Azure novinky v oblasti oprávnění a přístupu

Před nedávnem přinesl Azure zajímavou a zásadní inovaci v oblasti přidělování práv a správy prostředků celkově. Dlouho očekávaná správa oprávnění na základě rolí je celkově dostupná. Společně se podíváme se na detaily.

Azure Role Based Access Management

RBAC se dostal do stavu celkové dostupnosti a opustil tak předchozí Preview fázi, ve které setrvával poměrně dlouhou dobu.
Předchozí řízení oprávnění k jednotlivým Azure zdrojům bylo poměrně problematické a ne příliš pohodlné. Přístup byl řízen na úrovni subscripcí a dělen pouze do dvou úrovní – na hlavního Service Administrátora a co-administrátory. Obě úrovně měli ekvivalentní přístup k Azure zdrojům, Service Administrátor měl navíc pouze práva vlastníka subscripce a tedy mohl přistupovat k datům o spotřebě finančních prostředků, nebo třeba celou subscripci převést na jiného vlastníka. Všichni administrátoři mohli tedy vytvářet, upravovat a mazat všechny zdroje napříč celou subscripcí. Pokud někdo chtěl např. oddělit správu Web Apps od správy virtuálních serverů, bylo nutné vytvořit oddělenou subscripci, což bylo pohodlné v podstatě pouze pro zákazníky s Enterprise Agreement.

RBAC přináší možnost dělit oprávnění do rolí a přistupovat k jednotlivým zdrojům a jejich skupinám. Je tak možné oddělit správu více projektů, specializací a dalších členění dle vaší fantazie.
Základem je stále subscripce. Ta již nově nemá administrátory a co-administrátory, ale vlastníky. Dále lze oprávnění přidělovat na úrovni Resource Groups, které můžete využít pro logické členění vašich projektů a právě i přístupů ke zdrojům v těchto skupinách. Poslední úrovní jsou pak samostatné zdroje.

r1

Na obrázku výše je vidět dědičnost těchto oprávnění, ale i základní struktura předpřipravených rolí. Základní členění je vždy děleno na vlastníky (owner), přispěvatele (contributor) a přístup pouze pro čtení (readers). V tomto duchu najdete celou řadu již hotových rolí jako např. VM Cotributors, User Access Administrators a mnoho dalších.
základní filozofií je, že:

· Owner je neomezeným vládcem v přiděleném segmentu.

· Contributor má povolený set akcí, ale nemůže dělat zásadní změny, mazat a přidělovat přístup dalším uživatelům. Tato role je pro někoho, komu potřebujete přidělit částečnou správu, ale nenechat např. měnit konfiguraci virtuálního serveru. Můžete vytvořit roli, která umožní pouhý restart a připojení se k přiděleným virtuálům.

· Reader pak má právo na pouhé zobrazení a je to tedy vhodná role pro auditory, nebo billing administrátory.

Definice vlastního setu oprávnění je zatím možná pouze z PowerShellu s dodáním JSON šablony akcí. Společně nyní vytvoříme vlastní roli, která umožní přístup pro čtení/zobrazení přidělených zdrojů a jedinou povolenou akcí bude pouhé restartování přidělených serverů. Nejdříve začneme definicí JSON šablony pro roli. Ta vypadá následovně:

r2

Dále stačí už jen použít PowerShell k vytvoření role:

r4

Pak už jen stačí přidělit roli konkrétním zdrojům. To je možné udělat i graficky z portálu:

r3

Do role pak lze přidat uživatele nebo skupiny z Azure Active Directory. Po přihlášení uživatele na portál dojde k zobrazení pouze prostředků, na které má oprávnění. Nemusíte tak již přidělovat celé subscripce, ale stačí využít Resource Groups a jednotlivých zdrojů v nich.

- Matouš Rokos, MVP, Mainstream Technologies