Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?
Bulut kaynakları için erişim yönetimi, bulutu kullanan tüm kuruluşlar için kritik öneme sahip bir işlevdir. Azure rol tabanlı erişim denetimi (Azure RBAC) Azure kaynaklarına erişebilen kişileri, bu kişilerin bu kaynaklarla yapabileceklerini ve erişebildikleri alanları yönetmenize yardımcı olur.
Azure RBAC, Azure kaynaklarına ayrıntılı erişim yönetimi sağlayan, Azure Resource Manager üzerinde oluşturulmuş bir yetkilendirme sistemidir.
Bu video, Azure RBAC'ye hızlı bir genel bakış sağlar.
Azure RBAC ile ne yapabilirim?
Azure RBAC ile neler yapabileceğinize dair bazı örnekler aşağıda verilmiştir:
- Bir kullanıcıya abonelikteki sanal makineleri yönetme, başka bir kullanıcıya ise sanal ağları yönetme izni verme
- Bir DBA grubuna abonelikteki SQL veritabanlarını yönetme izni verme
- Bir kullanıcının sanal makineler, web siteleri ve alt ağlar gibi bir kaynak grubundaki tüm kaynakları yönetmesine izin verme
- Bir uygulamaya bir kaynak grubundaki tüm kaynaklara erişim izni verme
Azure RBAC nasıl çalışır?
Azure RBAC kullanarak kaynaklara erişimi denetleme yönteminiz Azure rolleri atamaktır. Bu, anlaşılması gereken önemli bir kavramdır; izinlerin nasıl zorunlu kılınıldığıdır. Rol ataması üç öğeden oluşur: güvenlik sorumlusu, rol tanımı ve kapsam.
Güvenlik sorumlusu
Güvenlik sorumlusu, Azure kaynakları için erişim isteyen kullanıcıyı, grubu, hizmet sorumlusunu veya yönetilen kimliği temsil eden bir nesnedir. Bu güvenlik sorumlularından herhangi birine rol atayabilirsiniz.
Rol tanımı
Rol tanımı, izinlerden oluşan bir koleksiyondur. Bu genellikle rol olarak adlandırılır. Rol tanımı okuma, yazma ve silme gibi gerçekleştirilebilecek eylemleri listeler. Roller sahip gibi üst düzey veya sanal makine okuyucusu gibi sınırlı olabilir.
Azure, kullanabileceğiniz çeşitli yerleşik roller içerir. Örneğin Sanal Makine Katılımcısı rolü, kullanıcının sanal makine oluşturmasını ve yönetmesini sağlar. Yerleşik roller kuruluşunuzun belirli gereksinimlerini karşılamıyorsa kendi Azure özel rollerinizi oluşturabilirsiniz.
Bu video, yerleşik rollere ve özel rollere hızlı bir genel bakış sağlar.
Azure,bir nesne içindeki verilere erişim vermenizi sağlayan veri eylemlerine sahiptir. Örneğin kullanıcının bir depolama hesabında verileri okuma erişimi varsa bu kullanıcı ilgili depolama hesabındaki blobları veya iletileri okuyabilir.
Daha fazla bilgi için bkz. Azure rol tanımlarını anlama.
Kapsam
Kapsam , erişimin uygulandığı kaynak kümesidir. Bir rol atadığınızda kapsam tanımlayarak izin verilen eylemleri sınırlandırabilirsiniz. Birini Web Sitesi Katkıda Bulunanı yapmak istiyorsanız ancak yalnızca bir kaynak grubu için bu yararlı olur.
Azure'da dört düzeyde bir kapsam belirtebilirsiniz: yönetim grubu, abonelik, kaynak grubu veya kaynak. Kapsamlar üst-alt ilişkisiyle yapılandırılmıştır. Bu kapsam düzeylerinden herhangi birinde rol atayabilirsiniz.
Kapsam hakkında daha fazla bilgi için bkz. Kapsamı anlama.
Rol atamaları
Rol ataması, erişim verme amacıyla belirli bir kapsamdaki bir kullanıcıya, gruba, hizmet sorumlusuna veya yönetilen kimliğe rol tanımı ekleme işlemidir. Erişim, rol ataması oluşturularak sağlanır ve rol ataması kaldırıldığında iptal edilir.
Aşağıdaki diyagramda rol ataması örneği gösterilmektedir. Bu örnekte Marketing grubuna pharma-sales kaynak grubu için Katkıda bulunan rolü atanmıştır. Bu da Marketing grubundaki kullanıcıların pharma-sales kaynak grubunda tüm Azure kaynaklarını oluşturma veya yönetme işlemlerini gerçekleştirebileceği anlamına gelir. Başka bir rol atamasına sahip olmayan Marketing kullanıcılarının pharma-sales kaynak grubu dışındaki kaynaklara erişimi yoktur.
rolleri atamak için Azure portal, Azure CLI, Azure PowerShell, Azure SDK'ları veya REST API'lerini kullanabilirsiniz.
Daha fazla bilgi için bkz. Azure rolü atama adımları.
Gruplar
Rol atamaları gruplar için geçişli olur; başka bir deyişle, kullanıcı bir grubun üyesiyse ve bu grup rol ataması olan başka bir grubun üyesiyse, kullanıcının rol atamasında izinleri olur.
