Azure Resource Manager(Azure資源管(guan)理器)，公有(you)云(yun)平臺的管(guan)理門戶(hu)，提供了(le)一系(xi)列特(te)性，來(lai)管(guan)理Azure角色，訪問(wen)控制和(he)安(an)全(quan)策略(lve)。但是(shi)因為Azure用戶(hu)的多(duo)樣性，用戶(hu)包括服(fu)務提供商，中央IT基礎架(jia)構經理，IT運維團隊和(he)應用程序開發人(ren)員，Azure資源管(guan)理器可能(neng)有(you)些混亂 特(te)別是(shi)在控制服(fu)務訪問(wen)和(he)配置的時候。

本文深入探討(tao)Azure資源(yuan)管理(li)器(qi)(ARM)基于角(jiao)色的(de)訪問(wen)控制(RBACs)，包括其和(he)底(di)層Azure預配概念，安全(quan)和(he)認證管理(li)特性(xing)的(de)關系以及常見的(de)用戶場景(jing)。

1.Azure RBAC基礎知識

在(zai)深入(ru)RBACs之前，理解Azure服(fu)務(wu)預(yu)配(pei)和使用的基本概念很重要(yao)，特別是計劃(hua)、offer、訂閱(yue)、配(pei)額、服(fu)務(wu)和角色(se)之間的區(qu)別。

服(fu)務：Azure里最基(ji)本的(de)消費單元。服(fu)務包(bao)括(kuo)資源，比如虛擬機(VM)，對象存儲或者關系數據(ju)庫。

計劃：提(ti)供給用(yong)戶的一些服務，比(bi)如(ru)(ru)一系(xi)列VM實例，存儲和數(shu)據(ju)庫(ku)類型，以及任(ren)何(he)使用(yong)限制，比(bi)如(ru)(ru)域(yu)可用(yong)性或(huo)者(zhe)(zhe)資源配額。計劃通常針對特(te)定(ding)(ding)的IT角色，比(bi)如(ru)(ru)開(kai)發人(ren)員或(huo)者(zhe)(zhe)數(shu)據(ju)科學家，或(huo)者(zhe)(zhe)針對負載需(xu)求(qiu)來量(liang)體定(ding)(ding)制。

Offer：訂(ding)閱(yue)可用的某(mou)個或者多個計劃的組(zu)合(he)。Offer是用戶選擇(ze)訂(ding)閱(yue)的實際產品集。

訂閱：某個(ge)(ge)(ge)公司和(he)某個(ge)(ge)(ge)云(yun)服務提供商之間的協議，按(an)照(zhao)訂閱計劃(hua)所(suo)定義的，來授(shou)予權(quan)限，從(cong)而消費某個(ge)(ge)(ge)或者(zhe)多個(ge)(ge)(ge)服務。企業可能(neng)有一個(ge)(ge)(ge)或者(zhe)多個(ge)(ge)(ge)訂閱。

配(pei)額：作為計(ji)劃(hua)的(de)(de)一(yi)部分來定義的(de)(de)服務限制。比如，Azure的(de)(de)免費(fei)(fei)層，本(ben)質上(shang)也是一(yi)個(ge)計(ji)劃(hua)，限制用(yong)戶可以在一(yi)個(ge)月內免費(fei)(fei)使用(yong)14個(ge)VM，40個(ge)SQL數據庫和8 TB的(de)(de)存(cun)儲空間。

角(jiao)色(se)：分配給某個個人或者(zhe)組織(zhi)的一系列訪問，管理和使用權限。

使用(yong)Azure公有云(yun)時，計(ji)劃和offer之間的差異并不明(ming)顯，因為Microsoft在后臺(tai)定(ding)義了這些。但是，當使用(yong)第三方Azure服務提(ti)供商，或者(zhe)(zhe)使用(yong)Azure Stack來構建私(si)有云(yun)的話(hua)，這兩(liang)者(zhe)(zhe)之間的差別就變得重(zhong)要了。這很(hen)可能會(hui)給不同的組織(zhi)，企業或者(zhe)(zhe)負載需求提(ti)供更多的不同粒度的服務包(bao)。對(dui)于Azure基(ji)于角(jiao)色的訪問(wen)控制而言，這兩(liang)者(zhe)(zhe)的區別也比較(jiao)重(zhong)要，因為訂閱和管(guan)理用(yong)戶和組織(zhi)身份(fen)的目錄有關系(xi)。

管(guan)理員從用(yong)戶(hu)目(mu)(mu)錄定(ding)義(yi)Azure RBACs，并且(qie)每個訂閱只能信(xin)任一個目(mu)(mu)錄。小型(xing)開發(fa)團隊可(ke)以使(shi)(shi)(shi)用(yong)Azure和(he)Microsoft賬(zhang)(zhang)號系(xi)統里所定(ding)義(yi)的(de)用(yong)戶(hu)和(he)組;所有Azure角色和(he)控制必(bi)須使(shi)(shi)(shi)用(yong)Microsoft賬(zhang)(zhang)號來定(ding)義(yi)。如果(guo)企(qi)業之(zhi)后才引入的(de)Azure，可(ke)以將企(qi)業的(de)活(huo)動目(mu)(mu)錄(AD)和(he)Azure同(tong)(tong)步，并且(qie)使(shi)(shi)(shi)用(yong)其設置策略(lve)，IT團隊必(bi)須使(shi)(shi)(shi)用(yong)AD身份重新創建(jian)開發(fa)人員角色。因為個人或者(zhe)組可(ke)能擁有多個訂閱，所以務必(bi)確保(bao)每個訂閱使(shi)(shi)(shi)用(yong)相同(tong)(tong)的(de)用(yong)戶(hu)目(mu)(mu)錄來保(bao)證一致性。

