Proteger recursos com controlo de acesso baseado em funções

  • 5 minutos

A implementação da Política do Azure garantiu que todos os nossos funcionários com acesso ao Azure estão seguindo nossos padrões internos para criar recursos, mas temos um segundo problema que precisamos resolver: como protegemos esses recursos depois de implantados? Temos pessoal de TI que precisa gerenciar configurações, desenvolvedores que precisam ter acesso somente leitura e administradores que precisam ser capazes de controlá-las completamente. Insira RBAC (Controle de Acesso Baseado em Função).

O RBAC fornece gerenciamento de acesso refinado para recursos do Azure, permitindo que você conceda aos usuários os direitos específicos de que eles precisam para executar seus trabalhos. O RBAC é considerado um serviço principal e está incluído com todos os níveis de subscrição sem custos adicionais.

Com o RBAC, pode:

  • Permitir a um utilizador gerir VMs numa subscrição e a outro utilizador gerir redes virtuais.
  • Permitir a um grupo de administradores de bases de dados (DBA) gerir bases de dados SQL numa subscrição.
  • Permitir a um utilizador gerir todos os recursos num grupo de recursos, como VMs, sites e sub-redes virtuais.
  • Permitir a uma aplicação aceder a todos os recursos num grupo de recursos.

Para ver as permissões de acesso, utilize o painel Controlo de acesso(IAM) para o recurso no portal do Azure. Neste painel, você pode determinar quem pode acessar uma área e sua função atribuída. Através deste mesmo neste painel, também pode conceder ou remover o acesso.

Captura de ecrã do controlo de acesso do portal do Azure - Painel de atribuição de funções, a mostrar as funções de operador de cópia de segurança e leitor de faturação atribuídas a diferentes utilizadores.

Como o RBAC define o acesso

O RBAC utiliza um modelo de permissões para conceder acesso. Quando você é atribuído a uma função, o RBAC permite que você execute ações específicas, como ler, gravar ou excluir. Desta forma, se uma atribuição de função lhe conceder permissões de leitura em relação a um grupo de recursos e uma atribuição de função diferente lhe conceder permissões de escrita no âmbito desse mesmo grupo, terá permissões de leitura e escrita nesse grupo de recursos.

Melhores Práticas para RBAC

Aqui estão algumas práticas recomendadas que você deve usar ao configurar recursos:

  • Separe as tarefas dentro da sua equipe e conceda aos usuários apenas a quantidade de acesso de que eles precisam para executar seus trabalhos. Em vez de dar a todas as pessoas permissões sem restrições na sua subscrição do Azure ou recursos, pode permitir apenas ações específicas num determinado âmbito.
  • Ao planear a estratégia de controlo de acesso, conceda aos utilizadores o nível de privilégio mais baixo de que necessitam para trabalhar.
  • Use os Bloqueios de Recursos para garantir que os recursos críticos não sejam modificados ou excluídos (como você aprenderá na próxima unidade).