Role a oprávnění v Azure jsou nedílnou součástí zabezpečení a ovládání veškerých cloudových zdrojů. Je zapotřebí je pečlivě nastavit, snížit riziko hacknutí účtu a odcizení identity.
Azure Role-Based Access Control (RBAC) je služba v cloudové platformě Microsoft Azure, která umožňuje přiřazovat uživatelům a skupinám různá oprávnění k prostředkům v Azure. Tím se zajišťuje bezpečný přístup k cloudovým prostředkům a minimalizuje se riziko neoprávněného přístupu.
RBAC v Azure umožňuje přiřazovat oprávnění na úrovni následujících zdrojů:
Management Groups
Subscriptions
Resource Groups
Resources
Ideální je u přidělování oprávnění postupovat od samotných zdrojů výš. Určitě nechceme dávat oprávnění na celou management group uživateli, který potřebuje mít přistup jen do databáze.
Jaké otázky si položit před vytvořením role?
- K jakým zdrojům potřebuje mít uživatel přístup?
- K jakým projektům či celému oddělení?
- Co vše s nimi bude dělat?
- Na jak dlouhou dobu potřebuje oprávnění?
Je zapotřebí dodržovat dva základní zákony oprávnění a rolí v Azure:
Nejčastěji používané role v Azure RBAC
Owner
Role Owner umožňuje uživatelům nebo skupinám provádět veškeré operace s prostředky Azure, včetně přidávání a odebírání uživatelů a skupin z rolí.
Contributor
Role Contributor umožňuje uživatelům nebo skupinám provádět veškeré operace s prostředky Azure s výjimkou přidávání a odebírání uživatelů a skupin z rolí.
Reader
Role Reader umožňuje uživatelům nebo skupinám zobrazit prostředky Azure, ale nepovoluje jim provádět žádné operace.
Ostatní používané role v Azure RBAC
Kromě základních rolí může být v Azure RBAC přiřazena i řada dalších rolí, které jsou specifické pro různé typy zdrojů. Následující seznam ukazuje některé z nejčastěji používaných rolí v Azure RBAC a jejich popis:
User Access Administrator
Role User Access Administrator umožňuje uživatelům nebo skupinám spravovat přístupová oprávnění pro ostatní uživatele a skupiny.
Security Administrator
Role Security Administrator umožňuje uživatelům nebo skupinám spravovat zabezpečení Azure, včetně nastavení firemních zásad zabezpečení a monitorování bezpečnostních událostí.
Network Contributor
Role Network Contributor umožňuje uživatelům nebo skupinám provádět operace sítě Azure, jako je například vytváření a konfigurace virtuálních sítí a síťových rozhraní.
Virtual Machine Contributor
Role Virtual Machine Contributor umožňuje uživatelům nebo skupinám provádět operace s virtuálními stroji Azure, jako je například vytváření a konfigurace virtuálních strojů a jejich řízení.
Storage Account Contributor
Role Storage Account Contributor umožňuje uživatelům nebo skupinám provádět operace s úložišti Azure, jako je například vytváření a konfigurace úložišť a řízení dat.
Všechny tyto role jsou konfigurovatelné v Azure portalu a mohou být přiděleny uživatelům a skupinám pro omezení nebo rozšíření přístupových práv k Azure službám a prostředkům.