W poprzednim artykule opisałem jak zarządzać uprawnieniami w obrębie Portalu Enterprise, udostępnionego w ramach umowy Enterprise Agreement dla platformy Microsoft Azure. Teraz – zgodnie z zapowiedzią – chciałbym omówić strukturę administracyjną na portalu do zarządzania usługami. Zarządzanie uprawnieniami w obrębie umowy i subskrypcji Microsoft Azure jest jednym z najbardziej istotnych zagadnień, związanym z korzystaniem z tej usługi. Dobrze przemyślana struktura umowy i uprawnień sprawia, że korzystanie z usług oferowanych przez Microsoft na tej platformie jest prostsze i bezpieczniejsze. Właśnie dlatego poświęciłem poniższy artykuł uprawnieniom na portalu do zarządzania usługami. Osoby, które są zainteresowane rozplanowaniem umowy Enterprise, zapraszam do zapoznania się z moim poprzednim wpisem na naszym blogu. Klienci korzystają z różnych modeli licencjonowania Microsoft Azure. Struktura umowy różni się w zależności od wybranego modelu. Korzystając z modelu Enterprise Agreement, klient dostaje do dyspozycji specjalny portal do zarządzania umową, w ramach której może tworzyć wiele subskrypcji.W modelach OPEN i CSP klient działa w obrębie jednej subskrypcji. Warto poznać jakie możliwości nadawania uprawnień oferują różne portale do zarządzania usługami. Zanim jednak o tym opowiem, czas na trochę historii. Jeszcze kilka lat temu, gdy rozpoczynałem swoją przygodę z Microsoft Azure, użytkownicy uzyskiwali dostęp do Azure Management Portal pod adresem manage.windowsazure.com. Wyglądał on w sposób następujący: Na tym portalu usługi pogrupowane były typami. Możemy zauważyć oddzielne zakładki dla baz Azure SQL, wirtualnych maszyn czy kont magazynowych. Takie podejście jest jak najbardziej intuicyjne – szukając na przykład konta magazynu wchodziliśmy w odpowiednią zakładkę, gdzie znajdowały się wszystkie konta. Podobnie w przypadku wirtualnych maszyn – wszystkie mogliśmy przeglądać w odpowiedniej zakładce. 2. Kolejnym krokiem było przejście do zakładki ADMINISTRATORS i dodanie Co-Administratora 3. Obecnie – z racji migracji usług na nowy portal Microsoft Azure – dodawanie opcji zostało przeniesione już na nowy portal dostępny pod adresem portal.azure.com. Po dodaniu, Co-Administrator miał uprawnienia do całej subskrypcji Azure. Mógł zarządzać każdym zasobem uruchomionym w ramach tej subskrypcji, usunąć go, utworzyć nowy itp. I to jest tyle, jeżeli chodzi o historię. Dlaczego o tym wspomniałem? Ponieważ warto zwrócić uwagę na zasadnicze różnice pomiędzy nowym a dotychczasowym portalem, zwłaszcza w kontekście uprawnień administracyjnych. Jak wspomniałem wcześniej, na portalu klasycznym usługi były grupowane według rodzaju zasobu. Z jednej strony było to najprostsze i logiczne rozwiązanie, lecz po dłuższej pracy i uruchamianiu kolejnych środowisk zarządzanie wszystkim mogło sprawiać problemy. Przykładowo: uruchomionych jest kilka maszyn wirtualnych, o których chcemy dowiedzieć się następujących informacji: Aby opowiedzieć na te pytania, poprzednia wersja portalu wymagała od nas klikania po kilku zasobach i szukania potrzebnych informacji w ich właściwościach. Microsoft wyszedł naprzeciw tym doświadczeniom oraz uwagom zgłaszanym przez użytkowników. W nowym portalu &ndash Azure Ressource Manger – zaproponowano inny sposób zarządzania zasobami i uprawnieniami. Od tej pory użytkownik może zbierać zasoby w grupy oraz nadawać uprawnienia wyłącznie do nich. Na portalu do zarządzania usługami pod adresem portal.azure.com sprawdzamy, czy subskrypcja jest dostępna: Mamy dostępną swoją subskrypcję MSDN. Na niej utworzymy nową grupę zasobów. 2. Po lewej stronie wybieramy RESOURCE GROUPS. 