Azure Resource Manager(Azure資源管理器)，公有云平臺(tái)的管理門(mén)戶(hù)，提供了一系列特性，來(lái)管理Azure角色，訪(fǎng)問(wèn)控制和安全策略。但是因?yàn)锳zure用戶(hù)的多樣性，用戶(hù)包括服務(wù)提供商，中央IT基礎(chǔ)架構(gòu)經(jīng)理，IT運(yùn)維團(tuán)隊(duì)和應(yīng)用程序開(kāi)發(fā)人員，Azure資源管理器可能有些混亂 特別是在控制服務(wù)訪(fǎng)問(wèn)和配置的時(shí)候。

本文深入探討Azure資源管理器(ARM)基于角色的訪(fǎng)問(wèn)控制(RBACs)，包括其和底層Azure預(yù)配概念，安全和認(rèn)證管理特性的關(guān)系以及常見(jiàn)的用戶(hù)場(chǎng)景。

1.Azure RBAC基礎(chǔ)知識(shí)

在深入RBACs之前，理解Azure服務(wù)預(yù)配和使用的基本概念很重要，特別是計(jì)劃、offer、訂閱、配額、服務(wù)和角色之間的區(qū)別。

服務(wù)：Azure里最基本的消費(fèi)單元。服務(wù)包括資源，比如虛擬機(jī)(VM)，對(duì)象存儲(chǔ)或者關(guān)系數(shù)據(jù)庫(kù)。

計(jì)劃：提供給用戶(hù)的一些服務(wù)，比如一系列VM實(shí)例，存儲(chǔ)和數(shù)據(jù)庫(kù)類(lèi)型，以及任何使用限制，比如域可用性或者資源配額。計(jì)劃通常針對(duì)特定的IT角色，比如開(kāi)發(fā)人員或者數(shù)據(jù)科學(xué)家，或者針對(duì)負(fù)載需求來(lái)量體定制。

Offer：訂閱可用的某個(gè)或者多個(gè)計(jì)劃的組合。Offer是用戶(hù)選擇訂閱的實(shí)際產(chǎn)品集。

訂閱：某個(gè)公司和某個(gè)云服務(wù)提供商之間的協(xié)議，按照訂閱計(jì)劃所定義的，來(lái)授予權(quán)限，從而消費(fèi)某個(gè)或者多個(gè)服務(wù)。企業(yè)可能有一個(gè)或者多個(gè)訂閱。

配額：作為計(jì)劃的一部分來(lái)定義的服務(wù)限制。比如，Azure的免費(fèi)層，本質(zhì)上也是一個(gè)計(jì)劃，限制用戶(hù)可以在一個(gè)月內(nèi)免費(fèi)使用14個(gè)VM，40個(gè)SQL數(shù)據(jù)庫(kù)和8 TB的存儲(chǔ)空間。

角色：分配給某個(gè)個(gè)人或者組織的一系列訪(fǎng)問(wèn)，管理和使用權(quán)限。

使用Azure公有云時(shí)，計(jì)劃和offer之間的差異并不明顯，因?yàn)镸icrosoft在后臺(tái)定義了這些。但是，當(dāng)使用第三方Azure服務(wù)提供商，或者使用Azure Stack來(lái)構(gòu)建私有云的話(huà)，這兩者之間的差別就變得重要了。這很可能會(huì)給不同的組織，企業(yè)或者負(fù)載需求提供更多的不同粒度的服務(wù)包。對(duì)于Azure基于角色的訪(fǎng)問(wèn)控制而言，這兩者的區(qū)別也比較重要，因?yàn)橛嗛喓凸芾碛脩?hù)和組織身份的目錄有關(guān)系。

管理員從用戶(hù)目錄定義Azure RBACs，并且每個(gè)訂閱只能信任一個(gè)目錄。小型開(kāi)發(fā)團(tuán)隊(duì)可以使用Azure和Microsoft賬號(hào)系統(tǒng)里所定義的用戶(hù)和組;所有Azure角色和控制必須使用Microsoft賬號(hào)來(lái)定義。如果企業(yè)之后才引入的Azure，可以將企業(yè)的活動(dòng)目錄(AD)和Azure同步，并且使用其設(shè)置策略，IT團(tuán)隊(duì)必須使用AD身份重新創(chuàng)建開(kāi)發(fā)人員角色。因?yàn)閭€(gè)人或者組可能擁有多個(gè)訂閱，所以務(wù)必確保每個(gè)訂閱使用相同的用戶(hù)目錄來(lái)保證一致性。

