Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?

  • Makale

Bulut kaynakları için erişim yönetimi, bulutu kullanan tüm kuruluşlar için kritik öneme sahip bir işlevdir. Azure rol tabanlı erişim denetimi (Azure RBAC) Azure kaynaklarına erişebilen kişileri, bu kişilerin bu kaynaklarla yapabileceklerini ve erişebildikleri alanları yönetmenize yardımcı olur.

Azure RBAC, Azure kaynaklarına ayrıntılı erişim yönetimi sağlayan, Azure Resource Manager üzerinde oluşturulmuş bir yetkilendirme sistemidir.

Bu video, Azure RBAC'ye hızlı bir genel bakış sağlar.

Azure RBAC ile ne yapabilirim?

Azure RBAC ile neler yapabileceğinize dair bazı örnekler aşağıda verilmiştir:

  • Bir kullanıcıya abonelikteki sanal makineleri yönetme, başka bir kullanıcıya ise sanal ağları yönetme izni verme
  • Bir DBA grubuna abonelikteki SQL veritabanlarını yönetme izni verme
  • Bir kullanıcının sanal makineler, web siteleri ve alt ağlar gibi bir kaynak grubundaki tüm kaynakları yönetmesine izin verme
  • Bir uygulamaya bir kaynak grubundaki tüm kaynaklara erişim izni verme

Azure RBAC nasıl çalışır?

Azure RBAC kullanarak kaynaklara erişimi denetleme yönteminiz Azure rolleri atamaktır. Bu, anlaşılması gereken önemli bir kavramdır; izinlerin nasıl zorunlu kılınıldığıdır. Rol ataması üç öğeden oluşur: güvenlik sorumlusu, rol tanımı ve kapsam.

Güvenlik sorumlusu

Güvenlik sorumlusu, Azure kaynakları için erişim isteyen kullanıcıyı, grubu, hizmet sorumlusunu veya yönetilen kimliği temsil eden bir nesnedir. Bu güvenlik sorumlularından herhangi birine rol atayabilirsiniz.

Rol ataması için güvenlik sorumlusu türlerini gösteren diyagram.

Rol tanımı

Rol tanımı, izinlerden oluşan bir koleksiyondur. Bu genellikle rol olarak adlandırılır. Rol tanımı okuma, yazma ve silme gibi gerçekleştirilebilecek eylemleri listeler. Roller sahip gibi üst düzey veya sanal makine okuyucusu gibi sınırlı olabilir.

Rol ataması için rol tanımı örneğini gösteren diyagram

Azure, kullanabileceğiniz çeşitli yerleşik roller içerir. Örneğin Sanal Makine Katılımcısı rolü, kullanıcının sanal makine oluşturmasını ve yönetmesini sağlar. Yerleşik roller kuruluşunuzun belirli gereksinimlerini karşılamıyorsa kendi Azure özel rollerinizi oluşturabilirsiniz.

Bu video, yerleşik rollere ve özel rollere hızlı bir genel bakış sağlar.

Azure,bir nesne içindeki verilere erişim vermenizi sağlayan veri eylemlerine sahiptir. Örneğin kullanıcının bir depolama hesabında verileri okuma erişimi varsa bu kullanıcı ilgili depolama hesabındaki blobları veya iletileri okuyabilir.

Daha fazla bilgi için bkz. Azure rol tanımlarını anlama.

Kapsam

Kapsam , erişimin uygulandığı kaynak kümesidir. Bir rol atadığınızda kapsam tanımlayarak izin verilen eylemleri sınırlandırabilirsiniz. Birini Web Sitesi Katkıda Bulunanı yapmak istiyorsanız ancak yalnızca bir kaynak grubu için bu yararlı olur.

Azure'da dört düzeyde bir kapsam belirtebilirsiniz: yönetim grubu, abonelik, kaynak grubu veya kaynak. Kapsamlar üst-alt ilişkisiyle yapılandırılmıştır. Bu kapsam düzeylerinden herhangi birinde rol atayabilirsiniz.

Rol ataması için kapsam düzeylerini gösteren diyagram.

Kapsam hakkında daha fazla bilgi için bkz. Kapsamı anlama.

Rol atamaları

Rol ataması, erişim verme amacıyla belirli bir kapsamdaki bir kullanıcıya, gruba, hizmet sorumlusuna veya yönetilen kimliğe rol tanımı ekleme işlemidir. Erişim, rol ataması oluşturularak sağlanır ve rol ataması kaldırıldığında iptal edilir.

Aşağıdaki diyagramda rol ataması örneği gösterilmektedir. Bu örnekte Marketing grubuna pharma-sales kaynak grubu için Katkıda bulunan rolü atanmıştır. Bu da Marketing grubundaki kullanıcıların pharma-sales kaynak grubunda tüm Azure kaynaklarını oluşturma veya yönetme işlemlerini gerçekleştirebileceği anlamına gelir. Başka bir rol atamasına sahip olmayan Marketing kullanıcılarının pharma-sales kaynak grubu dışındaki kaynaklara erişimi yoktur.

Güvenlik sorumlusu, rol tanımı ve kapsamın nasıl rol ataması oluşturacağını gösteren diyagram.

rolleri atamak için Azure portal, Azure CLI, Azure PowerShell, Azure SDK'ları veya REST API'lerini kullanabilirsiniz.

Daha fazla bilgi için bkz. Azure rolü atama adımları.

Gruplar

Rol atamaları gruplar için geçişli olur; başka bir deyişle, kullanıcı bir grubun üyesiyse ve bu grup rol ataması olan başka bir grubun üyesiyse, kullanıcının rol atamasında izinleri olur.

Rol atamalarının gruplar için geçişli olduğunu gösteren diyagram.

