深入解析Azure安全:从访问控制到数据加密
基于角色的访问控制(RBAC)
RBAC借助AAD账户,能够在Azure租户的不同层级设置多样化的角色和权限。在租户层面授予用户管理权限时,需借助AAD面板,且这些权限不会进一步传递。租户下可拥有多个订阅,每个订阅的相关操作需单独进行。
角色分配规则如下:
1. 若将用户指定为管理员(或其他角色),该用户将自动在该订阅下的所有资源组和资源中拥有相同角色。
2. 在资源组层级为用户分配角色,该角色将自动应用于该资源组内的所有资源。
3. 为用户赋予对单个资源的角色访问权限,用户仅能访问该特定资源。
在任何层级(订阅、资源组、资源)分配权限时,都可通过“访问控制(IAM)”进行操作。具体步骤为:选择角色、分配类型和用户,也可使用组或服务主体替代用户。
角色选择方面,可选取多个预定义角色、创建自定义角色,还能为用户分配多个角色。若用户被分配了冲突的角色,将应用最高级别的角色。例如,“读者”角色仅允许查看资源信息,无法进行更改;若同时分配“读者”和“贡献者”角色(可进行更改),则“贡献者”角色将生效。
组可在任何层级被分配角色,组内所有成员将自动获得该角色。服务主体常用于为需要进行创建或更改操作的应用程序设置访问权限,如在发布过程中允许Azure DevOps访问订阅并创建或编辑部署所需资源。
AAD在Azure中提供身份验证和授权功能,结合RBAC,可精准控制用户的操作范围和权限。这些工具是管理和保护云资源的首道防线。
以下是一个关于RBAC角色分配层级的mermaid流程图: