文章

角色型存取控制 (RBAC)

發布於 更新於
作者 Ned Hsu 9 分鐘閱讀

角色型存取控制 (Role-Based Access Control, RBAC) 是 Azure 中用來管理使用者對資源存取權限的一種安全機制。RBAC 基於「最小權限原則」,確保使用者僅能執行其工作所需的操作,從而提升整體安全性並減少潛在風險。

一、RBAC 的基本概念

1. 什麼是 RBAC?

  • 定義:RBAC 是一種存取控制方法,它通過為使用者分配特定角色來管理他們對資源的操作權限。每個角色對應一組預定義的權限,這些權限定義了使用者可以在資源上執行的操作(例如讀取、寫入、刪除)。
  • 最小權限原則:RBAC 遵循最小權限原則,確保使用者僅擁有完成其工作所需的最小權限,以降低安全風險。

2. RBAC 的基本元素

  • 角色 (Role):角色是權限的集合,定義了可以對特定資源執行的操作。Azure 提供了多種內建角色,且允許自定義角色。
  • 指派 (Assignment):指派是將一個角色賦予一個使用者、群組、或服務主體,使其能夠在特定範圍內對資源執行角色定義的操作。
  • 範圍 (Scope):範圍定義了角色指派生效的資源範圍,範圍可以是管理群組、訂閱、資源群組或單一資源。

二、RBAC 的運作方式

1. 角色

  • 內建角色:Azure 提供了一些常用的內建角色,例如:
    • 擁有者 (Owner):擁有對範圍內所有資源的完整存取權限,包括指派角色。
    • 參與者 (Contributor):擁有範圍內所有資源的管理權限,但無法指派角色。
    • 讀者 (Reader):僅具有範圍內所有資源的讀取權限。
  • 自訂角色:如果內建角色不符合特定需求,您可以創建自訂角色,定義特定的權限集。

2. 範圍

  • 管理群組 (Management Group):適用於組織層級的角色指派,影響所有訂閱和資源群組。
  • 訂閱 (Subscription):角色指派影響該訂閱中的所有資源群組和資源。
  • 資源群組 (Resource Group):角色指派僅影響該資源群組中的資源。
  • 資源 (Resource):角色指派僅影響特定的資源,如虛擬機器或存儲帳戶。

3. 指派角色的過程

  • 選擇範圍:首先確定角色指派的範圍,是管理群組、訂閱、資源群組還是單一資源。
  • 選擇角色:選擇適合的內建角色或自訂角色。
  • 選擇對象:選擇需要指派角色的對象(使用者、群組、服務主體)。
  • 確認和指派:確認配置後,完成角色的指派。

三、RBAC 的實踐應用

1. 常見場景

  • 分配資源管理權限:使用 RBAC,您可以為不同團隊或部門分配資源管理權限。例如,您可以為開發團隊分配「參與者」角色,允許他們管理應用程式,但無法更改安全性設置。
  • 分配監控權限:您可以為運營團隊分配「讀者」角色,允許他們監控系統但不進行更改。
  • 最低權限管理:針對敏感資源,您可以設置自訂角色,僅賦予特定操作的權限,例如允許備份操作但不允許刪除資源。

2. 管理角色指派

  • 使用 Azure Portal:在 Azure Portal 中,您可以輕鬆地為使用者或群組指派角色,並在資源的「存取控制 (IAM)」面板中查看和管理現有的角色指派。
  • 使用 Azure CLI 或 PowerShell:您可以通過 Azure CLI 或 PowerShell 指派和管理角色,這對於自動化任務非常有用。例如,使用 PowerShell 指派「參與者」角色:
    1

    New-AzRoleAssignment -ResourceGroupName "MyResourceGroup" -SignInName "user@example.com" -RoleDefinitionName "Contributor"
  • 審核角色指派:定期審查角色指派,確保符合最小權限原則,並移除不再需要的指派。

四、RBAC 與其他 Azure 安全功能的結合

1. 與 Azure AD 的結合

  • 使用者和群組管理:Azure AD 負責管理使用者和群組,而 RBAC 則控制這些使用者和群組在 Azure 資源中的存取權限。
  • 角色與條件式存取:RBAC 可以與 Azure AD 的條件式存取策略結合,根據使用者的身份和環境動態調整其存取權限。

2. 與資源原則的結合

  • 資源原則 (Azure Policy):Azure Policy 用於強制執行資源配置標準,而 RBAC 則控制誰能夠創建、修改或刪除資源。這兩者結合使用可以更好地確保資源符合合規要求。

3. 與藍圖 (Azure Blueprints) 的結合

  • Azure Blueprints:Azure Blueprints 可幫助您自動部署一組 Azure 資源,並將 RBAC 角色指派作為藍圖的一部分,以確保資源的安全性配置符合預期。

五、RBAC 的最佳實踐

1. 遵循最小權限原則

  • 確保使用者只擁有其工作所需的最小權限,避免授予過多權限。

2. 定期審查角色指派

  • 定期審查和更新角色指派,移除不再需要的指派,確保權限不會被過度擴大。

3. 使用群組來簡化管理

  • 將使用者添加到 Azure AD 群組中,然後為群組指派角色,這樣可以簡化管理並提高靈活性。

4. 使用自訂角色

  • 根據特定需求創建自訂角色,以滿足特殊的安全性或操作要求。

5. 日誌記錄與監控

  • 使用 Azure Monitor 和 Azure Security Center 來監控角色指派和存取行為,並確保及時發現異常活動。

總結

RBAC 是 Azure 中關鍵的安全機制,幫助您根據角色分配來控制資源存取權限。通過合理配置 RBAC,您可以確保資源的安全性,遵循最小權限原則,並將權限管理簡化。同時,與 Azure 的其他安全功能結合使用,可以進一步強化整體安全性並確保合規。

Software, Azure
Azure Cloud Service
本文章以 CC BY 4.0 授權