Защита ресурсов с помощью управления доступом на основе ролей

  • 5 мин

Реализация Политика Azure гарантирует, что все наши сотрудники с доступом Azure соответствуют нашим внутренним стандартам для создания ресурсов, но у нас есть вторая проблема: как мы защищаем эти ресурсы после их развертывания? У нас есть ИТ-специалисты, которым необходимо управлять параметрами, разработчиками, которым требуется доступ только для чтения, и администраторы, которым необходимо полностью управлять ими. Введите контроль доступа на основе ролей (RBAC).

RBAC обеспечивает точное управление доступом для ресурсов Azure, что позволяет предоставлять пользователям определенные права, необходимые для выполнения своих заданий. Служба RBAC является базовой и предоставляется бесплатно на всех уровнях подписки.

Используя RBAC, вы получаете следующие возможности:

  • предоставление одному пользователю разрешения на управление виртуальными машинами в подписке, а другому — на управление виртуальными сетями;
  • Предоставление группе администраторов базы данных разрешения на управление базами данных SQL в подписке.
  • Предоставление пользователю разрешения на управление всеми ресурсами в группе ресурсов, включая виртуальные машины, веб-сайты и виртуальные подсети.
  • Предоставление приложению доступа ко всем ресурсам в группе ресурсов.

Чтобы просмотреть разрешения на доступ, воспользуйтесь панелью Управление доступом (IAM) для ресурса на портале Azure. На этой панели можно определить, у кого есть доступ к области,а также назначенные им роли. Панель также позволяет предоставлять и блокировать доступ.

Screenshot of Azure portal Access control - Role assignment pane showing a backup operator and billing reader roles assigned to different users.

Принципы определения доступа в RBAC

Служба RBAC использует модель разрешения доступа. При назначении роли RBAC позволяет выполнять определенные действия, такие как чтение, запись или удаление. Поэтому если одна назначенная роль дает вам разрешения на чтение для группы ресурсов, а другая — разрешения на запись для этой же группы, у вас будут разрешения и на чтение, и на запись.

Рекомендации по использованию RBAC

В этом разделе приводятся некоторые рекомендации, которые следует учитывать при настройке ресурсов.

  • Разделение обязанностей в вашей команде и предоставление пользователям только объема доступа, которому они должны выполнять свои задания. Вместо того чтобы предоставить всем неограниченные разрешения для подписки Azure или ресурсов, можно разрешить только определенные действия в конкретной области.
  • Когда вы разрабатываете стратегию управления доступом, предоставьте пользователям минимальные разрешения, которые необходимы им для выполнения поставленных задач.
  • Используйте блокировки ресурсов, чтобы исключить вероятность изменения или удаления критически важных ресурсов, как будет показано в следующем уроке.