Pasi pentru atribuirea unui rol Azure – Azure RBAC

• 14.04.2021
• 5 minute de citit

• • r

  • D

In acest articol

Controlul accesului bazat pe rolurile Azure (Azure RBAC) este sistemul de autorizare pe care il utilizati pentru a gestiona accesul la resursele Azure. Pentru a acorda acces, atribuiti roluri utilizatorilor, grupurilor, directorilor de servicii sau identitatilor gestionate dintr-un anumit domeniu. Acest articol descrie pasii la nivel inalt pentru atribuirea rolurilor Azure utilizand portalul Azure, Azure PowerShell, Azure CLI sau API-ul REST.

Pasul 1: stabiliti cine are nevoie de acces

Mai intai trebuie sa determinati cine are nevoie de acces. Puteti atribui un rol unui utilizator, grup, director de serviciu sau identitate gestionata. Aceasta se mai numeste si principal de securitate .

• Utilizator – O persoana care are un profil in Azure Active Directory. De asemenea, puteti atribui roluri utilizatorilor din alti chiriasi. Pentru informatii despre utilizatorii din alte organizatii, consultati Azure Active Directory B2B.
• Grup – Un set de utilizatori creat in Azure Active Directory. Cand atribuiti un rol unui grup, toti utilizatorii din acel grup au acel rol.
• Principal de serviciu – O identitate de securitate utilizata de aplicatii sau servicii pentru a accesa resurse specifice Azure. Va puteti gandi la aceasta ca la o identitate de utilizator (nume de utilizator si parola sau certificat) pentru o aplicatie.
• Identitate gestionata – O identitate din Azure Active Directory care este gestionata automat de Azure. De obicei utilizati identitati gestionate atunci cand dezvoltati aplicatii cloud pentru a gestiona acreditarile pentru autentificarea in serviciile Azure.

Pasul 2: Selectati rolul adecvat

Permisiunile sunt grupate intr-o definitie de rol . De obicei se numeste doar rol . Puteti selecta dintr-o lista cu mai multe roluri incorporate. Daca rolurile incorporate nu indeplinesc nevoile specifice ale organizatiei dvs., va puteti crea propriile roluri personalizate.

Urmatoarele enumera patru roluri fundamentale incorporate. Primele trei se aplica tuturor tipurilor de resurse.

• Proprietar – Are acces complet la toate resursele, inclusiv dreptul de a delega accesul catre altii.
• Contributor – Poate crea si gestiona toate tipurile de resurse Azure, dar nu poate acorda acces altora.
• Reader – Poate vizualiza resursele Azure existente.
• Administrator acces utilizator – Va permite sa gestionati accesul utilizatorului la resursele Azure.

Restul rolurilor incorporate permit gestionarea anumitor resurse Azure. De exemplu, rolul Virtual Machine Contributor permite utilizatorului sa creeze si sa gestioneze masini virtuale.

1. Incepeti cu articolul cuprinzator, roluri incorporate Azure. Tabelul din partea de sus a articolului este un index in detaliile de mai tarziu in articol.

2. In acel articol, navigati la categoria de servicii (cum ar fi calculul, stocarea si bazele de date) pentru resursa careia doriti sa ii acordati permisiunile. Cel mai simplu mod de a gasi ceea ce cautati este de obicei sa cautati in pagina un cuvant cheie relevant, cum ar fi „blob”, „masina virtuala” si asa mai departe.

3. Examinati rolurile enumerate pentru categoria de servicii si identificati operatiunile specifice de care aveti nevoie. Din nou, incepeti intotdeauna cu cel mai restrictiv rol.

   De exemplu, daca un director de securitate trebuie sa citeasca blob-uri intr-un cont de stocare Azure, dar nu are nevoie de acces la scriere, atunci alegeti Storage Blob Data Reader in loc de Storage Blob Data Contributor (si cu siguranta nu rolul de proprietar de date Storage Blob la nivel de administrator ). Puteti actualiza intotdeauna atributiile de rol mai tarziu, dupa cum este necesar.

