Rol tabanlı erişim denetimi uygulama
Bulut kaynakları için güvenli erişim yönetimi, bulutta çalışan işletmeler için kritik öneme sahiptir. Rol tabanlı erişim denetimi (RBAC), Azure kaynaklarınıza kimlerin erişebileceğini yönetmenize yardımcı olabilecek bir mekanizmadır. RBAC, belirli kullanıcıların belirli kaynaklarda hangi işlemleri yapabileceğini belirlemenize ve her kullanıcının kaynağın hangi alanlarına erişebileceğini denetlemenize olanak tanır.
Azure RBAC, Azure Resource Manager üzerinde oluşturulmuş bir yetkilendirme sistemidir. Azure RBAC, Azure'daki kaynakların ayrıntılı erişim yönetimini sağlar.
Azure RBAC hakkında bilinmesi gerekenler
Azure RBAC ile yapabileceğiniz bazı işlemler şunlardır:
Bir uygulamaya bir kaynak grubundaki tüm kaynaklara erişim izni verme.
Bir kullanıcının abonelikteki VM'leri yönetmesine izin verin ve başka bir kullanıcının sanal ağları yönetmesine izin verin.
Bir veritabanı yöneticisi (DBA) grubuna abonelikteki SQL veritabanlarını yönetme izni verme.
Bir kullanıcının sanal makineler, web siteleri ve alt ağlar gibi bir kaynak grubundaki tüm kaynakları yönetmesine izin verme.
Azure RBAC kavramları
Aşağıdaki tabloda Azure RBAC'nin temel kavramları açıklanmaktadır.
| Kavram | Açıklama | Örnekler |
|---|---|---|
| Güvenlik sorumlusu | Kaynaklara erişim isteyen bir öğeyi temsil eden nesne. | Kullanıcı, grup, hizmet sorumlusu, yönetilen kimlik |
| Rol tanımı | İzin verilen işlemleri listeleyen bir izin kümesi. Azure RBAC yerleşik rol tanımlarıyla birlikte gelir, ancak kendi özel rol tanımlarınızı da oluşturabilirsiniz. | Bazı yerleşik rol tanımları: Okuyucu, Katkıda Bulunan, Sahip, Kullanıcı Erişimi Yönetici istrator |
| Scope | İstenen erişim düzeyi için sınır veya "ne kadar" erişim verilir. | Yönetim grubu, abonelik, kaynak grubu, kaynak |
| Rol ataması | Atama, belirli bir kapsamdaki bir güvenlik sorumlusuna rol tanımı ekler. Kullanıcılar rol için bir atama oluşturarak (ekleyerek) rol tanımında açıklanan erişimi verebilir. | - Kullanıcı Erişimi Yönetici istrator rolünü bir yönetim grubu kapsamındaki bir yönetici grubuna atama - Abonelik kapsamındaki bir kullanıcıya Katkıda Bulunan rolünü atama |
Azure RBAC kullanırken dikkat edilmesi gerekenler
Kuruluşunuzda rolleri ve kapsam atamalarını nasıl uygulayabileceğinizi düşünürken şu noktaları göz önünde bulundurun:
İstekçilerinizi göz önünde bulundurun. Kaynaklarınıza her tür erişim için uygun stratejinizi planlayın. Güvenlik sorumluları, kaynaklarınıza erişim isteyen her şey için oluşturulur. Kuruluşunuzda istekte bulunanları belirleyin. İstek sahipleri iç veya dış kullanıcılar, kullanıcı grupları, uygulamalar ve hizmetler, kaynaklar vb. olabilir.
Rollerinizi göz önünde bulundurun. Kuruluşunuzdaki iş sorumluluklarının ve iş senaryolarının türlerini inceleyin. Roller genellikle iş görevlerini yerine getirmek veya iş hedeflerini tamamlamak için gereksinimlere göre oluşturulur. Yöneticiler, şirket denetleyicileri ve mühendisler gibi bazı kullanıcılar, çoğu kullanıcının ihtiyaç duyduğundan daha fazla erişim düzeyi gerektirebilir. Bazı roller, belirli kaynaklar veya uygulamalar için bir ekibin veya departmanın tüm üyeleri için aynı erişimi sağlamak üzere tanımlanabilir.
İzinlerin kapsamını göz önünde bulundurun. Rol atamaları için izinlerin kapsamını denetleyerek güvenliği nasıl sağlayabileceğinizi düşünün. Desteklemeniz gereken izin türlerini ve kapsam düzeylerini özetleyin. Farklı senaryolarda istek sahiplerini desteklemek için tek bir rol için farklı kapsam düzeyleri uygulayabilirsiniz.
Yerleşik veya özel tanımları göz önünde bulundurun. Azure RBAC'de yerleşik rol tanımlarını gözden geçirin. Yerleşik roller olduğu gibi kullanılabilir veya kuruluşunuzun belirli gereksinimlerini karşılayacak şekilde ayarlanabilir. Ayrıca sıfırdan özel rol tanımları da oluşturabilirsiniz.