Birden çok rol ataması
Birden çok çakışan rol atamanız varsa ne olur? Azure RBAC ek bir model olduğundan etkili izinleriniz rol atamalarınızın toplamıdır. Bir kullanıcıya abonelik kapsamında Katkıda Bulunan rolü ve kaynak grubundaki Okuyucu rolünün verildiği aşağıdaki örneği düşünün. Katkıda Bulunan izinlerinin ve Okuyucu izinlerinin toplamı, aboneliğin Katkıda Bulunan rolüdür. Bu nedenle, bu durumda Okuyucu rol atamasının hiçbir etkisi yoktur.
Reddetme atamaları
Daha önce, Azure RBAC reddetme olmadan yalnızca izin veren bir modeldi, ancak artık Azure RBAC sınırlı bir şekilde reddetme atamalarını destekliyordu. Rol atamasına benzer şekilde, reddetme ataması da erişimi reddetme amacıyla belirli bir kapsamdaki bir kullanıcıya, gruba, hizmet sorumlusuna veya yönetilen kimliğe bir dizi reddetme eylemi ekler. Rol ataması izin verilen bir eylem kümesini tanımlarken, reddetme ataması izin verilmeyen bir eylem kümesini tanımlar. Başka bir deyişle, reddetme atamaları kullanıcıların belirtilen eylemleri gerçekleştirmesini (rol ataması izin vermiş olsa bile) engeller. Reddetme atamaları rol atamalarından daha önceliklidir.
Daha fazla bilgi için bkz. Azure reddetme atamalarını anlama.
Azure RBAC bir kullanıcının kaynağa erişimi olup olmadığını nasıl belirler?
Azure RBAC'nin bir kaynağa erişiminiz olup olmadığını belirlemek için kullandığı üst düzey adımlar aşağıdadır. Bu adımlar Azure RBAC ile tümleştirilmiş Azure Resource Manager veya veri düzlemi hizmetleri için geçerlidir. Bunları anlamak, bir erişim sorununu gidermeye çalışırken işinize yarayabilir.
Kullanıcı (veya hizmet sorumlusu) Azure Resource Manager için bir belirteç alır.
Belirteç kullanıcının grup üyeliğini (geçişli grup üyelikleri de dahil) içerir.
Kullanıcı, belirteci de ekleyerek Azure Resource Manager'a bir REST API çağrısı yapar.
Azure Resource Manager, üzerinde eylem gerçekleştirilen kaynak için geçerli olan tüm rol atamalarını ve reddetme atamalarını alır.
Reddetme ataması geçerliyse, erişim engellenir. Aksi takdirde değerlendirme devam eder.
Azure Resource Manager, rol atamalarını bu kullanıcıya veya onun grubuna uygulananlarla daraltır ve kullanıcının bu kaynak için hangi role sahip olduğunu saptar.
Azure Resource Manager, API çağrısındaki eylemin bu kaynak için kullanıcının sahip olduğu rollere eklenip eklenmediğini saptar. Rollerin
Actions
joker karakteri ()*
varsa, etkin izinler izin verilenActions
öğesinden çıkarılarakNotActions
hesaplanır. Benzer şekilde, tüm veri eylemleri için aynı çıkarma yapılır.Actions - NotActions = Effective management permissions
DataActions - NotDataActions = Effective data permissions
Kullanıcının istenen kapsamda eylem içeren bir rolü yoksa erişime izin verilmez. Aksi takdirde, tüm koşullar değerlendirilir.
Rol ataması koşulları içeriyorsa değerlendirilir. Aksi takdirde erişime izin verilir.
Koşullar karşılanırsa erişime izin verilir. Aksi takdirde erişime izin verilmez.
Aşağıdaki diyagramda değerlendirme mantığının bir özeti verilmiştir.
Azure RBAC verileri nerede depolanır?
Kaynağı oluşturduğunuz bölgeden bağımsız olarak kaynaklarınıza erişiminizin olduğundan emin olmak için rol tanımları, rol atamaları ve reddetme atamaları genel olarak depolanır.
Rol ataması veya diğer Azure RBAC verileri silindiğinde veriler genel olarak silinir. Azure RBAC verileri aracılığıyla bir kaynağa erişimi olan sorumlular erişimlerini kaybeder.
Azure RBAC verileri neden geneldir?
Azure RBAC verileri, müşterilerin eriştiği yerden bağımsız olarak kaynaklara zamanında erişebildiğinden emin olmak için geneldir. Azure RBAC, genel uç noktaya sahip olan ve istekler hız ve dayanıklılık için en yakın bölgeye yönlendirilen Azure Resource Manager tarafından zorunlu kılınır. Bu nedenle, Azure RBAC tüm bölgelerde zorunlu tutulmalı ve veriler tüm bölgelere çoğaltılmalıdır. Daha fazla bilgi için bkz. Azure Resource Manager dayanıklılığı.
Aşağıdaki örneği inceleyin. Arina, Doğu Asya'da bir sanal makine oluşturur. Arina'nın ekibinin bir üyesi olan Bob, Birleşik Devletler çalışıyor. Bob'un Doğu Asya'da oluşturulan sanal makineye erişmesi gerekiyor. Bob'a sanal makineye zamanında erişim vermek için Azure'ın Bob'un sanal makineye her yerden erişmesini sağlayan rol atamasını genel olarak çoğaltması gerekir.
Lisans gereksinimleri
Bu özelliği kullanmak ücretsizdir ve Azure aboneliğinize dahildir.