Реализация управления доступом на основе ролей
Безопасное управление доступом к облачным ресурсам имеет решающее значение для предприятий, работающих в облаке. Управление доступом на основе ролей (RBAC) — это механизм, помогающий управлять доступом к ресурсам Azure. RBAC позволяет определять, какие операции могут выполнять те или иные пользователи с определенными ресурсами, и контролировать то, к каким частям ресурса имеет доступ каждый пользователь.
RBAC — это система авторизации на основе Azure Resource Manager. Azure RBAC обеспечивает гибкое управление доступом к ресурсам в Azure.
Что важно знать об Azure RBAC
Вот некоторые задачи, которые можно выполнять с помощью Azure RBAC:
Предоставление приложению доступа ко всем ресурсам в группе ресурсов.
предоставление одному пользователю разрешения на управление виртуальными машинами в подписке, а другому — на управление виртуальными сетями.
Предоставление группе администраторов базы данных разрешения на управление базами данных SQL в подписке.
Предоставление пользователю разрешения на управление всеми ресурсами в группе ресурсов, включая виртуальные машины, веб-сайты и подсети.
Основные понятия Azure RBAC
В приведенной ниже таблице представлены основные понятия Azure RBAC.
| Концепция | Description | Примеры |
|---|---|---|
| Субъект безопасности | Объект, представляющий некую сущность, запрашивающую доступ к ресурсам. | Пользователь, группа, субъект-служба, управляемое удостоверение |
| Определение роли | Набор разрешений, перечисляющий разрешенные операции. В Azure RBAC имеются встроенные определения ролей, но вы также можете создавать собственные определения настраиваемых ролей. | Вот некоторые встроенные определения ролей: Читатель, Участник, Владелец, Администратор доступа пользователей. |
| Область применения | Граница запрошенного уровня доступа (сколько прав доступа предоставляется). | Группа управления, подписка, группа ресурсов, ресурс |
| Назначение ролей | Назначение связывает определение роли с субъектом безопасности в определенной области. Пользователи могут предоставлять доступ, описанный в определении роли, путем создания (прикрепления) назначения для роли. | — Назначьте роль Администратор istrator пользователю группе администрирования, область в группу управления — Назначение роли Участник пользователю в области подписки. |
Что учитывать при работе с Azure RBAC
Продумывая реализацию ролей и назначений областей в организации, учитывайте следующие моменты:
Примите во внимание запрашивающие стороны. Спланируйте стратегию с учетом всех типов доступа к ресурсам. Для любых сущностей, запрашивающих доступ к ресурсам, создаются субъекты безопасности. Определите запрашивающие стороны в организации. Ими могут быть внутренние или внешние пользователи, группы пользователей, приложения и службы, ресурсы и т. д.
Примите во внимание роли. Проанализируйте типы рабочих обязанностей и сценариев в организации. Роли обычно создаются на основе требований для выполнения рабочих задач или достижения рабочих целей. Некоторым пользователям, таким как администраторы, специалисты по финансовому контролю и инженеры, может требоваться более высокий уровень доступа, чем остальным. Некоторые роли могут предоставлять всем членам команды или отдела одинаковые права доступа к определенным ресурсам или приложениям.
Примите во внимание область действия разрешений. Подумайте, как можно обеспечить безопасность путем ограничения области действия разрешений для назначений ролей. Определите необходимые типы разрешений и уровни области действия. К одной и той же роли можно применять разные области действия для поддержки различных сценариев.
Решите, следует ли использовать встроенные или пользовательские определения. Просмотрите список встроенных определений ролей в Azure RBAC. Встроенные роли можно использовать как есть или настроить в соответствии с требованиями организации. Вы также можете создавать определения настраиваемых ролей с нуля.