4. Daca nu gasiti un rol adecvat, puteti crea un rol personalizat.

Pasul 3: Identificati domeniul de aplicare necesar

Domeniul de aplicare este setul de resurse la care se aplica accesul. In Azure, puteti specifica un domeniu de aplicare la patru niveluri: grup de gestionare, abonament, grup de resurse si resursa. Domeniile de aplicare sunt structurate intr-o relatie parinte-copil. Fiecare nivel de ierarhie face ca domeniul de aplicare sa fie mai specific. Puteti atribui roluri la oricare dintre aceste niveluri de aplicare. Nivelul pe care il selectati determina cat de mult este aplicat rolul. Nivelurile inferioare mostenesc permisiunile de rol de la nivelurile superioare.

Cand atribuiti un rol unui domeniu parinte, aceste permisiuni sunt mostenite domeniilor copil. De exemplu:

• Daca atribuiti rolul Reader unui utilizator din domeniul de aplicare al grupului de management, utilizatorul respectiv poate citi totul in toate abonamentele din grupul de management.
• Daca atribuiti rolul Cititor de facturare unui grup in domeniul abonamentului, membrii grupului respectiv pot citi datele de facturare pentru fiecare grup de resurse si resurse din abonament.
• Daca atribuiti rolul Contributor unei aplicatii in domeniul grupului de resurse, acesta poate gestiona resursele de toate tipurile din acel grup de resurse, dar nu si alte grupuri de resurse din abonament.

Este o buna practica sa acordati directorilor de securitate cel mai mic privilegiu de care au nevoie pentru a-si indeplini sarcina. Evitati atribuirea de roluri mai largi la domenii mai largi, chiar daca initial pare mai convenabil. Limitand rolurile si domeniile, limitati resursele care sunt expuse riscului daca principalul de securitate este vreodata compromis. Pentru mai multe informatii, consultati Intelegerea domeniului de aplicare.

Pasul 4. Verificati conditiile prealabile

Pentru a atribui roluri, trebuie sa va conectati cu un utilizator caruia i se atribuie un rol care are atributii de rol permisiune de scriere, cum ar fi Proprietar sau Administrator de acces utilizator la domeniul in care incercati sa atribuiti rolul. In mod similar, pentru a elimina o atribuire de roluri, trebuie sa aveti permisiunea de stergere a atributiilor de roluri.

• Microsoft.Authorization / roleAssignments / write
• Microsoft.Authorization / roleAssignments / delete

Daca contul dvs. de utilizator nu are permisiunea de a atribui un rol in cadrul abonamentului dvs., vedeti un mesaj de eroare conform caruia contul dvs. „nu are autorizatie pentru a efectua actiunea„ Microsoft.Authorization / roleAssignments / write ”.” In acest caz, contactati administratorii abonamentului dvs., deoarece acestia pot atribui permisiunile in numele dvs.

Daca utilizati un director de serviciu pentru a atribui roluri, este posibil sa primiti eroarea „Privilegiile insuficiente pentru a finaliza operatiunea”. Aceasta eroare este probabil deoarece Azure incearca sa caute identitatea cesionarului in Azure Active Directory (Azure AD), iar directorul serviciului nu poate citi Azure AD in mod implicit. In acest caz, trebuie sa acordati serviciului principal permisiuni pentru a citi datele din director. Alternativ, daca utilizati Azure CLI, puteti crea atribuirea rolului utilizand ID-ul obiectului cesionar pentru a sari peste cautarea Azure AD. Pentru mai multe informatii, consultati Depanarea Azure RBAC.

Pasul 5. Atribuiti rolul

Dupa ce cunoasteti principiul de securitate, rolul si domeniul de aplicare, puteti atribui rolul. Puteti atribui roluri utilizand portalul Azure, Azure PowerShell, Azure CLI, Azure SDK-uri sau API-urile REST. Puteti avea pana la 2000 de atributii de roluri in fiecare abonament. Aceasta limita include atribuirile de roluri la abonament, grup de resurse si domenii de resurse. Puteti avea pana la 500 de atributii de roluri in fiecare grup de management.

Consultati urmatoarele articole pentru pasi detaliati despre cum sa atribuiti roluri.

• Atribuiti roluri Azure utilizand portalul Azure
• Atribuiti roluri Azure utilizand Azure PowerShell
• Atribuiti roluri Azure utilizand Azure CLI
• Atribuiti roluri Azure utilizand API-ul REST

Pasii urmatori

• Tutorial: acordati unui utilizator acces la resursele Azure utilizand portalul Azure