Birden çok rol ataması

Birden çok çakışan rol atamanız varsa ne olur? Azure RBAC ek bir model olduğundan etkili izinleriniz rol atamalarınızın toplamıdır. Bir kullanıcıya abonelik kapsamında Katkıda Bulunan rolü ve kaynak grubundaki Okuyucu rolünün verildiği aşağıdaki örneği düşünün. Katkıda Bulunan izinlerinin ve Okuyucu izinlerinin toplamı, aboneliğin Katkıda Bulunan rolüdür. Bu nedenle, bu durumda Okuyucu rol atamasının hiçbir etkisi yoktur.

Birden çok rol ataması arasındaki çakışmayı gösteren diyagram.

Reddetme atamaları

Daha önce, Azure RBAC reddetme olmadan yalnızca izin veren bir modeldi, ancak artık Azure RBAC sınırlı bir şekilde reddetme atamalarını destekliyordu. Rol atamasına benzer şekilde, reddetme ataması da erişimi reddetme amacıyla belirli bir kapsamdaki bir kullanıcıya, gruba, hizmet sorumlusuna veya yönetilen kimliğe bir dizi reddetme eylemi ekler. Rol ataması izin verilen bir eylem kümesini tanımlarken, reddetme ataması izin verilmeyen bir eylem kümesini tanımlar. Başka bir deyişle, reddetme atamaları kullanıcıların belirtilen eylemleri gerçekleştirmesini (rol ataması izin vermiş olsa bile) engeller. Reddetme atamaları rol atamalarından daha önceliklidir.

Daha fazla bilgi için bkz. Azure reddetme atamalarını anlama.

Azure RBAC bir kullanıcının kaynağa erişimi olup olmadığını nasıl belirler?

Azure RBAC'nin bir kaynağa erişiminiz olup olmadığını belirlemek için kullandığı üst düzey adımlar aşağıdadır. Bu adımlar Azure RBAC ile tümleştirilmiş Azure Resource Manager veya veri düzlemi hizmetleri için geçerlidir. Bunları anlamak, bir erişim sorununu gidermeye çalışırken işinize yarayabilir.

  1. Kullanıcı (veya hizmet sorumlusu) Azure Resource Manager için bir belirteç alır.

    Belirteç kullanıcının grup üyeliğini (geçişli grup üyelikleri de dahil) içerir.

  2. Kullanıcı, belirteci de ekleyerek Azure Resource Manager'a bir REST API çağrısı yapar.

  3. Azure Resource Manager, üzerinde eylem gerçekleştirilen kaynak için geçerli olan tüm rol atamalarını ve reddetme atamalarını alır.

  4. Reddetme ataması geçerliyse, erişim engellenir. Aksi takdirde değerlendirme devam eder.

  5. Azure Resource Manager, rol atamalarını bu kullanıcıya veya onun grubuna uygulananlarla daraltır ve kullanıcının bu kaynak için hangi role sahip olduğunu saptar.

  6. Azure Resource Manager, API çağrısındaki eylemin bu kaynak için kullanıcının sahip olduğu rollere eklenip eklenmediğini saptar. Rollerin Actions joker karakteri ()* varsa, etkin izinler izin verilen Actionsöğesinden çıkarılarak NotActions hesaplanır. Benzer şekilde, tüm veri eylemleri için aynı çıkarma yapılır.

    Actions - NotActions = Effective management permissions

    DataActions - NotDataActions = Effective data permissions

  7. Kullanıcının istenen kapsamda eylem içeren bir rolü yoksa erişime izin verilmez. Aksi takdirde, tüm koşullar değerlendirilir.

  8. Rol ataması koşulları içeriyorsa değerlendirilir. Aksi takdirde erişime izin verilir.

  9. Koşullar karşılanırsa erişime izin verilir. Aksi takdirde erişime izin verilmez.

Aşağıdaki diyagramda değerlendirme mantığının bir özeti verilmiştir.

Kaynağa erişimi belirlemek için değerlendirme mantığı akış çizelgesi.

Azure RBAC verileri nerede depolanır?

Kaynağı oluşturduğunuz bölgeden bağımsız olarak kaynaklarınıza erişiminizin olduğundan emin olmak için rol tanımları, rol atamaları ve reddetme atamaları genel olarak depolanır.

Rol ataması veya diğer Azure RBAC verileri silindiğinde veriler genel olarak silinir. Azure RBAC verileri aracılığıyla bir kaynağa erişimi olan sorumlular erişimlerini kaybeder.

Azure RBAC verileri neden geneldir?

Azure RBAC verileri, müşterilerin eriştiği yerden bağımsız olarak kaynaklara zamanında erişebildiğinden emin olmak için geneldir. Azure RBAC, genel uç noktaya sahip olan ve istekler hız ve dayanıklılık için en yakın bölgeye yönlendirilen Azure Resource Manager tarafından zorunlu kılınır. Bu nedenle, Azure RBAC tüm bölgelerde zorunlu tutulmalı ve veriler tüm bölgelere çoğaltılmalıdır. Daha fazla bilgi için bkz. Azure Resource Manager dayanıklılığı.

Aşağıdaki örneği inceleyin. Arina, Doğu Asya'da bir sanal makine oluşturur. Arina'nın ekibinin bir üyesi olan Bob, Birleşik Devletler çalışıyor. Bob'un Doğu Asya'da oluşturulan sanal makineye erişmesi gerekiyor. Bob'a sanal makineye zamanında erişim vermek için Azure'ın Bob'un sanal makineye her yerden erişmesini sağlayan rol atamasını genel olarak çoğaltması gerekir.

Birden çok bölgede Azure RBAC verilerini gösteren diyagram.

Lisans gereksinimleri

Bu özelliği kullanmak ücretsizdir ve Azure aboneliğinize dahildir.

Sonraki adımlar