Azure rol tabanlı erişim denetimini açıklama
Birden çok BT ve mühendislik ekibiniz olduğunda bu kişilerin bulut ortamınızdaki kaynaklara erişimini nasıl yönetebilirsiniz? En az ayrıcalık ilkesi, yalnızca bir görevi tamamlamak için gereken düzeye kadar erişim vermenizi belirtir. Depolama blobu için yalnızca okuma erişimine ihtiyacınız varsa bu depolama blobu için yalnızca okuma erişimine sahip olmanız gerekir. Bu bloba yazma erişimi verilmemeli veya diğer depolama bloblarına okuma erişimi verilmemelidir. Takip etmek iyi bir güvenlik uygulamasıdır.
Ancak, tüm ekip için bu izin düzeyini yönetmek yorucu olacaktır. Azure, her birey için ayrıntılı erişim gereksinimlerini tanımlayıp yeni kaynaklar oluşturulduğunda veya ekibe yeni kişiler katıldığında erişim gereksinimlerini güncelleştirmek yerine Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla erişimi denetlemenizi sağlar.
Azure, bulut kaynakları için ortak erişim kurallarını tanımlayan yerleşik roller sunar. İsterseniz kendi rollerinizi de tanımlayabilirsiniz. Her rolle ilgili erişim izinlerinden oluşan bir küme vardır. Kişileri veya grupları bir veya daha fazla rollere atadığınızda, ilgili tüm erişim izinlerini alırlar.
Bu nedenle, yeni bir mühendis işe alır ve bunları mühendisler için Azure RBAC grubuna eklerseniz, bunlar otomatik olarak aynı Azure RBAC grubundaki diğer mühendislerle aynı erişime sahip olur. Benzer şekilde, ek kaynaklar ekler ve Bunlara Azure RBAC'yi işaret ederseniz, bu Azure RBAC grubundaki herkes hem yeni kaynaklar hem de mevcut kaynaklar üzerinde bu izinlere sahip olur.
Rol tabanlı erişim denetimi, kaynaklarınıza nasıl uygulanır?
Rol tabanlı erişim denetimi, bu erişimin geçerli olduğu kaynağı veya kaynak kümesini tanımlayan kapsama uygulanır.
Aşağıdaki diyagramda roller ve kapsamlar arasındaki ilişki gösterilmektedir. Bir yönetim grubuna, aboneliğe veya kaynak grubuna sahip rolü verilebilir, bu nedenle denetim ve yetkileri artar. Herhangi bir güncelleştirme yapması beklenmeyen bir gözlemciye, yönetim grubunu, aboneliği veya kaynak grubunu gözden geçirmesini veya gözlemleyebilmesini sağlayan aynı kapsam için Okuyucu rolü verilebilir.
Kapsamlar şunlardır:
- Yönetim grubu (birden çok aboneliği kapsayan koleksiyon).
- Tek bir abonelik.
- Bir kaynak grubu.
- Tek bir kaynak.
Gözlemciler, kaynakları yöneten kullanıcılar, yöneticiler ve otomatikleştirilmiş işlemler, genellikle çeşitli rollerin her birine atanacak kullanıcı veya hesap türlerini gösterir.
Azure RBAC hiyerarşiktir, bu nedenle bir üst kapsamda erişim sağladığınızda, bu izinler tüm alt kapsamlar tarafından devralınır. Örneğin:
- Sahip rolünü yönetim grubu kapsamında bir kullanıcıya atadığınızda bu kullanıcı, yönetim grubu içindeki tüm aboneliklerde yer alan her şeyi yönetebilir.
- Okuyucu rolünü abonelik kapsamında bir gruba atadığınızda ilgili grubun üyeleri, abonelik içindeki tüm kaynak gruplarını ve kaynakları görüntüleyebilir.
Azure RBAC nasıl uygulanır?
Azure RBAC, herhangi bir Azure kaynağı üzerinde gerçekleştirilen ve Azure Resource Manager'dan geçen tüm eylemlere uygulanır. Resource Manager, bulut kaynaklarınızı düzenleme ve bu kaynakların güvenliğini sağlama imkanı tanıyan bir yönetim hizmetidir.
Resource Manager'a Azure portalı, Azure Cloud Shell, Azure PowerShell ve Azure CLI gibi ortamlardan erişebilirsiniz. Azure RBAC, erişim izinlerini uygulama veya veri düzeyinde uygulamaz. Uygulama güvenliğinin uygulamanız tarafından sağlanması gerekir.
Azure RBAC bir izin verme modeli kullanır. Size bir rol atandığında Azure RBAC, bu rol kapsamında eylemler gerçekleştirmenizi sağlar. Bir rol ataması size kaynak grubunda okuma izinleri, başka bir rol ataması ise aynı kaynak grubunda yazma izinleri verirse, o kaynak grubunda hem okuma hem de yazma izinleriniz olur.