Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Enklave unterstützt die granulare Delegierung von Berechtigungen mithilfe der systemeigenen rollenbasierten Zugriffssteuerung (RBAC) Azure. Die Delegierung stellt sicher, dass Sie Verantwortlichkeiten über Community-, Enklave- und Workloadgrenzen hinweg isolieren können, ohne die Sicherheit oder die Betriebsintegrität Ihrer Umgebungen zu beeinträchtigen.
In diesem Artikel wird erläutert, wie Azure Enklave RBAC implementiert und die integrierten Rollen eingeführt, mit denen Sie den Zugriff über die Azure Enklave-Hierarchie hinweg verwalten können.
Übersicht über Azure Enklave-Ressourcenhierarchie
Azure Enklave organisiert Ressourcen in drei logische Ebenen:
- Communities – Die übergeordnete Governance-Ebene für Ihre isolierten Umgebungen.
- Enklaven – Sichere, virtuelle netzwerkisolte Landungszonen, die in einer Community erstellt werden.
- Workloads – Anwendungen und Dienste, die in Enklave-Ressourcengruppen bereitgestellt werden.
Jede Ebene macht unterschiedliche Verwaltungsvorgänge verfügbar, und Azure Enklave bietet zweckorientierte Rollen zum Isolieren des Zugriffs über sie hinweg.
RBAC in Azure Enklave
RBAC in Azure Enclave wird mithilfe standardmäßiger RBAC-Rollenzuweisungen in Kombination mit Deny-Zuweisungen erzwungen, um eine feingranulare Kontrolle über von Community/Enclave verwaltete Ressourcen und Workloads zu ermöglichen.
Wichtige RBAC-Konzepte:
- Community- und Enklave-Zugriffssteuerungen - Verweigerungszuweisungen werden auf von Community und Enklave verwaltete Ressourcengruppen angewendet, um unbefugte Änderungen zu verhindern. Community-/ Enklave-Administratoreinstellungen bestimmen, welche Benutzer/Gruppen Rollenzuweisungen über verwaltete Ressourcen erhalten. Der Wartungsmodus bestimmt, wer bestimmte privilegierte Aktionen ausführen kann, die sich auf Sicherheit und Isolierung auswirken können.
- Workload Access Controls – Workload-Ressourcengruppen sind optional auch durch Verweigerungszuweisungen geschützt, um sicherzustellen, dass nur explizit definierte Benutzer/Gruppen privilegierten Zugriff über Workloadressourcen haben.
- Wartungsmodus – Gewährt explizit definierten Benutzern/Gruppen Ausnahmen von den Verweigerungszuweisungen für von Community und Enclave verwaltete Ressourcengruppen, damit sie privilegierte Aktionen an verwalteten Ressourcen durchführen können.
Integrierte Rollen für Azure Enklave
Die folgenden integrierten RBAC-Rollen werden in Azure Enclave bereitgestellt, um gängigen Betriebsmustern für Microsoft.Mission-Ressourcentypen zu entsprechen. Mit diesen Rollen können Sie dem Prinzip der geringsten Berechtigungen folgen, indem Sie nur den erforderlichen Zugriff zuweisen.
Rollen auf Communityebene
Rollen, die auf Gemeinschaftsebene gelten.
| Rollenname | Description |
|---|---|
| Besitzer der Community | Vollzugriff auf eine Community, einschließlich der Erstellung von Enklaven und der Verwaltung von Protokollierung und Diagnose. |
| Community-Mitwirkender | Kann Enklavenressourcen innerhalb der Community erstellen und verwalten, aber keine Rollen zuweisen. |
| Community-Reader | Nur-Lesezugriff auf die Community und alle darin enthaltenen Enklaven. |
Enklavenrollen
Rollen, die auf Enklavenebene gelten.
| Rollenname | Description |
|---|---|
| Enklave-Besitzer | Vollzugriff auf eine Enklave, einschließlich Netzwerk, Endpunktkonfiguration und Workloaderstellung. |
| Enklave-Mitwirkender | Kann Enklaveneinstellungen ändern und Workloads bereitstellen, aber keine RBAC-Rollen zuweisen. |
| Enklave Reader | Reiner Lesezugriff auf Enklavenmetadaten, Endpunkte und zugehörige Workloads. |
| Enclave-Genehmigerrolle | Kann Enklavendetails anzeigen und Bereitstellungs- oder Aktualisierungsanforderungen innerhalb von gated-Workflows genehmigen. |
Zugriff auf Workloads
Azure Enklave führt keine neuen workloadspezifischen Rollen ein. Stattdessen verwenden Sie standardmäßige Azure RBAC-Rollen (z. B. Mitwirkender, Leser, Besitzer) auf Ressourcengruppenebene der Workload, um den Zugriff auf bereitgestellte Anwendungen und Dienste zu steuern.
Isolieren des Zugangs innerhalb Azure Enklave
RBAC in Azure Enclave wird absichtlich überschichtet, damit Sie diskrete Teams oder Personas verschiedenen Bereichen zuweisen können:
- Das Plattformteam beauftragte den Community-Verantwortlichen, die Governance-Grenze einzurichten.
- Cloud Network Engineers erhalten Enklave Owner-Zugriff zum Verwalten von Ressourcen auf Enklave-Ebene.
- App-Entwicklern oder Workload-Administratoren werden die Rollen „Mitwirkender“ oder „Leser“ nur auf Ebene der Workload-Ressourcengruppe gewährt.
- Sicherheits- und Überwachungsteams erhalten Enklave Reader oder Community Reader , um die Infrastruktur zu überwachen, ohne Konfigurationsänderungen zu riskieren.
Dieses Modell gewährleistet eine strikte Trennung von Bedenken und minimiert negative Folgen aufgrund von Fehlkonfigurationen oder Kompromittierungen.
Bewährte Methoden für Rollenzuweisungen
So implementieren Sie die sichere und effektive Zugriffssteuerung in Azure Enklave:
- Verwenden Sie die Prinzipien der geringsten Rechte : Weisen Sie die restriktivste Rolle zu, mit der Benutzer ihre Aufgabe ausführen können.
- Weisen Sie Rollen im kleinstmöglichen Bereich zu (Ressourcengruppe statt Abonnement, wenn angemessen).
- Überwachen Sie Rollenzuweisungen regelmäßig mithilfe von Azure Policy und Überwachungsprotokollen.
- Erwägen Sie, Azure-Enclave-Rollen mit Azure PIM (Privileged Identity Management) für den Just-in-Time-Zugriff zu kombinieren.