本文說明使用 Azure 角色型存取控制 (Azure RBAC) 的一些最佳做法。 這些最佳做法源自於我們使用 Azure RBAC 的經驗,以及像您這樣的客戶的經驗。
僅授予使用者所需的存取權
使用 Azure RBAC,您可以在小組內隔離職責,並只授與使用者執行工作所需的存取權數量。 您可以只允許特定範圍內的特定動作,而不是在 Azure 訂用帳戶或資源中授與每個人不受限制的許可權。
規劃存取控制策略時,最佳實務是授與使用者完成工作的最低權限。 避免在更廣泛的範圍內分配更廣泛的角色,即使最初這樣做看起來更方便。 建立自訂角色時,請僅包含使用者所需的權限。 藉由限制角色和範圍,您可以限制安全性主體遭到入侵時面臨風險的資源。
下圖顯示使用 Azure RBAC 的建議模式。
如需如何指派角色的相關資訊,請參閱 使用 Azure 入口網站指派 Azure 角色。
限制訂用帳戶擁有者的數目
您最多應該保有 3 位訂閱管理員,以降低因某位管理員遭入侵而導致違規的風險。 您可以在適用於雲端的 Microsoft Defender 中監視此建議。 如需適用於雲端的 Defender 中的其他身分識別和存取建議,請參閱 安全性建議 - 參考指南。
限制特殊許可權系統管理員角色指派
某些角色會識別為 特殊許可權系統管理員角色。 請考慮採取下列動作來改善您的安全狀態:
- 移除不必要的高權限角色指派。
- 避免在可改用 工作職能角色 時指派特殊許可權管理員角色。
- 如果您必須指派特殊許可權系統管理員角色,請使用狹窄的範圍,例如資源群組或資源,而不是更廣泛的範圍,例如管理群組或訂用帳戶。
- 如果您要指派一個具有建立角色指派許可權的角色,請考慮新增一個條件,以限制該角色的指派。 如需詳細資訊,請參閱 將 Azure 角色指派管理委派給具有條件的其他人。
如需詳細資訊,請參閱 列出或管理特殊許可權系統管理員角色指派。
使用 Microsoft Entra Privileged Identity Management
若要保護特殊許可權帳戶免於惡意網路攻擊,您可以使用 Microsoft Entra Privileged Identity Management (PIM) 來降低許可權的公開時間,並透過報告和警示來增加其使用情況的可見度。 PIM 藉由提供對 Microsoft Entra ID 和 Azure 資源的即時特殊許可權存取,協助保護特殊許可權帳戶。 存取權可以有時間限制,之後會自動撤銷權限。
如需詳細資訊,請參閱什麼是 Microsoft Entra Privileged Identity Management?。
將角色指派給群組,而非使用者
若要讓角色指派更易於管理,請避免將角色直接指派給使用者。 相反地,請將角色指派給群組。 將角色指派給群組而非使用者也有助於將角色指派數目降到最低,因為 每個訂用帳戶的角色指派有限制。
使用唯一角色識別碼而非角色名稱指派角色
有幾次角色名稱可能會變更,例如:
- 您正在使用自己的自訂角色,並決定要變更其名稱。
- 您正在使用名稱中有 (預覽版) 的預覽角色。 釋放角色時,會重新命名角色。
即使重新命名角色,角色 ID 也不會變更。 如果您使用指令碼或自動化來建立角色指派,最佳實務是使用唯一角色識別碼,而不是角色名稱。 因此,如果重新命名角色,您的腳本更有可能正常運作。
如需詳細資訊,請參閱 使用唯一角色識別碼和 Azure PowerShell 指派角色 和 使用唯一角色識別碼和 Azure CLI 指派角色。
建立自訂角色時避免使用萬用字元
建立自訂角色時,您可以使用萬用字元 (*) 字元來定義權限。 建議您明確指定 Actions 和 DataActions ,而不是使用萬用字元 (*) 字元。 其他透過未來 Actions 或 DataActions 授予存取權和使用權限,可能會於使用萬用字元時出現不想要的行為。 如需詳細資訊,請參閱 Azure 自訂角色。