Ce este controlul accesului bazat pe rolurile Azure (Azure RBAC)?

• 17/05/2021
• 5 minute de citit

In acest articol

Gestionarea accesului pentru resursele cloud este o functie critica pentru orice organizatie care foloseste cloud-ul. Controlul accesului bazat pe roluri Azure (Azure RBAC) va ajuta sa gestionati cine are acces la resursele Azure, ce pot face cu resursele respective si la ce zone au acces.

Azure RBAC este un sistem de autorizare construit pe Azure Resource Manager care ofera o gestionare a accesului fina a resurselor Azure.

Acest videoclip ofera o prezentare rapida a RBAC-ului Azure.

Ce pot face cu Azure RBAC?

Iata cateva exemple de ceea ce puteti face cu Azure RBAC:

• Permiteti unui utilizator sa gestioneze masinile virtuale intr-un abonament si unui alt utilizator sa gestioneze retelele virtuale
• Permiteti unui grup DBA sa gestioneze bazele de date SQL intr-un abonament
• Permiteti unui utilizator sa gestioneze toate resursele dintr-un grup de resurse, cum ar fi masinile virtuale, site-urile web si subretele
• Permiteti unei aplicatii sa acceseze toate resursele dintr-un grup de resurse

Cum functioneaza Azure RBAC

Modul in care controlati accesul la resurse utilizand Azure RBAC este de a atribui roluri Azure. Acesta este un concept cheie de inteles – este modul in care sunt aplicate permisiunile. O atribuire de rol consta din trei elemente: principalul de securitate, definirea rolului si domeniul de aplicare.

Director de securitate

Un principal de securitate este un obiect care reprezinta un utilizator, un grup, un director de serviciu sau o identitate gestionata care solicita acces la resursele Azure. Puteti atribui un rol oricaruia dintre acesti principali de securitate.

Definirea rolului

O definitie de rol este o colectie de permisiuni. De obicei se numeste doar rol . O definitie de rol listeaza operatiunile care pot fi efectuate, cum ar fi citirea, scrierea si stergerea. Rolurile pot fi la nivel inalt, precum proprietarul, sau specifice, cum ar fi cititorul de masini virtuale.

Azure include mai multe roluri incorporate pe care le puteti utiliza. De exemplu, rolul Virtual Machine Contributor permite utilizatorului sa creeze si sa gestioneze masini virtuale. Daca rolurile incorporate nu indeplinesc nevoile specifice ale organizatiei dvs., puteti crea propriile roluri personalizate Azure.

Acest videoclip ofera o prezentare rapida a rolurilor incorporate si a rolurilor personalizate.

Azure are operatiuni de date care va permit sa acordati acces la date dintr-un obiect. De exemplu, daca un utilizator a citit accesul la date intr-un cont de stocare, atunci poate citi blob-urile sau mesajele din acel cont de stocare.

Pentru mai multe informatii, consultati Intelegerea definitiilor rolurilor Azure.

Domeniul de aplicare

Domeniul de aplicare este setul de resurse la care se aplica accesul. Cand atribuiti un rol, puteti limita in continuare actiunile permise definind un domeniu. Acest lucru este util daca doriti sa faceti pe cineva un Colaborator pe site, dar numai pentru un singur grup de resurse.

In Azure, puteti specifica un domeniu de aplicare la patru niveluri: grup de gestionare, abonament, grup de resurse sau resursa. Domeniile de aplicare sunt structurate intr-o relatie parinte-copil. Puteti atribui roluri la oricare dintre aceste niveluri de aplicare.

Pentru mai multe informatii despre domeniu, consultati Intelegerea domeniului.

Sarcini de rol

O atribuire de roluri este procesul de atasare a unei definitii de rol unui utilizator, grup, director de serviciu sau identitate gestionata la un anumit domeniu de aplicare in scopul acordarii accesului. Accesul este acordat prin crearea unei atribuiri de roluri, iar accesul este revocat prin eliminarea unei atribuiri de roluri.

Urmatoarea diagrama prezinta un exemplu de atribuire de roluri. In acest exemplu, grupului de Marketing i s-a atribuit rolul de Contributor pentru grupul de resurse de vanzari farmaceutice. Aceasta inseamna ca utilizatorii din grupul Marketing pot crea sau gestiona orice resursa Azure din grupul de resurse farmaceutice-vanzari. Utilizatorii de marketing nu au acces la resurse in afara grupului de resurse farmaceutice-vanzari, cu exceptia cazului in care fac parte dintr-o alta atribuire de roluri.

