Azure RBAC nedir?

  • 8 dakika

Kimlik ve erişim söz konusu olduğunda, genel bulutu kullanmayı düşünen kuruluşların çoğu iki konuda endişe duyar:

  1. Kişilerin kuruluş dışına çıktığında buluttaki kaynaklara erişimi kaybetmelerini sağlama.
  2. Özerklik ile merkezi idare arasında doğru dengeyi vurarak; örneğin, proje ekiplerine bulutta sanal makine oluşturma ve yönetme olanağı sağlarken, bu VM'lerin diğer kaynaklarla iletişim kurmak için kullandığı ağları merkezi olarak denetleme olanağı sağlar.

Microsoft Entra Id ve Azure rol tabanlı erişim denetimi (Azure RBAC), bu hedefleri gerçekleştirmeyi basit hale getirmek için birlikte çalışır.

Azure abonelikleri

İlk olarak, her Azure aboneliğinin tek bir Microsoft Entra diziniyle ilişkilendirildiğini unutmayın. Bu dizindeki kullanıcılar, gruplar ve uygulamalar Azure aboneliğindeki kaynakları yönetebilir. Abonelikler çoklu oturum açma (SSO) ve erişim yönetimi için Microsoft Entra Id kullanır. Microsoft Entra Bağlan kullanarak şirket içi Active Directory buluta genişletebilirsiniz. Bu özellik, çalışanlarınızın mevcut iş kimliklerini kullanarak Azure aboneliklerini yönetmesine olanak tanır. bir şirket içi Active Directory hesabını devre dışı bırakırsanız, Microsoft Entra Id ile bağlantılı tüm Azure aboneliklerine erişimi otomatik olarak kaybolur.

Azure RBAC nedir?

Azure rol tabanlı erişim denetimi (Azure RBAC), Azure Resource Manager üzerinde oluşturulan ve Azure'daki kaynaklar için ayrıntılı erişim yönetimi sağlayan bir yetkilendirme sistemidir. Azure RBAC ile kullanıcıların işlerini yapması için gereken tam erişimi vekleyebilirsiniz. Örneğin, bir çalışanın bir abonelikteki sanal makineleri yönetmesine izin vermek için Azure RBAC'yi, diğerinin ise aynı abonelik içindeki SQL veritabanlarını yönetmesini sağlamak için kullanabilirsiniz.

Aşağıdaki videoda Azure RBAC ayrıntılı olarak açıklanmaktadır:

Belirli bir kapsamdaki kullanıcılara, gruplara ve uygulamalara uygun Azure rolünü atayarak erişim verebilirsiniz. Rol atamasının kapsamı bir yönetim grubu, abonelik, kaynak grubu veya tek bir kaynak olabilir. Üst kapsama atanan bir rol, içinde yer alan alt kapsamlara da erişim verir. Örneğin, kaynak grubuna erişimi olan bir kullanıcı web siteleri, sanal makineler ve alt ağlar gibi içerdiği tüm kaynakları yönetebilir. Atadığınız Azure rolü, kullanıcının, grubun veya uygulamanın bu kapsamda hangi kaynakları yönetebileceğini belirler.

Aşağıdaki diyagramda klasik abonelik yöneticisi rollerinin, Azure rollerinin ve Microsoft Entra rollerinin yüksek düzeyde nasıl ilişkilendirildiği gösterilmiştir. Aboneliğin tamamı gibi daha yüksek bir kapsamda atanan roller, hizmet örnekleri gibi alt kapsamlar tarafından devralınır.

Diagram that depicts how the classic subscription administrator roles, Azure roles, and Microsoft Entra roles are related at a high level.

Önceki diyagramda, bir abonelik yalnızca bir Microsoft Entra kiracısıyla ilişkilendirilir. Ayrıca, bir kaynak grubunun birden çok kaynağı olabileceğini, ancak yalnızca bir abonelikle ilişkilendirildiğini unutmayın. Diyagramda belirgin olmasa da, bir kaynak yalnızca bir kaynak grubuna bağlanabilir.

Azure RBAC ile ne yapabilirim?

Azure RBAC, denetlediğiniz Azure kaynaklarına erişim izni vermenizi sağlar. Geliştirme, mühendislik ve pazarlama ekipleri için Azure'daki kaynaklara erişimi yönetmeniz gerektiğini varsayalım. Erişim isteklerini almaya başladınız ve Azure kaynakları için erişim yönetiminin nasıl çalıştığını hızla öğrenmeniz gerekiyor.

Azure RBAC ile uygulayabileceğiniz bazı senaryolar şunlardır:

  • Bir kullanıcıya abonelikteki sanal makineleri yönetme, başka bir kullanıcıya ise sanal ağları yönetme izni verme
  • Veritabanı yönetici grubunun abonelikteki SQL veritabanlarını yönetmesine izin verme
  • Bir kullanıcının sanal makineler, web siteleri ve alt ağlar gibi bir kaynak grubundaki tüm kaynakları yönetmesine izin verme
  • Bir uygulamaya bir kaynak grubundaki tüm kaynaklara erişim izni verme

Azure portalında Azure RBAC

Azure portalındaki çeşitli alanlarda, kimlik ve erişim yönetimi olarak da bilinen Erişim denetimi (IAM) adlı bir bölme görürsünüz. Bu bölmede, söz konusu alana erişimi olan kişileri ve rollerini görebilirsiniz. Aynı bölmeyi kullanarak erişim verebilir veya kaldırabilirsiniz.

