適用於 IoT 韌體分析之 Defender 的 Azure 角色型 存取控制 概觀
身為適用於IoT韌體分析的Defender使用者,您可能想要管理韌體影像分析結果的存取權。 Azure 角色型 存取控制 (RBAC) 是一種授權系統,可讓您控制誰可以存取您的分析結果、他們擁有哪些許可權,以及資源階層層級。 本文說明如何在 Azure 中儲存韌體分析結果、管理訪問許可權,以及使用 RBAC 在組織內和第三方共用這些結果。 若要深入瞭解 Azure RBAC,請瀏覽 什麼是 Azure 角色型存取控制 (Azure RBAC)?。
角色
角色是封裝在一起的許可權集合。 目前有兩種角色類型:
- 作業函式角色可讓使用者執行特定的作業功能或工作,例如 金鑰保存庫 參與者或 Azure Kubernetes Service 叢集監視使用者。
- 具有特殊許可權的系統管理員角色可提供提高的訪問許可權,例如擁有者、參與者或使用者存取 管理員 istrator。 若要深入瞭解角色,請流覽 Azure 內建角色。
在適用於IoT的Defender韌體分析中,最常見的角色是擁有者、參與者、安全性 管理員,以及韌體分析 管理員。深入瞭解您需要不同許可權的角色,例如上傳韌體映像或共用韌體分析結果。
瞭解 Azure 資源階層中的韌體映像表示法
Azure 會將資源組織成位於由上而下結構中的資源階層,而且您可以在階層的每個層級指派角色。 您指派角色的層級是「範圍」,而較低範圍可能會繼承在較高範圍指派的角色。 深入瞭解 階層層級,以及如何在階層中組織資源。
當您將訂用帳戶上線至適用於IoT的Defender韌體分析並選取您的資源群組時,動作會自動在資源群組內建立 預設 資源。
流覽至您的資源群組,然後選取 [ 顯示隱藏類型 ] 以顯示 預設 資源。 默認資源具有 Microsoft.IoTFirmwareDefense.workspaces 類型。
![切換按鈕 [顯示隱藏類型] 的螢幕快照,其中顯示名為 'default' 的資源。](media/defender-for-iot-firmware-analysis-rbac/default-workspace.png#lightbox)
雖然預設工作區資源不是您定期互動的內容,但您上傳的每個韌體映射都會以資源表示並儲存在這裡。
您可以在階層的每個層級使用 RBAC,包括隱藏 的預設韌體分析工作區 資源層級。
以下是適用於IoT韌體分析的Defender資源階層:
套用 Azure RBAC
注意
若要開始使用適用於IoT的Defender韌體分析,將訂用帳戶上線到適用於IoT韌體分析的Defender的用戶必須是訂用帳戶層級的擁有者、參與者、韌體分析 管理員 或安全性 管理員。 請遵循使用適用於IoT的 Microsoft Defender 分析韌體映像中的教學課程,將您的訂用帳戶上線。 在您上線訂用帳戶之後,使用者只需要是韌體分析 管理員 才能使用適用於IoT韌體分析的Defender。
身為適用於IoT韌體分析的Defender使用者,您可能需要為組織執行特定動作,例如上傳韌體映像或共用分析結果。
這類動作涉及角色型 存取控制(RBAC)。 若要有效地使用適用於IoT韌體分析的Defender RBAC,您必須知道您的角色指派為何,以及哪些範圍。 瞭解這項資訊會通知您您擁有哪些許可權,因此您是否可以完成特定動作。 若要檢查角色指派,請參閱 檢查使用者對單一 Azure 資源的存取權 - Azure RBAC。 接下來,請參閱下表,以檢查特定動作所需的角色和範圍。
適用於 IoT 韌體分析的 Defender 中的常見角色
下表將每個角色分類,並提供其許可權的簡短描述:
| Role | 類別 | 說明 |
|---|---|---|
| 負責人 | 特殊許可權系統管理員角色 | 授與管理所有資源的完整存取權,包括在 Azure RBAC 中指派角色的能力。 |
| 參與者 | 特殊許可權系統管理員角色 | 授與管理所有資源的完整存取權,但不允許您在 Azure RBAC 中指派角色、管理 Azure 藍圖中的指派,或共用映像庫。 |
| 安全性系統管理員 | 作業函式角色 | 允許使用者在適用於IoT的Defender中上傳和分析韌體映像、新增/指派安全性計劃,以及編輯安全策略。 深入了解。 |
| 韌體分析 管理員 | 作業函式角色 | 允許使用者在適用於IoT的Defender中上傳和分析韌體映像。 使用者無法存取韌體分析以外的存取權(無法存取訂用帳戶中的其他資源、建立或刪除資源,或邀請其他使用者)。 |
適用於IoT韌體分析角色、範圍和功能的Defender
下表摘要說明您需要執行特定動作的角色。 除非另有說明,否則這些角色和資源群組層級會套用到訂用帳戶和資源群組層級。
| 動作 | 需要角色 |
|---|---|
| 分析韌體 | 擁有者、參與者、安全性 管理員 或韌體分析 管理員 |
| 邀請第三方使用者查看韌體分析結果 | 負責人 |
| 邀請使用者加入訂用帳戶 | 訂用帳戶層級的擁有者(資源群組層級的擁有者無法邀請使用者加入訂用帳戶) |
上傳韌體映像
若要上傳韌體映射:
- 確認您在適用於IoT韌體分析角色、範圍和功能的Defender中有足夠的許可權。
- 上傳韌體影像以供分析。
邀請第三方與您的韌體分析結果互動
您可能想要邀請某人單獨與您的韌體分析結果互動,而不允許存取您組織的其他部分(如同訂用帳戶中的其他資源群組)。 若要允許這種類型的存取,請在資源群組層級邀請使用者作為韌體分析 管理員。
若要邀請第三方,請遵循使用 Azure 入口網站 教學課程將 Azure 角色指派給外部來賓使用者。
- 在步驟 3 中,流覽至您的資源群組。
- 在步驟 7 中,選取 [韌體分析] 管理員 角色。
注意
如果您收到電子郵件以加入組織,如果您未在收件匣中看到邀請電子郵件,請務必檢查您的垃圾郵件資料夾。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應