Puteti atribui roluri utilizand portalul Azure, Azure CLI, Azure PowerShell, Azure SDK-uri sau API-urile REST.

Pentru mai multe informatii, consultati Pasii pentru atribuirea unui rol Azure.

Grupuri

Alocarile de roluri sunt tranzitive pentru grupuri, ceea ce inseamna ca, daca un utilizator este membru al unui grup si acel grup este membru al unui alt grup care are o atribuire de roluri, utilizatorul va avea permisiunile in atribuirea de roluri.

Alocari de roluri multiple

Deci, ce se intampla daca aveti mai multe atributii de roluri suprapuse? Azure RBAC este un model aditiv, deci permisiunile efective sunt suma atributiilor dvs. de rol. Luati in considerare urmatorul exemplu in care unui utilizator i se acorda rolul Contributor in domeniul abonamentului si rolul Reader intr-un grup de resurse. Suma permisiunilor Contributor si a permiselor Reader este efectiv rolul Contributor pentru abonament. Prin urmare, in acest caz, atribuirea rolului Reader nu are niciun impact.

Refuzati sarcinile

Anterior, Azure RBAC era un model care permite doar fara refuz, dar acum Azure RBAC accepta atributiile de refuz intr-un mod limitat. Similar cu o atribuire de roluri, o atribuire de refuz ataseaza un set de actiuni de refuzare unui utilizator, grup, director de serviciu sau identitate gestionata intr-un anumit domeniu de aplicare in scopul refuzarii accesului. O atribuire de roluri defineste un set de actiuni care sunt permise , in timp ce o atribuire de refuzare defineste un set de actiuni care nu sunt permise . Cu alte cuvinte, refuzarea atributiilor blocheaza utilizatorii sa efectueze actiuni specificate chiar daca o atribuire de roluri le acorda acces. Refuzarea atributiilor are prioritate fata de atributiile de roluri.

Pentru mai multe informatii, consultati Intelegerea atribuirilor de refuz Azure.

Cum determina Azure RBAC daca un utilizator are acces la o resursa

Urmatorii sunt pasii la nivel inalt pe care Azure RBAC ii foloseste pentru a determina daca aveti acces la o resursa. Acesti pasi se aplica Azure Resource Manager sau serviciilor de plan de date integrate cu Azure RBAC. Acest lucru este util pentru a intelege daca incercati sa depanati o problema de acces.

1. Un utilizator (sau directorul de serviciu) achizitioneaza un simbol pentru Azure Resource Manager.

   Jetonul include membrii de grup ai utilizatorului (inclusiv membrii de grup tranzitivi).

2. Utilizatorul efectueaza un apel API REST catre Azure Resource Manager cu simbolul atasat.

3. Managerul de resurse Azure preia toate atributiile de roluri si refuza atributiile care se aplica resursei pe care se ia actiunea.

4. Daca se aplica o atribuire de refuz, accesul este blocat. In caz contrar, evaluarea continua.

5. Azure Resource Manager restrange atributiile de roluri care se aplica acestui utilizator sau grupului sau si determina ce roluri are utilizatorul pentru aceasta resursa.

6. Managerul de resurse Azure determina daca actiunea din apelul API este inclusa in rolurile pe care le are utilizatorul pentru aceasta resursa. Daca rolurile includ actiuni care au un wildcard (*), permisiunile efective sunt calculate prin scaderea NotActions din actiunile permise. In mod similar, se face aceeasi scadere pentru orice actiune de date.

   Actiuni – NotActions = Permisiuni de gestionare eficiente

   DataActions – NotDataActions = Permisiuni de date eficiente

7. Daca utilizatorul nu are un rol in actiunea din domeniul solicitat, accesul nu este permis. In caz contrar, orice conditii sunt evaluate.

8. Daca atribuirea rolului include conditii, acestea sunt evaluate. In caz contrar, accesul este permis.

9. Daca sunt indeplinite conditiile, accesul este permis. In caz contrar, accesul nu este permis.

Urmatoarea diagrama este un rezumat al logicii de evaluare.

Cerinte de licenta

Utilizarea acestei functii este gratuita si este inclusa in abonamentul dvs. Azure.

Pasii urmatori

• Atribuiti roluri Azure utilizand portalul Azure
• Intelegeti diferitele roluri
• Cloud Adoption Framework: gestionarea accesului la resurse in Azure