Secure your Azure resources with Azure role-based access control (Azure RBAC) | AZ-104 | Episode 6
Microsoft LearndutchenpublicupdatedRead in about 3 minutes instead of watching 23 minutes.
Introductie tot RBAC
- De sessie legt uit hoe Azure role-based access control wordt gebruikt om toegang tot cloudresources te beheren, als modern alternatief voor oudere modellen zoals Kerberos, NTLM en ACL's.
- RBAC wordt besproken vanuit twee gebieden: identiteitsbeheer en resourcebeheer binnen een Azure-tenant.
Kernmodel van RBAC
- RBAC draait om drie onderdelen: wie, wat en waar. De identiteit is de wie, de rol is de wat en de scope is de waar.
- Identiteiten kunnen gebruikers, groepen, apparaten, applicaties of managed identities zijn.
- Een rol is geen enkele permissie, maar een verzameling van vaak honderden of duizenden permissies.
- Rollen kunnen ingebouwd zijn of als aangepaste rol worden gemaakt, bijvoorbeeld door een bestaande rol te kopiëren en aan te passen.
Scopes en overerving
- Scopes bestaan hiërarchisch uit tenant, management groups, subscriptions, resource groups en resources.
- Roltoewijzingen kunnen op een hoger niveau worden geërfd door onderliggende niveaus, zoals van management group naar subscription en resource group.
- Als een gebruiker dezelfde rol via meerdere scopes krijgt, kan toegang blijven bestaan nadat slechts één toewijzing is verwijderd.
Belangrijke rollen
- Voor het examen zijn vooral owner, contributor, reader en aangepaste rollen belangrijk.
- Reader kan resources bekijken of consumeren, maar niet wijzigen, verwijderen of beheren.
- Contributor kan resources beheren met lees- en schrijfrechten, maar kan geen permissies wijzigen.
- Owner kan resources beheren en daarnaast rollen en RBAC-permissies toewijzen.
- Bij rolkeuze is het minimum benodigde recht belangrijk: kies bijvoorbeeld Reader als alleen lezen nodig is.
Identiteitsrollen versus resourcerollen
- Azure bevat aparte sets rollen voor identiteitsbeheer in Microsoft Entra ID en voor resourcebeheer in Azure resources.
- Identiteitsrollen beheren bijvoorbeeld gebruikers, groepen en eigenschappen van accounts, terwijl resourcerollen toegang geven tot Azure-services zoals Kubernetes of resource groups.
- Sommige rolnamen kunnen op elkaar lijken, maar ze gelden voor verschillende scopes en activiteiten.
Global administrator
- De rol global administrator geeft zeer brede beheerrechten en moet volgens de spreker slechts aan zeer weinig personen worden toegekend.
- Global administrator-accounts horen als noodaccounts onder strikte controle te worden bewaard en alleen in specifieke situaties te worden gebruikt.
Roldefinities en permissies
- Een rol wordt vastgelegd als een role definition, bijvoorbeeld in JSON met actions en not actions.
- Azure is standaard beveiligd: zonder toegekende permissies heeft een identiteit geen toegang, behalve zeer bevoorrechte beheerders.
- Permissies zijn cumulatief, behalve wanneer een deny of not action van toepassing is.
- Een deny of not action kan een eerder toegekende permissie via een andere groep of rol effectief intrekken.
Portaaldemonstratie
- In Microsoft Entra ID toont de spreker rollen en beheerdersrollen die specifiek zijn voor directorybeheer.
- Bij een gebruiker kunnen roltoewijzingen worden toegevoegd, waarbij directoryrollen alleen op directoryscope gelden.
- In een resource group toont Access Control of IAM de RBAC-roltoewijzingen, deny assignments en mogelijkheden voor aangepaste rollen.
- Bij het maken van een aangepaste rol kan een bestaande ingebouwde rol, zoals Owner, worden gekloond en aangepast.
Samenvattend principe
- RBAC, IAM en Access Control verwijzen in deze context naar het moderne toegangsbeheer voor Azure-resources.
- Gebruik het principe van minimale rechten: geef alleen de rollen en permissies die nodig zijn voor de specifieke taak.
Actiepunten
- Lees de Microsoft-documentatie over het beveiligen van break-glass- of noodaccounts voor global administrators.
- Ken slechts zeer weinig personen de global administrator-rol toe en gebruik liever specifiekere rollen voor normaal beheer.
- Wijs gebruikers de laagste rol toe die nodig is om hun taak uit te voeren en voorkom overprovisioning.
- Controleer roltoewijzingen op meerdere scopes voordat je concludeert dat toegang volledig is verwijderd.
- Bekijk andere video's in de cursus of verken Microsoft Learn om verder te leren.