Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, Azure rol tabanlı erişim denetimini (Azure RBAC) kullanmaya yönelik bazı en iyi yöntemler açıklanmaktadır. Bu en iyi yöntemler, Azure RBAC deneyimimizden ve sizin gibi müşterilerin deneyimlerinden türetilmiştir.
Yalnızca kullanıcıların ihtiyaç duyduğu erişimi verme
Azure RBAC kullanarak ekibiniz içinde görevleri ayırabilir, bu işlere gerek duyan kişilere sadece erişim miktarını verebilirsiniz. Azure aboneliğinizde veya kaynaklarınızda herkese sınırsız izin vermek yerine, belirli bir kapsamda yalnızca belirli eylemlere izin verebilirsiniz.
Erişim denetimi stratejinizi planlarken, kullanıcılara işlerini yapmaları için en düşük ayrıcalığı vermek en iyi yöntemdir. Başlangıçta bunu yapmak daha uygun görünse bile daha geniş kapsamlarda daha geniş roller atamaktan kaçının. Özel roller oluştururken yalnızca kullanıcıların ihtiyaç duyduğu izinleri ekleyin. Rolleri ve kapsamları sınırlayarak, güvenlik sorumlusunun gizliliği ihlal edilirse hangi kaynakların risk altında olduğunu sınırlandırmış olursunuz.
Aşağıdaki diyagramda Azure RBAC kullanımı için önerilen bir desen gösterilmektedir.
Rolleri atama hakkında bilgi için bkz. Azure portalını kullanarak Azure rolleri atama.
Abonelik sahibi sayısını sınırlama
Güvenliği aşılmış bir sahibin ihlal olasılığını azaltmak için en fazla 3 abonelik sahibine sahip olmanız gerekir. Bu öneri Bulut için Microsoft Defender'da izlenebilir. Bulut için Defender'daki diğer kimlik ve erişim önerileri için bkz . Güvenlik önerileri - başvuru kılavuzu.
Ayrıcalıklı yönetici rolü atamalarını sınırla
Bazı roller ayrıcalıklı yönetici rolleri olarak tanımlanır. Güvenlik duruşunuzu geliştirmek için aşağıdaki eylemleri gerçekleştirmeyi göz önünde bulundurun:
- Gereksiz ayrıcalıklı rol atamalarını kaldırın.
- Bunun yerine bir iş işlevi rolü kullanılabildiğinde ayrıcalıklı yönetici rolü atamaktan kaçının.
- Ayrıcalıklı yönetici rolü atamanız gerekiyorsa, yönetim grubu veya abonelik gibi daha geniş bir kapsam yerine kaynak grubu veya kaynak gibi dar bir kapsam kullanın.
- Rol atamaları oluşturma iznine sahip bir rol atıyorsanız, rol atamasını kısıtlamak için bir koşul eklemeyi göz önünde bulundurun. Daha fazla bilgi için bkz Belirli koşullarla Azure rol atama yönetimini diğer kişilere devretme.
Daha fazla bilgi için Ayrıcalıklı yönetici rolü atamalarını listeleme veya yönetme kısmına bakın.
Microsoft Entra Privileged Identity Management'i kullanın
Ayrıcalıklı hesapları kötü amaçlı siber saldırılara karşı korumak için Microsoft Entra Privileged Identity Management'ı (PIM) kullanarak ayrıcalıkların açığa çıkarma süresini düşürebilir ve raporlar ve uyarılar aracılığıyla kullanımlarına ilişkin görünürlüğünüzü artırabilirsiniz. PIM, Microsoft Entra Id ve Azure kaynaklarına tam zamanında ayrıcalıklı erişim sağlayarak ayrıcalıklı hesapların korunmasına yardımcı olur. Erişim, ayrıcalıkların otomatik olarak iptal edilmesine neden olan zamana bağlı olabilir.
Daha fazla bilgi için bkz. Microsoft Entra Privileged Identity Management nedir?
Kullanıcılara değil gruplara rol atama
Rol atamalarını daha yönetilebilir hale getirmek için doğrudan kullanıcılara rol atamaktan kaçının. Bunun yerine, gruplara roller atayın. Kullanıcılar yerine gruplara rol atamak, abonelik başına rol ataması sınırı olan rol atamalarının sayısını en aza indirmeye de yardımcı olur.
Rol adı yerine benzersiz rol kimliğini kullanarak rol atama
Rol adının değişebileceği birkaç durum vardır, örneğin:
- Kendi özel rolünüzü kullanıyorsunuz ve adı değiştirmeye karar verirsiniz.
- Adında (Önizleme) olan bir önizleme rolü kullanıyorsunuz. Rol serbest bırakıldığında, rol yeniden adlandırılır.
Bir rol yeniden adlandırılsa bile rol kimliği değişmez. Rol atamalarınızı oluşturmak için betikler veya otomasyon kullanıyorsanız, rol adı yerine benzersiz rol kimliğini kullanmak en iyi yöntemdir. Bu nedenle, bir rol yeniden adlandırılırsa betiklerinizin çalışma olasılığı daha yüksektir.
Daha fazla bilgi için bkz. Benzersiz rol kimliğini ve Azure PowerShell'i kullanarak rol atama veBenzersiz rol kimliğini ve Azure CLI'yı kullanarak rol atama.
Özel roller oluştururken joker karakter kullanmaktan kaçının
Özel roller oluştururken, izinleri tanımlamak için joker karakteri (*) kullanabilirsiniz.
Actions ve DataActions'yi joker karakteri (*) yerine açıkça belirtmeniz önerilir. Gelecekte Actions veya DataActions üzerinden verilen ek erişim ve izinlerin, joker karakter kullanımı nedeniyle istenmeyen davranışlar oluşturma olasılığı olabilir. Daha fazla bilgi için bkz . Azure özel rolleri.