Open YouTube

Secure your Azure resources with Azure role-based access control (Azure RBAC) | AZ-104 | Episode 6

Microsoft Learndutchenpublicupdated

Read in about 3 minutes instead of watching 23 minutes.

Introductie tot RBAC

  1. De sessie legt uit hoe Azure role-based access control wordt gebruikt om toegang tot cloudresources te beheren, als modern alternatief voor oudere modellen zoals Kerberos, NTLM en ACL's.
  2. RBAC wordt besproken vanuit twee gebieden: identiteitsbeheer en resourcebeheer binnen een Azure-tenant.

Kernmodel van RBAC

  1. RBAC draait om drie onderdelen: wie, wat en waar. De identiteit is de wie, de rol is de wat en de scope is de waar.
  2. Identiteiten kunnen gebruikers, groepen, apparaten, applicaties of managed identities zijn.
  3. Een rol is geen enkele permissie, maar een verzameling van vaak honderden of duizenden permissies.
  4. Rollen kunnen ingebouwd zijn of als aangepaste rol worden gemaakt, bijvoorbeeld door een bestaande rol te kopiëren en aan te passen.

Scopes en overerving

  1. Scopes bestaan hiërarchisch uit tenant, management groups, subscriptions, resource groups en resources.
  2. Roltoewijzingen kunnen op een hoger niveau worden geërfd door onderliggende niveaus, zoals van management group naar subscription en resource group.
  3. Als een gebruiker dezelfde rol via meerdere scopes krijgt, kan toegang blijven bestaan nadat slechts één toewijzing is verwijderd.

Belangrijke rollen

  1. Voor het examen zijn vooral owner, contributor, reader en aangepaste rollen belangrijk.
  2. Reader kan resources bekijken of consumeren, maar niet wijzigen, verwijderen of beheren.
  3. Contributor kan resources beheren met lees- en schrijfrechten, maar kan geen permissies wijzigen.
  4. Owner kan resources beheren en daarnaast rollen en RBAC-permissies toewijzen.
  5. Bij rolkeuze is het minimum benodigde recht belangrijk: kies bijvoorbeeld Reader als alleen lezen nodig is.

Identiteitsrollen versus resourcerollen

  1. Azure bevat aparte sets rollen voor identiteitsbeheer in Microsoft Entra ID en voor resourcebeheer in Azure resources.
  2. Identiteitsrollen beheren bijvoorbeeld gebruikers, groepen en eigenschappen van accounts, terwijl resourcerollen toegang geven tot Azure-services zoals Kubernetes of resource groups.
  3. Sommige rolnamen kunnen op elkaar lijken, maar ze gelden voor verschillende scopes en activiteiten.

Global administrator

  1. De rol global administrator geeft zeer brede beheerrechten en moet volgens de spreker slechts aan zeer weinig personen worden toegekend.
  2. Global administrator-accounts horen als noodaccounts onder strikte controle te worden bewaard en alleen in specifieke situaties te worden gebruikt.

Roldefinities en permissies

  1. Een rol wordt vastgelegd als een role definition, bijvoorbeeld in JSON met actions en not actions.
  2. Azure is standaard beveiligd: zonder toegekende permissies heeft een identiteit geen toegang, behalve zeer bevoorrechte beheerders.
  3. Permissies zijn cumulatief, behalve wanneer een deny of not action van toepassing is.
  4. Een deny of not action kan een eerder toegekende permissie via een andere groep of rol effectief intrekken.

Portaaldemonstratie

  1. In Microsoft Entra ID toont de spreker rollen en beheerdersrollen die specifiek zijn voor directorybeheer.
  2. Bij een gebruiker kunnen roltoewijzingen worden toegevoegd, waarbij directoryrollen alleen op directoryscope gelden.
  3. In een resource group toont Access Control of IAM de RBAC-roltoewijzingen, deny assignments en mogelijkheden voor aangepaste rollen.
  4. Bij het maken van een aangepaste rol kan een bestaande ingebouwde rol, zoals Owner, worden gekloond en aangepast.

Samenvattend principe

  1. RBAC, IAM en Access Control verwijzen in deze context naar het moderne toegangsbeheer voor Azure-resources.
  2. Gebruik het principe van minimale rechten: geef alleen de rollen en permissies die nodig zijn voor de specifieke taak.

Actiepunten

  1. Lees de Microsoft-documentatie over het beveiligen van break-glass- of noodaccounts voor global administrators.
  2. Ken slechts zeer weinig personen de global administrator-rol toe en gebruik liever specifiekere rollen voor normaal beheer.
  3. Wijs gebruikers de laagste rol toe die nodig is om hun taak uit te voeren en voorkom overprovisioning.
  4. Controleer roltoewijzingen op meerdere scopes voordat je concludeert dat toegang volledig is verwijderd.
  5. Bekijk andere video's in de cursus of verken Microsoft Learn om verder te leren.