無論是Azure還(huan)是其他系(xi)統，所有(you)(you)(you)RBACs的指(zhi)導性原(yuan)則(ze)都是最(zui)小特(te)(te)權(quan)原(yuan)則(ze)：終端用(yong)戶(hu)必須僅擁有(you)(you)(you)完成工作所必須的訪問權(quan)限(xian)(xian)。Azure通(tong)過僅僅允許終端用(yong)戶(hu)在顯式定義了(le)權(quan)限(xian)(xian)的資(zi)源上執行操作，來強制遵守最(zui)小特(te)(te)權(quan)原(yuan)則(ze)。沒有(you)(you)(you)默認的權(quan)限(xian)(xian)，除非企(qi)業為所有(you)(you)(you)資(zi)源將全(quan)局組(zu)應用(yong)到(dao)某個特(te)(te)定角色(se)上。

在(zai)Azure上，RBACs遵循和(he)(he)AD使(shi)用類似的先序分層原則 針對(dui)用戶(hu)，組和(he)(he)控制使(shi)用全局(ju)，父和(he)(he)子域(yu)

標(biao)準Azure角色

Microsoft定義了三種基礎Azure角色：

所有者：擁有完整的管理(li)權限

貢獻者：擁有完整的管理權(quan)限，除(chu)了用(yong)戶管理權(quan)限

只讀(du)者：能夠(gou)查看資(zi)源權限

Microsoft還有(you)更加(jia)具體的內置Azure角(jiao)色(se)的列表(biao)。比如，自(zi)動運維人員(Automation Operator)角(jiao)色(se)允許其成員啟(qi)動，停(ting)止，暫停(ting)并(bing)且恢復作業。DevTest Labs用戶能(neng)(neng)夠(gou)查(cha)看所有(you)東西(xi)，并(bing)且能(neng)(neng)夠(gou)連接，啟(qi)動，重啟(qi)以(yi)及關閉(bi)VM。

Azure還(huan)支持自(zi)定(ding)義(yi)(yi)角色(se)，管(guan)理員(yuan)(yuan)可以將其(qi)分配(pei)給整個訂閱里的(de)(de)，或者某個特定(ding)資源或資源組的(de)(de)用戶，組或者應用程(cheng)序。管(guan)理員(yuan)(yuan)使(shi)用JSON語法定(ding)義(yi)(yi)這些自(zi)定(ding)義(yi)(yi)的(de)(de)Azure角色(se)。不管(guan)是(shi)(shi)自(zi)定(ding)義(yi)(yi)的(de)(de)還(huan)是(shi)(shi)預定(ding)義(yi)(yi)好(hao)的(de)(de)角色(se)，都能夠通過(guo)ARM web門戶來定(ding)義(yi)(yi)該角色(se)的(de)(de)成(cheng)員(yuan)(yuan)。但是(shi)(shi)，管(guan)理員(yuan)(yuan)也可以使(shi)用PowerShell，Azure命(ming)令行接口(kou)(CLI)或者REST API來自(zi)動(dong)化(hua)大規模的(de)(de)指派任務。

Microsoft為如下動(dong)作提供(gong)了PowerShell cmdlet：

Get-AzureRoleAssignment：獲得分配給某(mou)個用戶(hu)的角(jiao)色。

Get-AzureRoleDefinition:列(lie)出某個角色(se)的Actions和(he)NotActions

New-AzureRoleAssignment:給某個用戶或(huo)者組分配(pei)角(jiao)色(se)。

Remove-AzureRoleAssignment:從用戶或者(zhe)組里移除(chu)角(jiao)色指派(pai)

2.Azure RMS基于角色的管理(li)

一些IT團隊抱(bao)怨Azure缺乏基于角色的管(guan)理(li)(li)(li)，特別是Azure Rights Management(RMS，權限管(guan)理(li)(li)(li))，Office 365,、Exchange 和(he) SharePoint使(shi)用的預防數據(ju)損(sun)失功能。一些人錯誤地(di)認為Azure要求終端用戶必(bi)須是全局管(guan)理(li)(li)(li)員(yuan)(yuan)，才能管(guan)理(li)(li)(li)RMS模(mo)板(ban)(ban)。但是，Azure文檔上寫到，在激(ji)活RMS之后，管(guan)理(li)(li)(li)員(yuan)(yuan)能夠(gou) 使(shi)用兩個默認模(mo)板(ban)(ban)，從而可以輕松地(di)給敏感文件應用策略 來限制只有授權用戶才能訪(fang)問。

這兩個模板帶有權(quan)限(xian)策略限(xian)制，包括受保護內容的只讀(du)視(shi)圖(tu)，以及受保護內容的只讀(du)或者(zhe)可(ke)更改權(quan)限(xian)。如(ru)上所述，IT團隊還能(neng)夠為(wei)權(quan)限(xian)管(guan)理和(he)模板創建定義自(zi)定義的角(jiao)色(se)和(he)權(quan)限(xian)。

Azure可能并沒有為每個(ge)服務都提供了企業想要(yao)的(de)訪問(wen)控制粒度。但是不(bu)管怎么說，更(geng)好地理解RBAC實現，使用并且(qie)自定(ding)義 在ARM之內并且(qie)通過自動化的(de)PowerShell或者(zhe)CLI腳本(ben) 管理員能夠為廣大用戶(hu)及(ji)其作業需求(qiu)微調Azure的(de)安全策(ce)略。

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類，六類,七類屏蔽網線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊，10G屏蔽模塊，屏蔽線生產廠家。

歡迎來電咨詢0574 88168918,郵(you)箱sales@aliance.cn，網址aliance.cn