Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure rol tabanlı erişim denetimi (RBAC), Azure kaynaklarına kimlerin erişebileceğini, hangi eylemleri gerçekleştirebileceklerini ve bunları nerede gerçekleştirebileceklerini tanımlar. Bu yapı, bulut ortamınızda idareyi, güvenliği ve operasyonel netliği artırır.
Önkoşul:Azure hesabı oluşturma. Startup'larAzure kredileri için uygun olup olmadığınızı kontrol edin.
Tüm erişim atamalarına en az ayrıcalık uygulama
En düşük ayrıcalık ilkesi, kullanıcıların yalnızca görevlerini gerçekleştirmek için gereken izinleri almasını sağlar. Bu yaklaşım riski azaltır ve denetlenebilirliği artırır.
Yerleşik rollerle başlayın. Azure RBAC, yaygın senaryolara uygun izinlere sahip yerleşik rollere sahiptir. Yerleşik rollerle başlayın ve yalnızca açıkça gerektiğinde özel roller oluşturun. İş işlevi rolleriyle başlayın ve yalnızca iş işlevi rolleri yeterli olmadığında ayrıcalıklı yönetici rollerini (Sahip, Katkıda Bulunan, Okuyucu, Rol Tabanlı Erişim Denetimi Yöneticisi ve Kullanıcı Erişimi Yöneticisi) kullanın.
Minimum izinlere sahip roller atayın. Her rol, rol tanımında tanımlanan bir izin kümesi içerir. Yalnızca kullanıcının sorumlulukları için gerekli izinleri veren rolleri seçin. Aşırı erişim yetkisi sağlama uygulamalarından kaçının.
Rolleri mümkün olan en dar kapsamda atayın. Rol kapsamı , izinlerin nereye uygulanacağını belirler. Temel görevleri gerçekleştirmek için gereken kapsamda roller atayın.
Rol kapsamı Description Yönetim grubu Rol izinleri, yönetim grubundaki tüm aboneliklere ve kaynaklara uygulanır. Subscription Rol izinleri abonelik içindeki tüm kaynak gruplarına ve kaynaklara uygulanır. Kaynak grubu Rol izinleri, bu kaynak grubundaki tüm kaynaklara uygulanır. Resource Rol izinleri yalnızca belirli bir kaynağa (örneğin, bir Foundry örneği) uygulanır.
Ayrıntılı adımlar için bkz. Azure RBAC rollerini uygulama.
Kaynak erişimini yönetmek için grupları kullanma
Rolleri tek tek kullanıcılara atamak yerine, bunları Microsoft Entra Id gruplarına atayın. Bu yapı, rol atamalarını merkezileştirerek ölçeklenebilirliği, denetlenebilirliği ve idareyi geliştirir.
Erişim kapsamına göre güvenlik grupları oluşturun. Kaynak, kaynak grubu veya abonelik düzeyi gibi erişim kapsamını yansıtan güvenlik gruplarını tanımlayın. Örneğin geliştirme, test ve üretim ortamları için AI-Developer-Dev, AI-Developer-Test, AI-Developer-Prod gibi ayrı gruplar oluşturun. Bu yapı en az ayrıcalık ve ortam yalıtımını zorunlu kılabilir. Güvenlik grubu oluşturma adımları için bkz. Microsoft Entra Id gruplarını yönetme.
Gerekli en düşük kapsamdaki gruplara roller atayın. Gruplara rol atarken en az ayrıcalık ilkesini uygulayın. Gerekmedikçe daha yüksek kapsamlarda rol atamaktan kaçının. Bu yaklaşım riski azaltır ve denetimleri basitleştirir.
Ortamınız geliştikçe grup yapısını geliştirin. grup tanımlarını iş yüklerindeki, ekiplerdeki veya sorumluluklardaki değişiklikleri yansıtacak şekilde ayarlayın. Bu iyileştirme, erişim üzerinde sürekli netlik ve denetim sağlar. Örneğin:
İş rolü İş gereksinimi Grup adı Azure RBAC rolü İzinlerin kapsamı Abonelik sahipleri Abonelik genelinde erişim denetimini, idareyi ve faturalamayı yönetme Abonelik Sahipleri Sahibi Abonelik düzeyi Yapay zeka geliştiricileri Foundry'de model oluşturma ve dağıtma Yapay Zeka-Foundry-Geliştirme Katılımcı Kaynak grubu düzeyi Finance Faturalama, kullanım ve maliyet raporlarını gözden geçirme Finans Okuyucuları Okuyucu Abonelik düzeyi Owner rol atamalarını sınırlayın. Sahip rolü, Azure RBAC'de tüm kaynakları yönetmek ve roller atamak için tam erişim verir. Bu rolü abonelik başına üç veya daha az kullanıcıyla sınırlayın. Abonelik oluşturucuları için varsayılan Sahip atamasını gerektiği gibi gözden geçirin ve ayarlayın.
Erişimi düzenli olarak gözden geçirme
Erişim gözden geçirmeleri, kullanıcılar rolleri veya projeleri değiştirdikçe izinlerin uygun kalmasını sağlar.
Aylık veya üç aylık erişim gözden geçirmeleri zamanlayın. Hem Microsoft Entra Id rollerini hem de Azure RBAC atamalarını gözden geçirin. Güvenliği korumak için gereksiz rolleri hemen kaldırın.
gözden geçirmeleri kolaylaştırmak için otomatik araçları kullanın. El ile denetimler için Erişim Gözden Geçirmesi (Microsoft Entra ID Premium P2) veya rol atamalarını dışarı aktarma gibi araçları kullanın. Erişim yönetimini sürekli bakım olarak değerlendirin.