CobiNet(寧波)推薦文章:
Azure Resource Manager(Azure資源管理器)�����,公有云平臺(tái)的管理門戶��,提供了一系列特性����,來管理Azure角色���,訪問控制和安全策略。但是因?yàn)锳zure用戶的多樣性����,用戶包括服務(wù)提供商,中央IT基礎(chǔ)架構(gòu)經(jīng)理,IT運(yùn)維團(tuán)隊(duì)和應(yīng)用程序開發(fā)人員��,Azure資源管理器可能有些混亂 特別是在控制服務(wù)訪問和配置的時(shí)候����。
本文深入探討Azure資源管理器(ARM)基于角色的訪問控制(RBACs)��,包括其和底層Azure預(yù)配概念�����,安全和認(rèn)證管理特性的關(guān)系以及常見的用戶場景���。
1.Azure RBAC基礎(chǔ)知識(shí)
在深入RBACs之前����,理解Azure服務(wù)預(yù)配和使用的基本概念很重要����,特別是計(jì)劃、offer���、訂閱���、配額���、服務(wù)和角色之間的區(qū)別。
服務(wù):Azure里最基本的消費(fèi)單元��。服務(wù)包括資源�,比如虛擬機(jī)(VM),對象存儲(chǔ)或者關(guān)系數(shù)據(jù)庫����。
計(jì)劃:提供給用戶的一些服務(wù),比如一系列VM實(shí)例����,存儲(chǔ)和數(shù)據(jù)庫類型,以及任何使用限制�,比如域可用性或者資源配額。計(jì)劃通常針對特定的IT角色�����,比如開發(fā)人員或者數(shù)據(jù)科學(xué)家�����,或者針對負(fù)載需求來量體定制�。
Offer:訂閱可用的某個(gè)或者多個(gè)計(jì)劃的組合。Offer是用戶選擇訂閱的實(shí)際產(chǎn)品集���。
訂閱:某個(gè)公司和某個(gè)云服務(wù)提供商之間的協(xié)議���,按照訂閱計(jì)劃所定義的,來授予權(quán)限�����,從而消費(fèi)某個(gè)或者多個(gè)服務(wù)�����。企業(yè)可能有一個(gè)或者多個(gè)訂閱��。
配額:作為計(jì)劃的一部分來定義的服務(wù)限制����。比如,Azure的免費(fèi)層�,本質(zhì)上也是一個(gè)計(jì)劃,限制用戶可以在一個(gè)月內(nèi)免費(fèi)使用14個(gè)VM���,40個(gè)SQL數(shù)據(jù)庫和8 TB的存儲(chǔ)空間��。
角色:分配給某個(gè)個(gè)人或者組織的一系列訪問�����,管理和使用權(quán)限�。
使用Azure公有云時(shí),計(jì)劃和offer之間的差異并不明顯����,因?yàn)镸icrosoft在后臺(tái)定義了這些。但是����,當(dāng)使用第三方Azure服務(wù)提供商,或者使用Azure Stack來構(gòu)建私有云的話�,這兩者之間的差別就變得重要了。這很可能會(huì)給不同的組織��,企業(yè)或者負(fù)載需求提供更多的不同粒度的服務(wù)包����。對于Azure基于角色的訪問控制而言,這兩者的區(qū)別也比較重要���,因?yàn)橛嗛喓凸芾碛脩艉徒M織身份的目錄有關(guān)系��。
管理員從用戶目錄定義Azure RBACs���,并且每個(gè)訂閱只能信任一個(gè)目錄。小型開發(fā)團(tuán)隊(duì)可以使用Azure和Microsoft賬號(hào)系統(tǒng)里所定義的用戶和組;所有Azure角色和控制必須使用Microsoft賬號(hào)來定義���。如果企業(yè)之后才引入的Azure���,可以將企業(yè)的活動(dòng)目錄(AD)和Azure同步,并且使用其設(shè)置策略�,IT團(tuán)隊(duì)必須使用AD身份重新創(chuàng)建開發(fā)人員角色。因?yàn)閭€(gè)人或者組可能擁有多個(gè)訂閱�,所以務(wù)必確保每個(gè)訂閱使用相同的用戶目錄來保證一致性。
