Azure 角色型存取控制
以群組為基礎的存取權限和許可權是很好的作法。 處理群組,而不是個別使用者可簡化存取原則的維護、跨小組提供一致的存取管理,並減少設定錯誤。 將使用者指派給適當的群組並移除使用者,有助於保留特定使用者目前的許可權。 Azure 角色型存取控制 (Azure RBAC) 針對圍繞使用者角色組織的資源提供更細緻的存取管理。
如需身分識別和安全性策略中建議的 Azure RBAC 做法概觀,請參閱 Azure 身分識別管理和存取控制安全性最佳做法 。
Azure 角色型存取控制概觀
藉由使用 Azure 角色型存取控制 ,您可以在小組內分隔職責,並只授與特定 Microsoft Entra 使用者、群組、服務主體或受控識別的足夠存取權,以執行其工作。 您可以限制每個資源集的許可權,而不是讓每個人不受限制地存取您的 Azure 訂用帳戶或資源。
Azure 角色定義 列出指派給該角色的使用者或群組允許或不允許的作業。 角色 的範圍 會指定這些定義許可權適用的資源。 範圍可以在多個層級指定:管理群組、訂用帳戶、資源群組或資源。 範圍會結構化為父/子關聯性。
如需將使用者和群組指派給特定角色並將角色指派給範圍的詳細指示,請參閱 使用 Azure 入口網站 新增或移除 Azure 角色指派。
規劃存取控制策略時,請使用最低許可權存取模型,只授與使用者執行其工作所需的許可權。 下圖顯示透過此方法使用 Azure RBAC 的建議模式。
注意
您定義的更具體或更詳細的許可權越有可能是存取控制會變得複雜且難以管理。 當您的雲端資產大小成長時,這尤其如此。 避免資源特定許可權。 相反地,請針對全企業存取控制和資源 群組使用 管理群組 ,以在訂用帳戶內進行存取控制。 也請避免使用者特定的許可權。 相反地,在 Microsoft Entra 識別碼 中指派群組的存取 權。
使用 Azure 內建角色
Azure 提供許多內建角色定義,其中包含三個核心角色來提供存取權:
從這些核心存取層級開始,其他內建角色會提供更詳細的控制,以存取特定資源類型或 Azure 功能。 例如,您可以使用下列內建角色來管理虛擬機器的存取權:
- 虛擬機器管理員istrator 登入角色 可以在入口網站中檢視虛擬機器,並以 登入身分
administrator
登入。 - 虛擬機器參與者角色 可以管理虛擬機器,但無法存取虛擬機器或其所連線的虛擬網路或儲存體帳戶。
- 虛擬機器使用者登入角色 可以在入口網站中檢視虛擬機器,並以一般使用者身分登入。
如需使用內建角色來管理特定功能的存取權的另一個範例,請參閱在追蹤跨業務單位、環境或專案 的成本追蹤功能中控制成本追蹤功能的 存取。
如需可用內建角色的完整清單,請參閱 Azure 內建角色 。
使用自訂角色
雖然內建于Azure 支援各種存取控制案例的角色,但它們可能不符合組織或小組的所有需求。 例如,如果您有單一使用者群組負責管理虛擬機器和 Azure SQL 資料庫資源,您可能會想要建立自訂角色,以優化所需存取控制的管理。
Azure RBAC 檔包含建立自訂角色 的 指示,以及角色定義 運作方式的詳細 資料。
區分大型組織的責任和角色
Azure RBAC 可讓組織將不同的小組指派給大型雲端資產內的各種管理工作。 它可讓中央 IT 小組控制核心存取和安全性功能,同時為軟體發展人員和其他小組提供大量特定工作負載或資源群組的控制。
大部分的雲端環境也可以受益于使用多個角色的存取控制策略,並強調這些角色之間的責任區隔。 此方法要求資源或基礎結構的任何重大變更都牽涉到多個角色才能完成,以確保一個以上的人員必須檢閱和核准變更。 此責任區隔會限制單一人員存取敏感性資料或引入弱點的能力,而不需要瞭解其他小組成員。
下表說明將 IT 責任分成個別自訂角色的常見模式:
群組 | 一般角色名稱 | 責任 |
---|---|---|
安全性作業 | SecOps | 提供一般安全性監督。 建立並強制執行安全性原則,例如待用加密。 管理加密金鑰。 管理防火牆規則。 |
網路作業 | NetOps | 管理虛擬網路內的網路組態和作業,例如路由和對等互連。 |
系統作業 | SysOps | 指定計算和儲存體基礎結構選項,並維護已部署的資源。 |
開發、測試和作業 | DevOps | 建置和部署工作負載功能和應用程式。 操作功能和應用程式,以符合服務等級協定和其他品質標準。 |
這些標準角色中的動作和許可權明細通常與您應用程式、訂用帳戶或整個雲端資產相同,即使這些角色是由不同層級的不同人員執行。 因此,您可以建立一組常見的 Azure 角色定義,以套用到環境中的不同範圍。 然後,使用者和群組可以指派一個通用角色,但僅限於負責管理的資源、資源群組、訂用帳戶或管理群組範圍。
例如,在具有多個訂用帳戶的中 樞和輪輻網路拓撲 中,您可能會有一組常見的中樞和所有工作負載輪輻角色定義。 中樞訂用帳戶的 NetOps 角色可以指派給組織中央 IT 小組的成員,他們負責維護所有工作負載所使用的共用服務網路。 接著可以將工作負載輪輻訂用帳戶的 NetOps 角色指派給該特定工作負載小組的成員,讓他們在該訂用帳戶內設定網路功能,以最能支援其工作負載需求。 這兩者都使用相同的角色定義,但範圍型指派可確保使用者只有執行其作業所需的存取權。