Azure RBAC nedir?
Kimlik ve erişim söz konusu olduğunda, genel bulutu kullanmayı düşünen kuruluşların çoğu iki konuda endişe duyar:
- Kişilerin kuruluş dışına çıktığında buluttaki kaynaklara erişimi kaybetmelerini sağlama.
- Özerklik ile merkezi idare arasında doğru dengeyi vurarak; örneğin, proje ekiplerine bulutta sanal makine oluşturma ve yönetme olanağı sağlarken, bu VM'lerin diğer kaynaklarla iletişim kurmak için kullandığı ağları merkezi olarak denetleme olanağı sağlar.
Microsoft Entra Id ve Azure rol tabanlı erişim denetimi (Azure RBAC), bu hedefleri gerçekleştirmeyi basit hale getirmek için birlikte çalışır.
Azure abonelikleri
İlk olarak, her Azure aboneliğinin tek bir Microsoft Entra diziniyle ilişkilendirildiğini unutmayın. Bu dizindeki kullanıcılar, gruplar ve uygulamalar Azure aboneliğindeki kaynakları yönetebilir. Abonelikler çoklu oturum açma (SSO) ve erişim yönetimi için Microsoft Entra Id kullanır. Microsoft Entra Bağlan kullanarak şirket içi Active Directory buluta genişletebilirsiniz. Bu özellik, çalışanlarınızın mevcut iş kimliklerini kullanarak Azure aboneliklerini yönetmesine olanak tanır. bir şirket içi Active Directory hesabını devre dışı bırakırsanız, Microsoft Entra Id ile bağlantılı tüm Azure aboneliklerine erişimi otomatik olarak kaybolur.
Azure RBAC nedir?
Azure rol tabanlı erişim denetimi (Azure RBAC), Azure Resource Manager üzerinde oluşturulan ve Azure'daki kaynaklar için ayrıntılı erişim yönetimi sağlayan bir yetkilendirme sistemidir. Azure RBAC ile kullanıcıların işlerini yapması için gereken tam erişimi vekleyebilirsiniz. Örneğin, bir çalışanın bir abonelikteki sanal makineleri yönetmesine izin vermek için Azure RBAC'yi, diğerinin ise aynı abonelik içindeki SQL veritabanlarını yönetmesini sağlamak için kullanabilirsiniz.
Aşağıdaki videoda Azure RBAC ayrıntılı olarak açıklanmaktadır:
Belirli bir kapsamdaki kullanıcılara, gruplara ve uygulamalara uygun Azure rolünü atayarak erişim verebilirsiniz. Rol atamasının kapsamı bir yönetim grubu, abonelik, kaynak grubu veya tek bir kaynak olabilir. Üst kapsama atanan bir rol, içinde yer alan alt kapsamlara da erişim verir. Örneğin, kaynak grubuna erişimi olan bir kullanıcı web siteleri, sanal makineler ve alt ağlar gibi içerdiği tüm kaynakları yönetebilir. Atadığınız Azure rolü, kullanıcının, grubun veya uygulamanın bu kapsamda hangi kaynakları yönetebileceğini belirler.
Aşağıdaki diyagramda klasik abonelik yöneticisi rollerinin, Azure rollerinin ve Microsoft Entra rollerinin yüksek düzeyde nasıl ilişkilendirildiği gösterilmiştir. Aboneliğin tamamı gibi daha yüksek bir kapsamda atanan roller, hizmet örnekleri gibi alt kapsamlar tarafından devralınır.
Önceki diyagramda, bir abonelik yalnızca bir Microsoft Entra kiracısıyla ilişkilendirilir. Ayrıca, bir kaynak grubunun birden çok kaynağı olabileceğini, ancak yalnızca bir abonelikle ilişkilendirildiğini unutmayın. Diyagramda belirgin olmasa da, bir kaynak yalnızca bir kaynak grubuna bağlanabilir.
Azure RBAC ile ne yapabilirim?
Azure RBAC, denetlediğiniz Azure kaynaklarına erişim izni vermenizi sağlar. Geliştirme, mühendislik ve pazarlama ekipleri için Azure'daki kaynaklara erişimi yönetmeniz gerektiğini varsayalım. Erişim isteklerini almaya başladınız ve Azure kaynakları için erişim yönetiminin nasıl çalıştığını hızla öğrenmeniz gerekiyor.
Azure RBAC ile uygulayabileceğiniz bazı senaryolar şunlardır:
- Bir kullanıcıya abonelikteki sanal makineleri yönetme, başka bir kullanıcıya ise sanal ağları yönetme izni verme
- Veritabanı yönetici grubunun abonelikteki SQL veritabanlarını yönetmesine izin verme
- Bir kullanıcının sanal makineler, web siteleri ve alt ağlar gibi bir kaynak grubundaki tüm kaynakları yönetmesine izin verme
- Bir uygulamaya bir kaynak grubundaki tüm kaynaklara erişim izni verme
Azure portalında Azure RBAC
Azure portalındaki çeşitli alanlarda, kimlik ve erişim yönetimi olarak da bilinen Erişim denetimi (IAM) adlı bir bölme görürsünüz. Bu bölmede, söz konusu alana erişimi olan kişileri ve rollerini görebilirsiniz. Aynı bölmeyi kullanarak erişim verebilir veya kaldırabilirsiniz.
