BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Azure发布基于角色的访问控制通用版本

| 作者 Kent Weare 关注 11 他的粉丝 ,译者 艾利特 关注 0 他的粉丝 发布于 2016年1月13日. 估计阅读时间: 3 分钟 | ArchSummit北京2018 共同探讨机器学习、信息安全、微服务治理的关键点

2015年10月份,微软宣布Azure基于角色的访问控制(RBAC)功能已完成了通用版本。开发此功能的目的是为组织提供更精准的粒度,尤其是当个人或团体访问Azure资源和服务器的时候。

RBAC可以提供中心治理模式,这个中心治理模式意即IT维护部门可以对云环境进行总体控制,可以利用团队所具有的访问服务器的级别来分配DevOps或项目。微软项目经理Dushyant Gill进一步解释说,“使用Azure RBAC,就能实现项目团队的云资源自助管理,同时还能保留对安全基础设施的集中控制权。举例来说,项目团队创建和管理自己的虚拟机和存储帐户需要一个共同的设置是,而这个设置必须要连接到中央管理网络。”

正如微软高级技术开发者Ingrid Henkel所说的那样,微软在分配权限给不同身份和团队的时候,使用分层的方法,“Azure里的每一个订阅都仅属于一个目录,每个资源组都只属于一个订阅,并且每一个资源也只属于一个资源组。”

一旦使用RBAC,用户就只有通过分配到的合适的RBAC角色才能在正确的范围内访问。一个用户只需要访问特定资源,而不能访问订阅中的其他资源。

从历史上看,在经典的订阅模式里,管理员和联合管理员具有访问Azure订阅的全部权限。这往往会导致企业用户有更多的可访问的内容。在新的RBAC模型中,有3种基本的内置角色:

  • RBAC角色拥有者有充分的资源和授权访问能力
  • 访问贡献者可以创建和管理Azure资源,但不能授权访问
  • 授权访问的读者只能查看现有的Azure资源

经典模型中的管理员在RBAC模型中其实已经拥有所有者权限了。除了这些基本的内置功能,微软为具体的产品和服务发布了一个完整的内置角色清单,例如包括SQL数据库和网络贡献者。

RBAC模型不仅支持权限继承,还能将权限继续从订阅级联到资源组。如果将继承权限应用于某个资源组,则该权限级别将属于该资源组。如果权限被继承,只有最高级别的管理者才能对其权限栈进行修改。RBAC权限在很多经典入口是找不到的,但是却可以在新的Azure入口分配。RBAC权限还可以被应用于使用PowerShell或Azure的命令行界面。

对于具备自定义功能的组织方来说,他们有能力使用RBAC命令行工具。这有点像内置功能,可以分配给用户、团队和应用程序。在下图中,有一个被称为Virtual Machine Operator的自定义规则,提供所有必要的权限或操作来监视和重启虚拟机。

微软还提供了一份报告,这份报告指出组织应该从整体角度看待在过去90天里所有已经授权或已撤销的权限。

查看英文原文:Azure Role-based Access Control Reaches General Availability


感谢艾利特对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者(已满),InfoQ读者交流群(#2)InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT