Azure角色管理技巧和工具

Azure Resource Manager(Azure资源管理器),公有云平台的管理门户,提供了一系列特性,来管理Azure角色,访问控制和安全策略。但是因为Azure用户的多样性,用户包括服务提供商,中央IT基础架构经理,IT运维团队和应用程序开发人员,Azure资源管理器可能有些混乱——特别是在控制服务访问和配置的时候。

本文深入探讨Azure资源管理器(ARM)基于角色的访问控制(RBACs),包括其和底层Azure预配概念,安全和认证管理特性的关系以及常见的用户场景。

1.Azure RBAC基础知识

在深入RBACs之前,理解Azure服务预配和使用的基本概念很重要,特别是计划、offer、订阅、配额、服务和角色之间的区别。

服务:Azure里最基本的消费单元。服务包括资源,比如虚拟机(VM),对象存储或者关系数据库。

计划:提供给用户的一些服务,比如一系列VM实例,存储和数据库类型,以及任何使用限制,比如域可用性或者资源配额。计划通常针对特定的IT角色,比如开发人员或者数据科学家,或者针对负载需求来量体定制。

Offer:订阅可用的某个或者多个计划的组合。Offer是用户选择订阅的实际产品集。

订阅:某个公司和某个云服务提供商之间的协议,按照订阅计划所定义的,来授予权限,从而消费某个或者多个服务。企业可能有一个或者多个订阅。

配额:作为计划的一部分来定义的服务限制。比如,Azure的免费层,本质上也是一个计划,限制用户可以在一个月内免费使用14个VM,40个SQL数据库和8 TB的存储空间。

角色:分配给某个个人或者组织的一系列访问,管理和使用权限。

使用Azure公有云时,计划和offer之间的差异并不明显,因为Microsoft在后台定义了这些。但是,当使用第三方Azure服务提供商,或者使用Azure Stack来构建私有云的话,这两者之间的差别就变得重要了。这很可能会给不同的组织,企业或者负载需求提供更多的不同粒度的服务包。对于Azure基于角色的访问控制而言,这两者的区别也比较重要,因为订阅和管理用户和组织身份的目录有关系。

管理员从用户目录定义Azure RBACs,并且每个订阅只能信任一个目录。小型开发团队可以使用Azure和Microsoft账号系统里所定义的用户和组;所有Azure角色和控制必须使用Microsoft账号来定义。如果企业之后才引入的Azure,可以将企业的活动目录(AD)和Azure同步,并且使用其设置策略,IT团队必须使用AD身份重新创建开发人员角色。因为个人或者组可能拥有多个订阅,所以务必确保每个订阅使用相同的用户目录来保证一致性。

无论是Azure还是其他系统,所有RBACs的指导性原则都是最小特权原则:终端用户必须仅拥有完成工作所必须的访问权限。Azure通过仅仅允许终端用户在显式定义了权限的资源上执行操作,来强制遵守最小特权原则。没有默认的权限,除非企业为所有资源将全局组应用到某个特定角色上。

在Azure上,RBACs遵循和AD使用类似的先序分层原则——针对用户,组和控制使用全局,父和子域

标准Azure角色

Microsoft定义了三种基础Azure角色:

所有者:拥有完整的管理权限

贡献者:拥有完整的管理权限,除了用户管理权限

只读者:能够查看资源权限

Microsoft还有更加具体的内置Azure角色的列表。比如,自动运维人员(Automation Operator)角色允许其成员启动,停止,暂停并且恢复作业。DevTest Labs用户能够查看所有东西,并且能够连接,启动,重启以及关闭VM。

Azure还支持自定义角色,管理员可以将其分配给整个订阅里的,或者某个特定资源或资源组的用户,组或者应用程序。管理员使用JSON语法定义这些自定义的Azure角色。不管是自定义的还是预定义好的角色,都能够通过ARM web门户来定义该角色的成员。但是,管理员也可以使用PowerShell,Azure命令行接口(CLI)或者REST API来自动化大规模的指派任务。

Microsoft为如下动作提供了PowerShell cmdlet:

Get-AzureRoleAssignment:获得分配给某个用户的角色。

Get-AzureRoleDefinition:列出某个角色的Actions和NotActions

New-AzureRoleAssignment:给某个用户或者组分配角色。

Remove-AzureRoleAssignment:从用户或者组里移除角色指派

2.Azure RMS基于角色的管理

一些IT团队抱怨Azure缺乏基于角色的管理,特别是Azure Rights Management(RMS,权限管理),Office 365,、Exchange 和 SharePoint使用的预防数据损失功能。一些人错误地认为Azure要求终端用户必须是全局管理员,才能管理RMS模板。但是,Azure文档上写到,在激活RMS之后,管理员能够“使用两个默认模板,从而可以轻松地给敏感文件应用策略”来限制只有授权用户才能访问。

这两个模板带有权限策略限制,包括受保护内容的只读视图,以及受保护内容的只读或者可更改权限。如上所述,IT团队还能够为权限管理和模板创建定义自定义的角色和权限。

Azure可能并没有为每个服务都提供了企业想要的访问控制粒度。但是不管怎么说,更好地理解RBAC实现,使用并且自定义——在ARM之内并且通过自动化的PowerShell或者CLI脚本——管理员能够为广大用户及其作业需求微调Azure的安全策略。

本文作者:佚名

来源:51CTO

时间: 2024-11-17 08:11:39

Azure角色管理技巧和工具的相关文章

每日Ubuntu小技巧:Ubuntu下一款和Windows磁盘管理一样的工具

对于一些用惯了Windows的用户来说,刚开始接触Ubuntu的时候会面临这样的一个问题,这个问题在很多论坛里面也经常出现,前段时间也有位读者问到相同的问题: 在 Ubuntu 中有和 Windows 下的磁盘管理一样的工具么? 对于那些不太清楚磁盘管理的用户,下面有个简单介绍. 磁盘管理是一个从 Windows XP 起就有的默认工具,其主要负责磁盘相关的任务,比如:创建和格式化磁盘.初始化磁盘,重新划分磁盘大小和指定分区号以及删除分区. 在 Windows 下用户使用和磁盘分区管理相关的命令

如何使用Azure API管理服务?