Aşağıda bir kaynak grubu için Erişim denetimi (IAM) bölmesi örneği gösterilmektedir. Bu örnekte, Alain'e bu kaynak grubu için Yedekleme İşleci rolü atanmıştır.
Azure RBAC nasıl çalışır?
İzinlerin nasıl uygulanabileceğini denetleyen rol atamaları oluşturarak Azure RBAC kullanarak kaynaklara erişimi denetleyebilirsiniz. Rol ataması oluşturmak için üç öğe gerekir: güvenlik sorumlusu, rol tanımı ve kapsam. Bu öğeleri "kim", "ne" ve "nerede" olarak düşünebilirsiniz.
1. Güvenlik sorumlusu (kim)
Güvenlik sorumlusu yalnızca erişim vermek istediğiniz bir kullanıcı, grup veya uygulama için süslü bir addır.
2. Rol tanımı (yapabilecekleriniz)
Rol tanımı, izinlerden oluşan bir koleksiyondur. Bazen yalnızca rol olarak da adlandırılır. Rol tanımı okuma, yazma ve silme gibi rolün gerçekleştirebileceği izinleri listeler. Roller Sahip gibi üst düzey veya Sanal Makine Katkıda Bulunanı gibi belirli olabilir.
Azure'da kullanabileceğiniz birçok yerleşik rol bulunur. Aşağıda dört temel yerleşik rol listelenmiştir:
- Sahip: Başkalarına erişim yetkisi verme hakkı da dahil olmak üzere tüm kaynaklara tam erişime sahiptir
- Katkıda Bulunan: Her tür Azure kaynağı oluşturup yönetebilir, ancak başkalarına erişim veremez
- Okuyucu: Mevcut Azure kaynaklarını görüntüleyebilir
- Kullanıcı Erişimi Yönetici istrator: Azure kaynaklarına kullanıcı erişimini yönetmenize olanak tanır
Yerleşik roller kuruluşunuzun ihtiyaçlarını karşılamıyorsa kendi özel rollerinizi oluşturabilirsiniz.
3. Kapsam (nerede)
Kapsam , erişimin uygulandığı düzeydir. Bu özellik bir kullanıcıyı yalnızca bir kaynak grubu için Web Sitesi Katılımcısı yapmak istediğiniz durumlarda kullanışlıdır.
Azure'da yönetim grubu, abonelik, kaynak grubu veya kaynak olmak üzere birden fazla seviyede kapsam belirtebilirsiniz. Kapsamlar üst-alt öğe ilişkisiyle yapılandırılmıştır. Üst kapsamda erişim sağladığınızda, bu izinler alt kapsamlar tarafından devralınır. Örneğin, Katkıda Bulunan rolünü abonelik kapsamındaki bir gruba atarsanız, bu rol abonelikteki tüm kaynak grupları ve kaynaklar tarafından devralınır.
Rol ataması
Kim, ne ve nerede olduğunu belirledikten sonra erişim vermek için bu öğeleri birleştirebilirsiniz. Rol ataması, erişim verme amacıyla rolü belirli bir kapsamdaki bir güvenlik sorumlusuna bağlama işlemidir. Erişim vermek için bir rol ataması oluşturacaksınız. Erişimi iptal etmek için rol atamasını kaldıracaksınız.
Aşağıdaki örnek, Pazarlama grubuna satış kaynak grubu kapsamında Katkıda Bulunan rolünün nasıl atandığını gösterir.
Azure RBAC bir izin verme modelidir
Azure RBAC bir izin verme modelidir. Bu, size bir rol atandığında Azure RBAC'nin okuma, yazma veya silme gibi belirli eylemleri gerçekleştirmenize izin verdiği anlamına gelir. Bu nedenle, bir rol ataması size bir kaynak grubu için okuma izinleri verirse ve farklı bir rol ataması size aynı kaynak grubuna yazma izinleri verirse, bu kaynak grubunda okuma ve yazma izinleriniz olur.
Azure RBAC'de izinler adı verilen NotActions
bir şey vardır. İzin verilmeyen izinler kümesi oluşturmak için kullanabilirsiniz NotActions
. Bir rolün verdiği erişim (etkili izinler), işlemler işlemlerden Actions
çıkarılarak NotActions
hesaplanır. Örneğin Katkıda Bulunan rolünde hem hem de Actions
NotActions
bulunur. içindeki joker karakter (*) Actions
kontrol düzleminde tüm işlemleri gerçekleştirebileceğini gösterir. Ardından, geçerli izinleri hesaplamak için içindeki NotActions
aşağıdaki işlemleri çıkarırsınız:
- Rolleri ve rol atamalarını silme
- Rol ve rol atamaları oluşturma
- Kiracı kapsamında çağıranın Kullanıcı Erişimi Yönetici istrator erişimi verme
- Şema yapıtlarını oluşturma veya güncelleştirme
- Tüm şema yapıtlarını silme