Azure角色管理技巧和工具

日期:2016-8-31作者:Kurt Marko翻译:崔婧雯 来源:TechTarget中国 英文

【TechTarget中国原创】

Azure Resource Manager(Azure资源管理器),公有云平台的管理门户,提供了一系列特性,来管理Azure角色,访问控制和安全策略。但是因为Azure用户的多样性,用户包括服务提供商,中央IT基础架构经理,IT运维团队和应用程序开发人员,Azure资源管理器可能有些混乱——特别是在控制服务访问和配置的时候。

本文深入探讨Azure资源管理器(ARM)基于角色的访问控制(RBACs),包括其和底层Azure预配概念,安全和认证管理特性的关系以及常见的用户场景。

1.Azure RBAC基础知识

在深入RBACs之前,理解Azure服务预配和使用的基本概念很重要,特别是计划、offer、订阅、配额、服务和角色之间的区别。

服务:Azure里最基本的消费单元。服务包括资源,比如虚拟机(VM),对象存储或者关系数据库。

计划:提供给用户的一些服务,比如一系列VM实例,存储和数据库类型,以及任何使用限制,比如域可用性或者资源配额。计划通常针对特定的IT角色,比如开发人员或者数据科学家,或者针对负载需求来量体定制。

Offer:订阅可用的某个或者多个计划的组合。Offer是用户选择订阅的实际产品集。

订阅:某个公司和某个云服务提供商之间的协议,按照订阅计划所定义的,来授予权限,从而消费某个或者多个服务。企业可能有一个或者多个订阅。

配额:作为计划的一部分来定义的服务限制。比如,Azure的免费层,本质上也是一个计划,限制用户可以在一个月内免费使用14个VM,40个SQL数据库和8 TB的存储空间。

角色:分配给某个个人或者组织的一系列访问,管理和使用权限。

使用Azure公有云时,计划和offer之间的差异并不明显,因为Microsoft在后台定义了这些。但是,当使用第三方Azure服务提供商,或者使用Azure Stack来构建私有云的话,这两者之间的差别就变得重要了。这很可能会给不同的组织,企业或者负载需求提供更多的不同粒度的服务包。对于Azure基于角色的访问控制而言,这两者的区别也比较重要,因为订阅和管理用户和组织身份的目录有关系。

Azure角色管理技巧和工具

管理员从用户目录定义Azure RBACs,并且每个订阅只能信任一个目录。小型开发团队可以使用Azure和Microsoft账号系统里所定义的用户和组;所有Azure角色和控制必须使用Microsoft账号来定义。如果企业之后才引入的Azure,可以将企业的活动目录(AD)和Azure同步,并且使用其设置策略,IT团队必须使用AD身份重新创建开发人员角色。因为个人或者组可能拥有多个订阅,所以务必确保每个订阅使用相同的用户目录来保证一致性。

Azure角色管理技巧和工具

无论是Azure还是其他系统,所有RBACs的指导性原则都是最小特权原则:终端用户必须仅拥有完成工作所必须的访问权限。Azure通过仅仅允许终端用户在显式定义了权限的资源上执行操作,来强制遵守最小特权原则。没有默认的权限,除非企业为所有资源将全局组应用到某个特定角色上。

在Azure上,RBACs遵循和AD使用类似的先序分层原则——针对用户,组和控制使用全局,父和子域

标准Azure角色

Microsoft定义了三种基础Azure角色:

所有者:拥有完整的管理权限

贡献者:拥有完整的管理权限,除了用户管理权限

只读者:能够查看资源权限

Microsoft还有更加具体的内置Azure角色的列表。比如,自动运维人员(Automation Operator)角色允许其成员启动,停止,暂停并且恢复作业。DevTest Labs用户能够查看所有东西,并且能够连接,启动,重启以及关闭VM。

Azure还支持自定义角色,管理员可以将其分配给整个订阅里的,或者某个特定资源或资源组的用户,组或者应用程序。管理员使用JSON语法定义这些自定义的Azure角色。不管是自定义的还是预定义好的角色,都能够通过ARM web门户来定义该角色的成员。但是,管理员也可以使用PowerShell,Azure命令行接口(CLI)或者REST API来自动化大规模的指派任务。

Microsoft为如下动作提供了PowerShell cmdlet:

