Esplorare la gestione degli accessi

  • 7 minuti

La gestione degli accessi per le risorse cloud è una funzione fondamentale per qualsiasi organizzazione che usa il cloud. Il controllo degli accessi in base al ruolo consente la gestione degli utenti autorizzati ad accedere alle risorse di Azure, delle operazioni che possono eseguire su tali risorse e delle aree a cui hanno accesso. Il controllo degli accessi in base al ruolo è un sistema di autorizzazione basato su Azure Resource Manager che garantisce una gestione con granularità fine degli accessi delle risorse di Azure.

Il modo in cui si controlla l'accesso alle risorse utilizzando il controllo degli accessi in base al ruolo è quello di creare assegnazioni di ruolo. Questo è un concetto chiave da comprendere: si tratta di come sono applicate le autorizzazioni. Un'assegnazione di ruolo è costituita da tre elementi: entità di sicurezza, definizione del ruolo e ambito.

  • Entità di sicurezza: un'entità di sicurezza è un oggetto che rappresenta un utente, un gruppo, un'entità servizio o un'identità gestita che richiede l'accesso alle risorse di Azure.

    • Utente: Persona che ha un profilo in Microsoft Entra ID.
    • Gruppo: Gruppo di utenti creati in Microsoft Entra ID.
    • Entità servizio: un'identità di sicurezza usata da applicazioni o servizi per accedere a specifiche risorse di Azure. Può essere considerata come un'identità utente (nome utente e password o certificato) per un'applicazione.
    • Identità gestita: Identità in Microsoft Entra ID gestita automaticamente da Azure. Le identità gestite vengono in genere usate durante lo sviluppo di applicazioni cloud per gestire le credenziali per l'autenticazione ai servizi di Azure. Ad esempio, è possibile assegnare un'identità gestita a una macchina virtuale di Azure per consentire al software in esecuzione in tale macchina virtuale di accedere ad altre risorse di Azure.

  • Definizione di ruolo: una definizione di ruolo è una raccolta di autorizzazioni, talvolta semplicemente chiamata ruolo. Una definizione di ruolo elenca le operazioni che è possibile eseguire, ad esempio lettura, scrittura ed eliminazione. I ruoli possono essere generali, come Proprietario, o specifici, come Collaboratore Macchina virtuale. Azure include diversi ruoli predefiniti che è possibile usare. Di seguito sono elencati quattro fondamentali ruoli predefiniti. I primi tre si applicano a tutti i tipi di risorse.

    • Proprietario: ha accesso completo a tutte le risorse, oltre al diritto di delegare l'accesso ad altri utenti.

    • Collaboratore: può creare e gestire tutti i tipi di risorse di Azure, ma non può concedere l'accesso ad altri.

    • Lettore: può visualizzare le risorse di Azure esistenti.

    • Amministratore accesso utenti: consente di gestire l'accesso degli utenti alle risorse di Azure.

      Diagramma che illustra la definizione del ruolo per un'assegnazione di ruolo.

      Gli altri ruoli predefiniti consentono la gestione di risorse di Azure specifiche. Ad esempio, il ruolo Collaboratore Macchina virtuale consente a un utente di creare e gestire macchine virtuali. Se i ruoli predefiniti non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati per le risorse di Azure.

  • Ambito: l'ambito è il set di risorse a cui si applica l'accesso. Quando si assegna un ruolo, è possibile limitare ulteriormente le azioni consentite definendo un ambito. In Azure è possibile specificare un ambito su più livelli: gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Gli ambiti sono strutturati in una relazione padre-figlio.