对打通云应用之间的通信而言,API至关重要,正确管理这些API也非常关键.让我们从学习Azure的API服务来开始这一进程. 在云和微服务架构时代,API是数字化业务的通用语言.根据分析公司Forrester Research预测,仅在美国,API管理工具的支出将在未来5年内达到近30亿美元.微软凭借其Azure API管理服务,在这块快速增长的市场中分得了一杯羹. Microsoft服务允许组织发布和管理API,保护和监控API的使用.该服务有三个主要组成部分: 开发人员门户网站是自助前端,为

使用 IIS 进行 ASP.NET 2.0 成员/角色管理(2):实现

asp.net|iis 摘要:本文介绍如何通过创建三层结构式 ASP.NET 2.0 应用程序来维护 IIS 生产服务器中的成员身份数据库和角色数据库. 简介 成员身份编辑器 Microsoft Visual Studio 2005 版本中没有用于维护 Microsoft IIS 中的成员身份数据库和角色数据库的"现成"解决方案.将开发环境中的应用程序移至 IIS 生产服务器时这就会是个问题.Microsoft 提供的实用程序 ASP.NET Web Configuration 只能在

防止泄露事故的四个身份管理技巧

本文讲的是防止泄露事故的四个身份管理技巧,虽然2014年的很多大型数据泄露事故都源自于外部攻击,但事实是,内部攻击仍然是安全人员的首要考虑问题.事实上,根据PwC最新发表的报告显示,来自现任和前任员工的恶意行为是被提及次数最多网络安全风险,超过了有组织的罪犯.民族国家或其他外部攻击者的攻击行为.在该报告发布后不久,安全行业就证实了这个问题,据报道,AT&T某员工成功地进入客户数据库并访问了约1600位电信用户的敏感信息. 这个数据泄露事故再次强调了特权身份管理和身份识别监控的重要性,企业应该确保

oracle用户权限、角色管理详解_oracle

Oracle 权限设置 一.权限分类: 系统权限:系统规定用户使用数据库的权限.(系统权限是对用户而言). 实体权限:某种权限用户对其它用户的表或视图的存取权限.(是针对表或视图而言的). 二.系统权限管理: 1.系统权限分类: DBA: 拥有全部特权,是系统最高权限,只有DBA才可以创建数据库结构. RESOURCE:拥有Resource权限的用户只可以创建实体,不可以创建数据库结构. CONNECT:拥有Connect权限的用户只可以登录Oracle,不可以创建实体,不可以创建数据库结构.

论坛日常管理技巧经验分享 写给广大版主

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 今天给了一篇[论坛运营的思路及建议-写给新街口站长的信].之后特意去网上搜了一下关于论坛日常管理技巧的文章却少的可怜.版主其实在论坛里扮演着至关重要的角色,如果说论坛是一个国家,论坛的站长就是皇帝,而版主就是大臣,他们分管着整个国家各项事务的处理.一个优秀的版主可以很好的带动论坛的互动性,一个亲和的版主可以提高论坛的粘稠度.一个严格的版主可以

Browser Diet:网页前端性能优化的各种技巧和工具

文章描述:如何给网站瘦身?图文并茂的前端性能优化指南. 提高网站的速度对网站的成功有巨大的影响,因为网站的加载速度直接影响到用户体验和搜索引擎排名.Browser Diet 是一个非常好的指南,列出了前端性能优化的各种技巧和工具. 这是一个由 HTML,CSS,JS,服务器,图像和网站相关领域的众多专家组成的团队编写的,相比网络上的其它内容,这个指南图文并茂,生动有趣.此外,该指南不仅列出性能优化的步骤,同时还详细的介绍了如何实现. 官方主页 GitHub

使用 IIS 进行ASP.NET 成员/角色管理(1):安全和配置概述

asp.net|iis|安全 适用于: Microsoft ASP.NET 2.0 Microsoft Visual Studio 2005 Microsoft Internet 信息服务 摘要:Peter Kellner 就创建应用程序来管理 Microsoft ASP.NET 2.0 成员身份数据库写了两篇文章,这是第一篇.本文主要论述如何保证解决方案的安全性以确保只有适合的管理员才能访问这些数据. 摘要 本系列由两篇文章组成,论述如何安全使用和设置用于管理 ASP.NET Membersh

浏览器间切换的5个技巧或工具

网页制作Webjx文章简介:五种在多个浏览器间切换的方法与工具(前端开发技巧). 对于网站前端开发者.用户体验设计师.互联网产品工程人员,以及广大站长.博客主.深度用户而言,往往有着一个共同的需求:需要时常在多个浏览器之间切换使用,以检查页面效果.测试产品性能,或是同时用几个账号身份登录相同的页面. 目前国际主流的浏览器主要是以下五个:微软的IE,当年以捆绑方式占据超高市场份额,当之无愧却渐显疲态的老大:Firefox,势头强劲.功能齐全的后起之秀,IE的最大挑战者:Chrome,来自另一位互联