無(wú)論是Azure還是其他系統(tǒng)，所有RBACs的指導(dǎo)性原則都是最小特權(quán)原則：終端用戶(hù)必須僅擁有完成工作所必須的訪(fǎng)問(wèn)權(quán)限。Azure通過(guò)僅僅允許終端用戶(hù)在顯式定義了權(quán)限的資源上執(zhí)行操作，來(lái)強(qiáng)制遵守最小特權(quán)原則。沒(méi)有默認(rèn)的權(quán)限，除非企業(yè)為所有資源將全局組應(yīng)用到某個(gè)特定角色上。

在Azure上，RBACs遵循和AD使用類(lèi)似的先序分層原則 針對(duì)用戶(hù)，組和控制使用全局，父和子域

標(biāo)準(zhǔn)Azure角色

Microsoft定義了三種基礎(chǔ)Azure角色：

所有者：擁有完整的管理權(quán)限

貢獻(xiàn)者：擁有完整的管理權(quán)限，除了用戶(hù)管理權(quán)限

只讀者：能夠查看資源權(quán)限

Microsoft還有更加具體的內(nèi)置Azure角色的列表。比如，自動(dòng)運(yùn)維人員(Automation Operator)角色允許其成員啟動(dòng)，停止，暫停并且恢復(fù)作業(yè)。DevTest Labs用戶(hù)能夠查看所有東西，并且能夠連接，啟動(dòng)，重啟以及關(guān)閉VM。

Azure還支持自定義角色，管理員可以將其分配給整個(gè)訂閱里的，或者某個(gè)特定資源或資源組的用戶(hù)，組或者應(yīng)用程序。管理員使用JSON語(yǔ)法定義這些自定義的Azure角色。不管是自定義的還是預(yù)定義好的角色，都能夠通過(guò)ARM web門(mén)戶(hù)來(lái)定義該角色的成員。但是，管理員也可以使用PowerShell，Azure命令行接口(CLI)或者REST API來(lái)自動(dòng)化大規(guī)模的指派任務(wù)。

Microsoft為如下動(dòng)作提供了PowerShell cmdlet：

Get-AzureRoleAssignment：獲得分配給某個(gè)用戶(hù)的角色。

Get-AzureRoleDefinition:列出某個(gè)角色的Actions和NotActions

New-AzureRoleAssignment:給某個(gè)用戶(hù)或者組分配角色。

Remove-AzureRoleAssignment:從用戶(hù)或者組里移除角色指派

2.Azure RMS基于角色的管理

一些IT團(tuán)隊(duì)抱怨Azure缺乏基于角色的管理，特別是Azure Rights Management(RMS，權(quán)限管理)，Office 365,、Exchange 和 SharePoint使用的預(yù)防數(shù)據(jù)損失功能。一些人錯(cuò)誤地認(rèn)為Azure要求終端用戶(hù)必須是全局管理員，才能管理RMS模板。但是，Azure文檔上寫(xiě)到，在激活RMS之后，管理員能夠 使用兩個(gè)默認(rèn)模板，從而可以輕松地給敏感文件應(yīng)用策略 來(lái)限制只有授權(quán)用戶(hù)才能訪(fǎng)問(wèn)。

這兩個(gè)模板帶有權(quán)限策略限制，包括受保護(hù)內(nèi)容的只讀視圖，以及受保護(hù)內(nèi)容的只讀或者可更改權(quán)限。如上所述，IT團(tuán)隊(duì)還能夠?yàn)闄?quán)限管理和模板創(chuàng)建定義自定義的角色和權(quán)限。

Azure可能并沒(méi)有為每個(gè)服務(wù)都提供了企業(yè)想要的訪(fǎng)問(wèn)控制粒度。但是不管怎么說(shuō)，更好地理解RBAC實(shí)現(xiàn)，使用并且自定義 在ARM之內(nèi)并且通過(guò)自動(dòng)化的PowerShell或者CLI腳本 管理員能夠?yàn)閺V大用戶(hù)及其作業(yè)需求微調(diào)Azure的安全策略。

文章編輯：CobiNet(寧波)  
本公司專(zhuān)注于電訊配件,銅纜綜合布線(xiàn)系列領(lǐng)域產(chǎn)品研發(fā)生產(chǎn)超五類(lèi)，六類(lèi),七類(lèi)屏蔽網(wǎng)線(xiàn)/屏蔽模塊及相關(guān)模塊配件, 我們是萬(wàn)兆屏蔽模塊，10G屏蔽模塊，屏蔽線(xiàn)生產(chǎn)廠(chǎng)家。

歡迎來(lái)電咨詢(xún)0574 88168918,郵箱sales@cobinet.cn，網(wǎng)址www.10166888.com