Sichern von Ressourcen mit rollenbasierter Zugriffssteuerung

  • 5 Minuten

Die Implementierung von Azure Policy hat sichergestellt, dass alle unsere Mitarbeiter mit Azure-Zugriff die internen Standards für das Erstellen von Ressourcen befolgen. Wir müssen aber noch ein zweites Problem lösen: Wie schützen wir diese Ressourcen, nachdem sie bereitgestellt wurden? Wir haben IT-Personal, das die Einstellungen verwalten muss, Entwickler, die schreibgeschützten Zugriff haben müssen, und Administratoren, die in der Lage sein müssen, sie vollständig zu kontrollieren. Willkommen bei der Rollenbasierte Zugriffssteuerung (RBAC).

Die RBAC bietet eine präzise Zugriffsverwaltung für Azure-Ressourcen und ermöglicht es Ihnen,Benutzern spezifische Berechtigungen zu erteilen, die sie zur Ausführung ihrer Aufgaben benötigen. Die RBAC ist ein Basisdienst und in allen Abonnementlevels kostenlos enthalten.

Mit der RBAC können Sie Folgendes zulassen:

  • Ein Benutzer kann VMs in einem Abonnement verwalten, während ein anderer Benutzer virtuelle Netzwerke verwalten kann.
  • Eine Datenbankadministrator-Gruppe (Database Administrator, DBA) kann SQL-Datenbanken in einem Abonnement verwalten.
  • Ein Benutzer kann alle Ressourcen in einer Ressourcengruppe verwalten, z.B. VMs, Websites und virtuelle Subnetze.
  • Eine Anwendung kann auf alle Ressourcen in einer Ressourcengruppe zugreifen.

Verwenden Sie zum Anzeigen der Zugriffsberechtigungen das Panel Zugriffssteuerung (IAM) für die Ressource im Azure-Portal. In diesem Bereich können Sie die Benutzer mit Zugriff auf einen Bereich sowie deren zugewiesene Rollen festlegen. Über dieses Panel können Sie auch Zugriff gewähren oder den Zugriff aufheben.

Screenshot of Azure portal Access control - Role assignment pane showing a backup operator and billing reader roles assigned to different users.

Wie die RBAC Zugriff definiert

Die RBAC verwendet für den Zugriff ein Modell mit Zulassung. Wenn Ihnen eine Rolle zugewiesen wurde, ermöglicht Ihnen RBAC, bestimmte Aktionen wie Lesen, Schreiben oder Löschen durchführen. Wenn Ihnen also durch eine Rollenzuweisung Leseberechtigungen für eine Ressourcengruppe und durch eine andere Rollenzuweisung Schreibberechtigungen für dieselbe Ressourcengruppe erteilt wurden, verfügen Sie über Lese- und Schreibberechtigungen für diese Ressourcengruppe.

Bewährte Methoden für die RBAC

Im Folgenden werden einige bewährte Methoden aufgeführt, die Sie beim Einrichten von Ressourcen berücksichtigen sollten:

  • Trennen Sie Aufgaben innerhalb Ihres Teams und gewähren Sie Benutzern nur so viel Zugriff, wie sie zur Ausführung ihrer Aufgaben benötigen. Anstatt allen uneingeschränkte Berechtigungen in Ihrem Azure-Abonnement oder Ihren Ressourcen zu gewähren, sollten Sie die Berechtigungen auf bestimmte Aktionen in einem bestimmten Bereich beschränken.
  • Erteilen Sie Benutzern bei der Planung Ihrer Strategie für die Zugriffssteuerung die niedrigste Berechtigungsstufe, die sie für ihre Arbeit benötigen.
  • Verwenden Sie Ressourcensperren, um sicherzustellen, dass wichtige Ressourcen nicht verändert oder gelöscht werden (mehr dazu in der nächsten Lerneinheit).