基于角色的访问控制 (RBAC)：Azure 角色与 Microsoft Entra ID 角色

2024-03-13 08:00:00 · 飞浪 · 亚历山大·波塔斯尼克( Alexander Potasnick)

了解 Azure 角色和 Microsoft Entra ID 角色之间的主要区别，以便在 Azure 云中实现有效的基于角色的访问控制 (RBAC)。

在错综复杂的 Azure 世界中，了解角色对于高效安全地管理资源和身份对象至关重要。但有两个概念经常被混淆，即 Azure 角色和 Microsoft Entra ID 角色。

在本文中，我将更好地理解这些角色，并明确其独特的功能和范围。

什么是基于角色的访问控制 (RBAC)？

在深入研究 Azure 角色之前，让我们先了解基于角色的访问控制及其优势。基于角色的访问控制 (RBAC) 是一种安全方法，它根据用户在组织内的角色或职能为其分配不同级别的访问权限。

RBAC 可以帮助保护数据、应用程序和系统等资源免遭未经授权或不当的访问、修改、添加或删除。

RBAC 有几个好处：

它简化了用户权限的管理。您只需为用户分配一个角色，而不是多个单独的权限。
它降低了人为错误的风险。用户只能访问执行任务所需的资源，仅此而已。
它增强了安全性和合规性。由于用户无法访问与其角色无关的敏感或机密信息，因此您可以轻松维护审计跟踪。

了解 Azure 基于角色的访问控制 (RBAC)

Azure 基于角色的访问控制(Azure RBAC) 是基于Azure 资源管理器构建的授权系统。它旨在为 Azure 资源提供细粒度的访问管理。

其工作原理如下：用户为身份对象分配角色定义。此角色决定身份对象在指定范围内可以执行的操作。这会产生瀑布效应，其中权限从分配的级别逐渐下降到所有底层级别。

换句话说，Azure RBAC 基于一个基本等式进行操作——谁在哪里可以做什么？

谁：身份对象或安全原则
内容：角色定义和分配
哪里：这些角色适用的范围

深入了解 Azure 的关键角色

有超过100 个内置 Azure 角色，每个角色都旨在提供管理 Azure 资源的特定权限。有一些适用于所有资源类型的角色值得强调。

所有者：授予具有委托权的资源的完全访问权限
阅读器：允许查看资源，但无修改权限
贡献者：允许资源管理（不包括用户访问管理）
用户访问管理员：无需资源管理功能即可实现用户访问管理

尽管内置角色的选择范围不断扩大，但也可以选择创建自定义角色来满足特定标准。

Azure 订阅和 Entra ID 租户如何协同工作

现在我们对 Azure 角色有所了解。但在了解 Microsoft Entra ID 角色之前，我们需要退一步了解 Microsoft Entra ID 与 Azure 订阅之间的关系。

什么是 Entra ID 租户？

Entra ID 是一种基于云的身份和访问管理 (IAM) 服务，为访问 Azure 资源的用户和设备提供身份验证和授权。Entra ID 租户是代表组织的 Entra ID 实例。租户具有唯一 ID 和域名，例如 awesomecorp.onmicrosoft.com。

每个 Azure 订阅都与 Entra ID 租户之间存在信任关系。这意味着订阅依赖租户对访问 Azure 资源的用户和设备进行身份验证和授权。

一个订阅一次只能信任一个租户，但一个租户可以被多个订阅信任。这允许组织使用单个 Entra ID 管理对不同 Azure 资源的访问。

了解 Microsoft Entra ID 中的基于角色的访问控制

与 Azure RBAC 不同，Microsoft Entra ID RBAC仅专注于管理 Entra ID 租户本身内的身份对象。它不扩展到 Azure 订阅内的资源。这些身份对象可以是用户、组和应用程序等。实现 Microsoft Entra ID RBAC 时，使用相同的公式来确定谁可以在哪里做什么。