Azure novinky v oblasti oprávnění a přístupu


Před nedávnem přinesl Azure zajímavou a zásadní inovaci v oblasti přidělování práv a správy prostředků celkově. Dlouho očekávaná správa oprávnění na základě rolí je celkově dostupná. Společně se podíváme se na detaily.

Azure Role Based Access Management

RBAC se dostal do stavu celkové dostupnosti a opustil tak předchozí Preview fázi, ve které setrvával poměrně dlouhou dobu.
Předchozí řízení oprávnění k jednotlivým Azure zdrojům bylo poměrně problematické a ne příliš pohodlné. Přístup byl řízen na úrovni subscripcí a dělen pouze do dvou úrovní – na hlavního Service Administrátora a co-administrátory. Obě úrovně měli ekvivalentní přístup k Azure zdrojům, Service Administrátor měl navíc pouze práva vlastníka subscripce a tedy mohl přistupovat k datům o spotřebě finančních prostředků, nebo třeba celou subscripci převést na jiného vlastníka. Všichni administrátoři mohli tedy vytvářet, upravovat a mazat všechny zdroje napříč celou subscripcí. Pokud někdo chtěl např. oddělit správu Web Apps od správy virtuálních serverů, bylo nutné vytvořit oddělenou subscripci, což bylo pohodlné v podstatě pouze pro zákazníky s Enterprise Agreement.

RBAC přináší možnost dělit oprávnění do rolí a přistupovat k jednotlivým zdrojům a jejich skupinám. Je tak možné oddělit správu více projektů, specializací a dalších členění dle vaší fantazie.
Základem je stále subscripce. Ta již nově nemá administrátory a co-administrátory, ale vlastníky. Dále lze oprávnění přidělovat na úrovni Resource Groups, které můžete využít pro logické členění vašich projektů a právě i přístupů ke zdrojům v těchto skupinách. Poslední úrovní jsou pak samostatné zdroje.

r1

Na obrázku výše je vidět dědičnost těchto oprávnění, ale i základní struktura předpřipravených rolí. Základní členění je vždy děleno na vlastníky (owner), přispěvatele (contributor) a přístup pouze pro čtení (readers). V tomto duchu najdete celou řadu již hotových rolí jako např. VM Cotributors, User Access Administrators a mnoho dalších.
základní filozofií je, že:

· Owner je neomezeným vládcem v přiděleném segmentu.

· Contributor má povolený set akcí, ale nemůže dělat zásadní změny, mazat a přidělovat přístup dalším uživatelům. Tato role je pro někoho, komu potřebujete přidělit částečnou správu, ale nenechat např. měnit konfiguraci virtuálního serveru. Můžete vytvořit roli, která umožní pouhý restart a připojení se k přiděleným virtuálům.

· Reader pak má právo na pouhé zobrazení a je to tedy vhodná role pro auditory, nebo billing administrátory.

Definice vlastního setu oprávnění je zatím možná pouze z PowerShellu s dodáním JSON šablony akcí. Společně nyní vytvoříme vlastní roli, která umožní přístup pro čtení/zobrazení přidělených zdrojů a jedinou povolenou akcí bude pouhé restartování přidělených serverů. Nejdříve začneme definicí JSON šablony pro roli. Ta vypadá následovně:

r2

Dále stačí už jen použít PowerShell k vytvoření role:

r4

Pak už jen stačí přidělit roli konkrétním zdrojům. To je možné udělat i graficky z portálu:

r3

Do role pak lze přidat uživatele nebo skupiny z Azure Active Directory. Po přihlášení uživatele na portál dojde k zobrazení pouze prostředků, na které má oprávnění. Nemusíte tak již přidělovat celé subscripce, ale stačí využít Resource Groups a jednotlivých zdrojů v nich.

- Matouš Rokos, MVP, Mainstream Technologies

Comments (2)

  1. Anonymous says:

    Po opravdu velmi dlouhém preview, přichází konečně nový portál do

  2. aw says:

    hai, I just want to tell you that I am just very new to blogs and seriously loved this website. More than likely I’m planning to bookmark your blog post .
    You amazingly come with really good posts. Thanks a lot for sharing your blog Microsoft.

    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Palembang
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Papua
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Papua%20Barat
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Pati
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Pekalongan
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Pontianak
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Samarinda
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Semarang
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Serang
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Sidoarjo
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Surabaya
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Surakarta
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Tasikmalaya
    http://www.lokerjobindo.com/search/label/Loker%20Daerah%20Yogyakarta
    http://www.lokerjobindo.com/search/label/Loker%20Jurusan%20Akunting
    http://www.lokerjobindo.com/search/label/Loker%20Jurusan%20Asuransi
    http://www.lokerjobindo.com/search/label/Loker%20Jurusan%20Teknologi%20Informasi
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Administrasi
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Akuntansi
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Alfamart
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Arsiparis
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Artis
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Astra
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Asuransi
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Auditor
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank%20BJB
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank%20BNI%20Syariah
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank%20BRI
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank%20Danamon
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank%20Mandiri
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank%20Indonesia
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank%20BCA
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank%20BTN
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank%20CIMB%20NIAGA
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20BUMN
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Terbaru
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20Bank
    http://www.lokerjobindo.com/search/label/Lowongan%20Kerja%20SMA
    http://www.lokerjobindo.com

Skip to main content