Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?

  • Makale
  • Okumak için 5 dakika

Bulut kaynakları için erişim yönetimi, bulutu kullanan tüm kuruluşlar için kritik öneme sahip bir işlevdir. Azure rol tabanlı erişim denetimi (Azure RBAC) Azure kaynaklarına erişebilen kişileri, bu kişilerin bu kaynaklarla yapabileceklerini ve erişebildikleri alanları yönetmenize yardımcı olur.

Azure RBAC, Azure kaynaklarına ayrıntılı erişim yönetimi sağlayan, Azure Resource Manager üzerinde oluşturulmuş bir yetkilendirme sistemidir.

Bu video, Azure RBAC'ye hızlı bir genel bakış sağlar.

Azure RBAC ile ne yapabilirim?

Azure RBAC ile neler yapabileceğinize dair bazı örnekler aşağıda verilmiştir:

  • Bir kullanıcıya abonelikteki sanal makineleri yönetme, başka bir kullanıcıya ise sanal ağları yönetme izni verme
  • Bir DBA grubuna abonelikteki SQL veritabanlarını yönetme izni verme
  • Bir kullanıcının sanal makineler, web siteleri ve alt ağlar gibi bir kaynak grubundaki tüm kaynakları yönetmesine izin verme
  • Bir uygulamaya bir kaynak grubundaki tüm kaynaklara erişim izni verme

Azure RBAC nasıl çalışır?

Azure RBAC kullanarak kaynaklara erişimi denetleme yöntemi, Azure rollerini atamaktır. Bu, anlaşılması gereken önemli bir kavramdır; izinler bu şekilde zorlanır. Rol ataması üç öğeden oluşur: güvenlik sorumlusu, rol tanımı ve kapsam.

Güvenlik sorumlusu

Güvenlik sorumlusu, Azure kaynakları için erişim isteyen kullanıcıyı, grubu, hizmet sorumlusunu veya yönetilen kimliği temsil eden bir nesnedir. Bu güvenlik sorumlularından herhangi birine rol atayabilirsiniz.

Diagram showing the security principal types for a role assignment.

Rol tanımı

Rol tanımı, izinlerden oluşan bir koleksiyondur. Bu genellikle yalnızca rol olarak adlandırılır. Rol tanımı okuma, yazma ve silme gibi gerçekleştirilebilecek eylemleri listeler. Roller sahip gibi üst düzey veya sanal makine okuyucusu gibi sınırlı olabilir.

Diagram showing role definition example for a role assignment

Azure, kullanabileceğiniz birkaç yerleşik rol içerir. Örneğin Sanal Makine Katılımcısı rolü, kullanıcının sanal makine oluşturmasını ve yönetmesini sağlar. Yerleşik roller kuruluşunuzun belirli gereksinimlerini karşılamıyorsa kendi Azure özel rollerinizi oluşturabilirsiniz.

Bu video, yerleşik rollere ve özel rollere hızlı bir genel bakış sağlar.

Azure,bir nesne içindeki verilere erişim vermenizi sağlayan veri eylemlerine sahiptir. Örneğin kullanıcının bir depolama hesabında verileri okuma erişimi varsa bu kullanıcı ilgili depolama hesabındaki blobları veya iletileri okuyabilir.

Daha fazla bilgi için bkz. Azure rol tanımlarını anlama.

Kapsam

Kapsam , erişimin uygulandığı kaynak kümesidir. Bir rol atadığınızda kapsam tanımlayarak izin verilen eylemleri sınırlandırabilirsiniz. Birini Web Sitesi Katkıda Bulunanı yapmak istiyorsanız ancak yalnızca bir kaynak grubu için bu yararlı olur.

Azure'da dört düzeyde bir kapsam belirtebilirsiniz: yönetim grubu, abonelik, kaynak grubu veya kaynak. Kapsamlar üst-alt ilişkisiyle yapılandırılmıştır. Bu kapsam düzeylerinden herhangi birinde rol atayabilirsiniz.

Diagram showing scope levels for a role assignment.

Kapsam hakkında daha fazla bilgi için bkz. Kapsamı anlama.

Rol atamaları

Rol ataması, erişim verme amacıyla belirli bir kapsamdaki bir kullanıcıya, gruba, hizmet sorumlusuna veya yönetilen kimliğe rol tanımı ekleme işlemidir. Erişim, rol ataması oluşturularak sağlanır ve rol ataması kaldırıldığında iptal edilir.

Aşağıdaki diyagramda rol ataması örneği gösterilmektedir. Bu örnekte Marketing grubuna pharma-sales kaynak grubu için Katkıda bulunan rolü atanmıştır. Bu da Marketing grubundaki kullanıcıların pharma-sales kaynak grubunda tüm Azure kaynaklarını oluşturma veya yönetme işlemlerini gerçekleştirebileceği anlamına gelir. Başka bir rol atamasına sahip olmayan Marketing kullanıcılarının pharma-sales kaynak grubu dışındaki kaynaklara erişimi yoktur.

Diagram showing how security principal, role definition, and scope create a role assignment.

Azure portal, Azure CLI, Azure PowerShell, Azure SDK'ları veya REST API'lerini kullanarak rol atayabilirsiniz.

Daha fazla bilgi için bkz. Azure rolü atama adımları.

Gruplar

Rol atamaları gruplar için geçişli olur; başka bir deyişle, kullanıcı bir grubun üyesiyse ve bu grup rol ataması olan başka bir grubun üyesiyse, kullanıcının rol atamasında izinleri olur.

Diagram showing how role assignments are transitive for groups.