Get-AzureRoleAssignment:获得分配给某个用户的角色。

Get-AzureRoleDefinition:列出某个角色的Actions和NotActions

New-AzureRoleAssignment:给某个用户或者组分配角色。

Remove-AzureRoleAssignment:从用户或者组里移除角色指派

2.Azure RMS基于角色的管理

一些IT团队抱怨Azure缺乏基于角色的管理,特别是Azure Rights Management(RMS,权限管理),Office 365,、Exchange 和 SharePoint使用的预防数据损失功能。一些人错误地认为Azure要求终端用户必须是全局管理员,才能管理RMS模板。但是,Azure文档上写到,在激活RMS之后,管理员能够“使用两个默认模板,从而可以轻松地给敏感文件应用策略”来限制只有授权用户才能访问。

这两个模板带有权限策略限制,包括受保护内容的只读视图,以及受保护内容的只读或者可更改权限。如上所述,IT团队还能够为权限管理和模板创建定义自定义的角色和权限。

Azure可能并没有为每个服务都提供了企业想要的访问控制粒度。但是不管怎么说,更好地理解RBAC实现,使用并且自定义——在ARM之内并且通过自动化的PowerShell或者CLI脚本——管理员能够为广大用户及其作业需求微调Azure的安全策略。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

云计算之管理>更多

  • 剑走偏锋:Azure新许可亮新招

    即用即付定价一直是公有云自成立以来的中心原则,但是未来的Microsoft Azure客户想要走这条路线需要找到一些值得注意的字符串。

  • 多云工作负载迁移:自动化是何作用?

    云计算正在发展进入一个崭新的、更成熟的阶段。云规划和部署的关注点已经从低效应用的远程托管转至对云的支持,并将其作为开发人员所使用的虚拟应用平台。

  • 逐条讲解:谷歌云存储服务

    企业选择采用云模型有很多理由,但是,存储仍是一个关键的驱动力。主要的云提供商,如AWS、Azure和谷歌,他们都提供了不同的存储类型和工具,来组织和管理存储的数据。

  • Azure Premium Storage账单如何工作?

    对于那些必须管理和维护昂贵硬件的企业来说,在云中存储数据是一个很有吸引力的替代方案。优势包括备份和恢复方案的平滑自动化、增强的可访问性和可扩展性。

相关推荐

技术手册>更多

  • 移动云计算应用开发全解

    在过去,移动应用一直被分为本地应用程序或网络应用程序两类。在这本技术手册中,我们把网络应用程序归类为移动云应用范畴,因为网络应用程序在移动设备之外运行,而其数据存储也在移动设备以外。“移动云计算”一词通常是指被扩展以处理移动设备的企业云计算基础设施。被提供给用户使用的数据存储和计算处理资源都在云计算平台端而不是在移动设备本身。下面我们就来看看如何开发出顺应BYOD趋势的完整移动云应用。

  • 云服务模式安全性评估手册

    2012年TechTarget中国云安全调查结果显示,目前已经有79.6%的企业正在进行或者考虑采用云服务,形式包括PaaS、Iaas、SaaS、云存储/备份、私有云和混合云。这也从一个侧面反映了企业对于云计算的认可已经逐渐加强,不再云里雾里。但是谈到云计算安全性的时候,认为云计算安全和不安全的受访者基本持平,分别为51.9%(安全)和48.1%(不安全)。本技术手册中,我们将从三个方面评估并实现云服务模式的安全性。

  • 云计算提供商OpenFlow指南

    软件定义网络(SDN)以及其最清晰可见的协议OpenFlow已经引发了热烈的讨论。几乎每一个主要的路由器和以太网交换机厂商都宣布“支持”OpenFlow,引出了数个会议的召开和初创公司的成立。作为主要的云运营商,比如谷歌和威瑞森(Verizon)已经测试和部署OpenFlow,其他的网络运营商和提供商急于知道在所有的兴奋点之下,是否有实体产生,尤其是这个实体有哪些本质的好处。在《云计算提供商OpenFlow指南》中,我们将简要介绍OpenFlow与SDN的关系,以及OpenFlow与云计算的关系,同时提供一些OpenFlow云提供商。

  • 智能云网络分析技术手册

    随着云计算、虚拟网络的普及,接入网络的设备不断增加,新型应用需求的也在不断增长,网络监控的复杂性已经成为企业面临的重要IT挑战,网络性能监控工具也面临更大的挑战。云计算和大数据这样的新技术理念的出现,导致网络中的流量不断增长,而且流量的类型也在不断改变,如涵盖了更多的视频和语音数据等,不断增强的保护网络的意识也促使企业采用监控和分析工具。本技术手册将会着重介绍云计算时代,作为瓶颈的网络如何保障自身安全,以及网络分析技术对于云计算的影响。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心