Aşağıda bir kaynak grubu için Erişim denetimi (IAM) bölmesi örneği gösterilmektedir. Bu örnekte, Alain'e bu kaynak grubu için Yedekleme İşleci rolü atanmıştır.

Screenshot of the Azure portal showing the Access control Role assignment pane with the Backup operator section highlighted.

Azure RBAC nasıl çalışır?

İzinlerin nasıl uygulanabileceğini denetleyen rol atamaları oluşturarak Azure RBAC kullanarak kaynaklara erişimi denetleyebilirsiniz. Rol ataması oluşturmak için üç öğe gerekir: güvenlik sorumlusu, rol tanımı ve kapsam. Bu öğeleri "kim", "ne" ve "nerede" olarak düşünebilirsiniz.

1. Güvenlik sorumlusu (kim)

Güvenlik sorumlusu yalnızca erişim vermek istediğiniz bir kullanıcı, grup veya uygulama için süslü bir addır.

An illustration showing security principal including user, group, and service principal.

2. Rol tanımı (yapabilecekleriniz)

Rol tanımı, izinlerden oluşan bir koleksiyondur. Bazen yalnızca rol olarak da adlandırılır. Rol tanımı okuma, yazma ve silme gibi rolün gerçekleştirebileceği izinleri listeler. Roller Sahip gibi üst düzey veya Sanal Makine Katkıda Bulunanı gibi belirli olabilir.

An illustration listing different built-in and custom roles with zoom-in on the definition for the contributor role.

Azure'da kullanabileceğiniz birçok yerleşik rol bulunur. Aşağıda dört temel yerleşik rol listelenmiştir:

  • Sahip: Başkalarına erişim yetkisi verme hakkı da dahil olmak üzere tüm kaynaklara tam erişime sahiptir
  • Katkıda Bulunan: Her tür Azure kaynağı oluşturup yönetebilir, ancak başkalarına erişim veremez
  • Okuyucu: Mevcut Azure kaynaklarını görüntüleyebilir
  • Kullanıcı Erişimi Yönetici istrator: Azure kaynaklarına kullanıcı erişimini yönetmenize olanak tanır

Yerleşik roller kuruluşunuzun ihtiyaçlarını karşılamıyorsa kendi özel rollerinizi oluşturabilirsiniz.

3. Kapsam (nerede)

Kapsam , erişimin uygulandığı düzeydir. Bu özellik bir kullanıcıyı yalnızca bir kaynak grubu için Web Sitesi Katılımcısı yapmak istediğiniz durumlarda kullanışlıdır.

Azure'da yönetim grubu, abonelik, kaynak grubu veya kaynak olmak üzere birden fazla seviyede kapsam belirtebilirsiniz. Kapsamlar üst-alt öğe ilişkisiyle yapılandırılmıştır. Üst kapsamda erişim sağladığınızda, bu izinler alt kapsamlar tarafından devralınır. Örneğin, Katkıda Bulunan rolünü abonelik kapsamındaki bir gruba atarsanız, bu rol abonelikteki tüm kaynak grupları ve kaynaklar tarafından devralınır.

An illustration showing a hierarchical representation of different Azure levels to apply scope. The hierarchy, starting with the highest level, is in this order: Management group, subscription, resource group, and resource.

Rol ataması

Kim, ne ve nerede olduğunu belirledikten sonra erişim vermek için bu öğeleri birleştirebilirsiniz. Rol ataması, erişim verme amacıyla rolü belirli bir kapsamdaki bir güvenlik sorumlusuna bağlama işlemidir. Erişim vermek için bir rol ataması oluşturacaksınız. Erişimi iptal etmek için rol atamasını kaldıracaksınız.

Aşağıdaki örnek, Pazarlama grubuna satış kaynak grubu kapsamında Katkıda Bulunan rolünün nasıl atandığını gösterir.

An illustration showing a sample role assignment process for Marketing group, which is a combination of security principal, role definition, and scope. The Marketing group falls under the Group security principal and has a Contributor role assigned for the Resource group scope.

Azure RBAC bir izin verme modelidir

Azure RBAC bir izin verme modelidir. Bu, size bir rol atandığında Azure RBAC'nin okuma, yazma veya silme gibi belirli eylemleri gerçekleştirmenize izin verdiği anlamına gelir. Bu nedenle, bir rol ataması size bir kaynak grubu için okuma izinleri verirse ve farklı bir rol ataması size aynı kaynak grubuna yazma izinleri verirse, bu kaynak grubunda okuma ve yazma izinleriniz olur.

Azure RBAC'de izinler adı verilen NotActions bir şey vardır. İzin verilmeyen izinler kümesi oluşturmak için kullanabilirsiniz NotActions . Bir rolün verdiği erişim (etkili izinler), işlemler işlemlerden Actions çıkarılarak NotActions hesaplanır. Örneğin Katkıda Bulunan rolünde hem hem de ActionsNotActionsbulunur. içindeki joker karakter (*) Actions kontrol düzleminde tüm işlemleri gerçekleştirebileceğini gösterir. Ardından, geçerli izinleri hesaplamak için içindeki NotActions aşağıdaki işlemleri çıkarırsınız:

  • Rolleri ve rol atamalarını silme
  • Rol ve rol atamaları oluşturma
  • Kiracı kapsamında çağıranın Kullanıcı Erişimi Yönetici istrator erişimi verme
  • Şema yapıtlarını oluşturma veya güncelleştirme
  • Tüm şema yapıtlarını silme