Введение
Теперь, когда вы знаете, как подготовить облачные ресурсы и управлять ими, необходимо научиться управлять доступом к этим ресурсам. Во-первых, нам необходимо иметь возможность выполнять идентификацию каждого пользователя, осуществляющего доступ к облачным ресурсам организации. Во вторых, у администраторов должна быть возможность определять разрешения, чтобы система могла решить, следует ли разрешать доступ. "Доступ" может подразумевать изменение, удаление виртуальной машины или же просто определение наличия виртуальной машины.
Цель безопасности — предоставление пользователям доступа только к тем ресурсам, которые необходимы им для выполнения назначенных рабочих заданий. Администратору базы данных может потребоваться разрешение на добавление таблицы в базу данных, которая ему принадлежит, но, скорее всего, ему не следует разрешать изменять (или удалять) виртуальную машину с базой данных или сеть, частью которой является виртуальная машина.
Суть понятия цифрового удостоверения состоит в назначении удостоверения, например удостоверения Андрея или Алисы, пользователю, пытающемуся получить доступ к облачным ресурсам или выполняющему вход на веб-сайт. Это многоаспектный подход с множеством различных решений. Подходящее решение зависит от сценария. Например, для общедоступного веб-сайта, где для доступа к определенным страницам (например, содержащим платные статьи) требуется вход в систему, необходима система идентификации, которая позволяет пользователям за пределами организации создавать учетные записи и выполнять вход в систему. В противоположность этому пользователи, желающие получить доступ к облачным ресурсам организации, должны идентифицироваться по учетным записям организации, назначенным им ИТ-специалистами, а внешний доступ должен тщательно контролироваться.
В этом модуле мы рассмотрим ключевые понятия удостоверений в цифровой области. Мы обсудим типы сущностей, которым могут быть назначены удостоверения, включая пользователей, группы и приложения. Кроме того, мы узнаем о методах расширения действия удостоверения личности, чтобы, например, Алиса смогла использовать учетные данные организации для доступа к локальным и облачным ресурсам.
Наконец, мы рассмотрим понятие управления доступом на основе ролей (RBAC) и узнаем, как его используют поставщики облачных служб. RBAC позволяет пользователям управлять доступом к ресурсам, которые они подготавливают. Это основной механизм, который администраторы облака используют для применения разрешений к облачным ресурсам и определения действий, которые пользователям разрешено или запрещено выполнять с отдельными ресурсами или группами ресурсов. В дальнейшем он будет играть ключевую роль для вас как для администратора облака.