Birden çok rol ataması

Birden çok çakışan rol atamanız varsa ne olur? Azure RBAC eklenebilir bir modeldir, bu nedenle etkili izinleriniz rol atamalarınızın toplamıdır. Bir kullanıcıya abonelik kapsamında Katkıda Bulunan rolü ve bir kaynak grubunda Okuyucu rolü verildiği aşağıdaki örneği göz önünde bulundurun. Katkıda Bulunan izinlerinin ve Okuyucu izinlerinin toplamı, aboneliğin Katkıda Bulunan rolüdür. Bu nedenle, bu durumda Okuyucu rol atamasının hiçbir etkisi yoktur.

Diagram showing how multiple role assignments overlap.

Reddetme atamaları

Daha önce, Azure RBAC reddetme olmadan yalnızca izin veren bir modeldi, ancak artık Azure RBAC reddetme atamalarını sınırlı bir şekilde destekliyordu. Rol atamasına benzer şekilde, reddetme ataması da erişimi reddetme amacıyla belirli bir kapsamdaki bir kullanıcıya, gruba, hizmet sorumlusuna veya yönetilen kimliğe bir dizi reddetme eylemi ekler. Rol ataması izin verilen bir eylem kümesini tanımlarken, reddetme ataması izin verilmeyen bir eylem kümesini tanımlar. Başka bir deyişle, reddetme atamaları kullanıcıların belirtilen eylemleri gerçekleştirmesini (rol ataması izin vermiş olsa bile) engeller. Reddetme atamaları rol atamalarından daha önceliklidir.

Daha fazla bilgi için bkz. Azure reddetme atamalarını anlama.

Azure RBAC bir kullanıcının kaynağa erişimi olup olmadığını nasıl belirler?

Azure RBAC'nin bir kaynağa erişiminiz olup olmadığını belirlemek için kullandığı üst düzey adımlar aşağıdadır. Bu adımlar Azure RBAC ile tümleşik Azure Resource Manager veya veri düzlemi hizmetleri için geçerlidir. Bunları anlamak, bir erişim sorununu gidermeye çalışırken işinize yarayabilir.

  1. Kullanıcı (veya hizmet sorumlusu) Azure Resource Manager için bir belirteç alır.

    Belirteç kullanıcının grup üyeliğini (geçişli grup üyelikleri de dahil) içerir.

  2. Kullanıcı, belirteci de ekleyerek Azure Resource Manager'a bir REST API çağrısı yapar.

  3. Azure Resource Manager, üzerinde eylem gerçekleştirilen kaynak için geçerli olan tüm rol atamalarını ve reddetme atamalarını alır.

  4. Reddetme ataması geçerliyse, erişim engellenir. Aksi takdirde değerlendirme devam eder.

  5. Azure Resource Manager, rol atamalarını bu kullanıcıya veya onun grubuna uygulananlarla daraltır ve kullanıcının bu kaynak için hangi role sahip olduğunu saptar.

  6. Azure Resource Manager, API çağrısındaki eylemin bu kaynak için kullanıcının sahip olduğu rollere eklenip eklenmediğini saptar. Rollerin Actions joker karakteri ()* varsa, etkin izinler izin verilen Actionsöğesinden çıkarılarak NotActions hesaplanır. Benzer şekilde, tüm veri eylemleri için aynı çıkarma yapılır.

    Actions - NotActions = Effective management permissions

    DataActions - NotDataActions = Effective data permissions

  7. Kullanıcının istenen kapsamda eylemle bir rolü yoksa erişime izin verilmez. Aksi takdirde, tüm koşullar değerlendirilir.

  8. Rol ataması koşulları içeriyorsa değerlendirilir. Aksi takdirde erişime izin verilir.

  9. Koşullar karşılanırsa erişime izin verilir. Aksi takdirde erişime izin verilmez.

Aşağıdaki diyagramda değerlendirme mantığının bir özeti verilmiştir.

Evaluation logic flowchart for determining access to a resource.

Azure RBAC verileri nerede depolanır?

Kaynağı oluşturduğunuz bölgeden bağımsız olarak kaynaklarınıza erişiminizin olduğundan emin olmak için rol tanımları, rol atamaları ve reddetme atamaları genel olarak depolanır.

Rol ataması veya diğer Azure RBAC verileri silindiğinde, veriler genel olarak silinir. Azure RBAC verileri aracılığıyla bir kaynağa erişimi olan sorumlular erişimlerini kaybeder.

Azure RBAC verileri neden geneldir?

Azure RBAC verileri, müşterilerin eriştiği yerden bağımsız olarak kaynaklara zamanında erişebilmesini sağlamak için geneldir. Azure RBAC, genel uç noktası olan ve istekler hız ve dayanıklılık için en yakın bölgeye yönlendirilen Azure Resource Manager tarafından uygulanır. Bu nedenle Azure RBAC tüm bölgelerde zorunlu tutulmalı ve veriler tüm bölgelere çoğaltılmalıdır. Daha fazla bilgi için bkz. Azure Resource Manager dayanıklılığı.

Aşağıdaki örneği inceleyin. Arina Doğu Asya'da bir sanal makine oluşturur. Arina'nın ekibinin bir üyesi olan Bob, Birleşik Devletler çalışıyor. Bob'un Doğu Asya'da oluşturulan sanal makineye erişmesi gerekiyor. Bob'a sanal makineye zamanında erişim vermek için Azure'ın Bob'ın sanal makineye erişmesini sağlayan rol atamasını Bob'un olduğu her yerden genel olarak çoğaltması gerekir.

Diagram showing Azure RBAC data in multiple regions.

Lisans gereksinimleri

Bu özelliğin kullanımı ücretsizdir ve Azure aboneliğinize dahildir.

Sonraki adımlar