無論是Azure還是其他系統(tǒng)�,所有RBACs的指導(dǎo)性原則都是最小特權(quán)原則:終端用戶必須僅擁有完成工作所必須的訪問權(quán)限。Azure通過僅僅允許終端用戶在顯式定義了權(quán)限的資源上執(zhí)行操作����,來強(qiáng)制遵守最小特權(quán)原則。沒有默認(rèn)的權(quán)限�����,除非企業(yè)為所有資源將全局組應(yīng)用到某個(gè)特定角色上。
在Azure上���,RBACs遵循和AD使用類似的先序分層原則 針對用戶�����,組和控制使用全局�,父和子域
標(biāo)準(zhǔn)Azure角色
Microsoft定義了三種基礎(chǔ)Azure角色:
所有者:擁有完整的管理權(quán)限
貢獻(xiàn)者:擁有完整的管理權(quán)限�����,除了用戶管理權(quán)限
只讀者:能夠查看資源權(quán)限
Microsoft還有更加具體的內(nèi)置Azure角色的列表����。比如,自動(dòng)運(yùn)維人員(Automation Operator)角色允許其成員啟動(dòng)���,停止��,暫停并且恢復(fù)作業(yè)��。DevTest Labs用戶能夠查看所有東西�,并且能夠連接�����,啟動(dòng),重啟以及關(guān)閉VM�����。
Azure還支持自定義角色��,管理員可以將其分配給整個(gè)訂閱里的���,或者某個(gè)特定資源或資源組的用戶,組或者應(yīng)用程序����。管理員使用JSON語法定義這些自定義的Azure角色。不管是自定義的還是預(yù)定義好的角色���,都能夠通過ARM web門戶來定義該角色的成員���。但是,管理員也可以使用PowerShell����,Azure命令行接口(CLI)或者REST API來自動(dòng)化大規(guī)模的指派任務(wù)��。
Microsoft為如下動(dòng)作提供了PowerShell cmdlet:
Get-AzureRoleAssignment:獲得分配給某個(gè)用戶的角色����。
Get-AzureRoleDefinition:列出某個(gè)角色的Actions和NotActions
New-AzureRoleAssignment:給某個(gè)用戶或者組分配角色��。
Remove-AzureRoleAssignment:從用戶或者組里移除角色指派
2.Azure RMS基于角色的管理
一些IT團(tuán)隊(duì)抱怨Azure缺乏基于角色的管理����,特別是Azure Rights Management(RMS,權(quán)限管理)�����,Office 365,����、Exchange 和 SharePoint使用的預(yù)防數(shù)據(jù)損失功能。一些人錯(cuò)誤地認(rèn)為Azure要求終端用戶必須是全局管理員�,才能管理RMS模板。但是���,Azure文檔上寫到�����,在激活RMS之后����,管理員能夠 使用兩個(gè)默認(rèn)模板,從而可以輕松地給敏感文件應(yīng)用策略 來限制只有授權(quán)用戶才能訪問���。
這兩個(gè)模板帶有權(quán)限策略限制����,包括受保護(hù)內(nèi)容的只讀視圖�,以及受保護(hù)內(nèi)容的只讀或者可更改權(quán)限���。如上所述����,IT團(tuán)隊(duì)還能夠?yàn)闄?quán)限管理和模板創(chuàng)建定義自定義的角色和權(quán)限���。
Azure可能并沒有為每個(gè)服務(wù)都提供了企業(yè)想要的訪問控制粒度�����。但是不管怎么說���,更好地理解RBAC實(shí)現(xiàn)���,使用并且自定義 在ARM之內(nèi)并且通過自動(dòng)化的PowerShell或者CLI腳本 管理員能夠?yàn)閺V大用戶及其作業(yè)需求微調(diào)Azure的安全策略。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類��,六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬兆屏蔽模塊�����,10G屏蔽模塊����,屏蔽線生產(chǎn)廠家。
歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn����,網(wǎng)址m.czchengbang.com
