienia Akcje mogą zapewnić zakres dostępu, a uprawnienia NotActions mogą zawęzić dostęp.
W poniższej tabeli przedstawiono sposób użycia uprawnień Akcje lub NotActions w definicjach dla trzech wbudowanych ról: Właściciel, Współautor i Czytelnik. Uprawnienia są zawężone z roli Właściciel do ról Współautor i Czytelnik , aby ograniczyć dostęp.
| Nazwa roli | opis | Uprawnienia akcji | Uprawnienia notActions |
|---|---|---|---|
| Właściciel | Udziela pełnego dostępu do zarządzania wszystkimi zasobami, w tym możliwość przypisywania ról w kontroli dostępu opartej na rolach platformy Azure. | * |
nie dotyczy |
| Współautor | Udziela pełnego dostępu do zarządzania wszystkimi zasobami, ale nie zezwala na przypisywanie ról w kontroli dostępu opartej na rolach platformy Azure, zarządzanie przypisaniami w usłudze Azure Blueprints lub udostępnianie galerii obrazów. | * |
- Microsoft.Authorization/*/Delete - Microsoft.Authorization/*/Write - Microsoft.Authorization/elevateAccess/Action |
| Czytelnik | Wyświetl wszystkie zasoby, ale nie zezwala na wprowadzanie żadnych zmian. | /*/read |
nie dotyczy |
Zakresy ról
Po zdefiniowaniu uprawnień roli należy użyć uprawnień AssignableScopes , aby określić sposób przypisywania roli. Oto kilka przykładów.
Określanie zakresu roli dostępnej do przypisania w dwóch subskrypcjach:
"/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e", "/subscriptions/e91d47c4-76f3-4271-a796-21b4ecfe3624"Określanie zakresu roli jako dostępnej dla przypisania tylko w sieciowej grupie zasobów:
"/subscriptions/c276fc76-9cd4-44c9-99a7-4fd71546436e/resourceGroups/Network"Określanie zakresu roli jako dostępnej do przypisania dla wszystkich osób żądających:
"/"
Kwestie, które należy wziąć pod uwagę podczas tworzenia ról
Rozważ następujące kwestie dotyczące tworzenia definicji ról w kontroli dostępu opartej na rolach platformy Azure:
Rozważ użycie wbudowanych ról. Przejrzyj listę wbudowanych definicji ról w kontroli dostępu opartej na rolach platformy Azure. Istnieje ponad 100 wstępnie zdefiniowanych definicji ról do wyboru, takich jak Właściciel, Operator kopii zapasowych, Współautor witryny internetowej i Menedżer zabezpieczeń SQL. Role wbudowane są definiowane dla kilku kategorii usług, zadań i użytkowników, w tym ogólnych, sieciowych, magazynowania, baz danych i innych.
Rozważ utworzenie definicji niestandardowych. Zdefiniuj własne role niestandardowe, aby spełnić określone scenariusze biznesowe organizacji. Możesz zmodyfikować uprawnienia wbudowanej roli, aby spełnić określone wymagania organizacji. Możesz również tworzyć niestandardowe definicje ról od podstaw.
Rozważ ograniczenie zakresu dostępu. Przypisz role z minimalnym poziomem zakresu wymaganym do wykonywania zadań. Niektórzy użytkownicy, tacy jak administratorzy, wymagają pełnego dostępu do zasobów firmy w celu utrzymania infrastruktury. Inni użytkownicy w organizacji mogą wymagać dostępu do zapisu do zasobów osobistych lub zespołowych oraz dostępu tylko do odczytu do udostępnionych zasobów firmy.
Rozważ kontrolowanie zmian w danych. Zidentyfikuj dane lub zasoby, które powinny zostać zmodyfikowane tylko w określonych scenariuszach i zastosuj ścisłą kontrolę dostępu. Ogranicz użytkowników do najmniejszej ilości dostępu, której potrzebują, aby wykonać swoją pracę. Dobrze zaplanowana strategia zarządzania dostępem pomaga w utrzymaniu infrastruktury i zapobieganiu problemom z zabezpieczeniami.
Rozważ zastosowanie przypisań odmowy. Ustal, czy musisz zaimplementować funkcję przypisania odmowy. Podobnie jak przypisanie roli, przypisanie odmowy wiąże zestaw akcji odmowy z użytkownikiem, grupą lub jednostką usługi w określonym zakresie w celu odmowy dostępu. Przypisania odmowy uniemożliwiają użytkownikom wykonywanie określonych akcji na zasobach platformy Azure, nawet jeśli przypisanie roli daje im taki dostęp.