3. Na ten moment nie mamy grupy zasobów. Utworzymy pierwszą z nich. Wybieramy ADD 4. Następnie wybieramy nazwę, subskrypcję i region, w którym ma być nasza RESOURCE GROUP. Możemy ją przypiąć również do naszego pulpitu na portalu. Na potrzeby Demo utworzymy grupę zasobów o nazwie TestowaGrupaZasobów 5. W kolejnych krokach utworzyliśmy w TestowaGrupaZasobówkonto magazynowe oraz drugą grupę zasobów TopSecretResourceGroup z drugim kontem storage. Mamy zatem sytuację, w której utworzyliśmy dwie grupy zasobów z uruchomionymi usługami. Jeżeli korzystalibyśmy z uprawnień w modelu dotychczasowego portalu, każdy nowy administrator miałby dostęp do obu grup zasobów. Zazwyczaj osoby, którym nadajemy uprawnienia nie powinny zarządzać zasobami, za które nie są odpowiedzialne. Spróbujmy zatem nadać uprawnienia tak, żeby nadać użytkownikowi dostęp tylko do TestowaGrupaZasobów. Aby tego dokonać wykonujemy następujące kroki: 2. Na ten moment jedyny użytkownik, który znajduje się na liście, to marcin.nawrot@promise.pl. Wynika to z faktu, że jest on właścicielem subskrypcji. Rola, która została do niego przypisana, to Owner – znaczy to, że ten użytkownik ma pełne uprawnienia (zmiana ustawień, dodawanie, usuwanie) do zarządzania wszystkimi usługami na tej grupie zasobów. Wszyscy użytkownicy mający dostęp do tej grupy zasobów znajdują się w zakładce Access Control (IAM). 3. Dodajmy kolejne konto i przypiszmy mu uprawnienia tylko do tej grupy zasobów. W tym celu naciskamy Add. Po prawej stronie rozwinie się okienko dodawania uprawnień. W pierwszej kolejności należy wybrać rolę, którą chcemy przypisać do osoby. W tym przykładzie wybieramy rolę Owner. 4. Jako Assign access wybieramy Azure AD user, group or application. Po uzupełnieniu wszystkich pól zatwierdzamy dodanie użytkownika do tej grupy zasobów. Użytkownik, po zalogowaniu się na portalu Azure do zarządzania usługami, zobaczy tylko TestowaGrupaZasobów, tak jak na obrazie poniżej: W przeciwieństwie do konta głównego administratora, na którym widać dwie grupy zasobów: Dzięki wyżej opisanej procedurze widać, że początkowy cel nadania uprawnień do wybranego zasobu subskrypcji Microsoft Azure został osiągnięty. Dodawanie kont w opisany sposób pozwala na granulację uprawnień i odpowiedzialności na poszczególne osoby. W ten sposób możemy ograniczyć ryzyko, że na przykład administrator środowisk testowych wyłączy maszyny produkcyjne, ponieważ miał dostęp do wszystkich zasobów w obrębie subskrypcji. Zarządzanie uprawnieniami do konkretnych środowisk IT w organizacji to podstawowe zagadnienie bezpieczeństwa w nowoczesnym biznesie. Dodawanie roli administracyjnej w obrębie subskrypcji Microsoft Azure przedstawiłem na przykładzie z poziomu portalu do zarządzania usługami.Administrator subskrypcji może nadawać uprawnienia do konkretnych zasobów zgodnie z predefiniowanymi rolami, a także – od lipca 2017 – utworzyć własną rolę. Tworzenie jej jest możliwe z wykorzystaniem Azure PowerShell, Azure Command-Line Interface (CLI) oraz REST API.
Zarządzanie uprawnieniami w subskrypcji Microsoft Azure
Zarządzanie uprawnieniami w obrębie subskrypcji to jedno z najważniejszych zagadnień dotyczących umieszczania usług w chmurze. W tym artykule opiszę na przykładzie, jak nadawać uprawnienia do wybranych zasobów konkretnym osobom, tak żeby zasoby, do których nie powinny mieć dostępu, nie były dla nich widoczne.
Dodawanie uprawnień – kiedyś (Azure Management Portal)
Nadawanie uprawnień administracyjnych na tym portalu wyglądało następująco:
Dodawanie uprawnień – dziś (Azure Ressource Manger)
Podsumowanie
Konsultant Rozwiązań Biznesowych. Od blisko 4 lat zajmuje się wsparciem klientów w korzystaniu z najnowszych technologii Microsoft opartych o usługi Microsoft SQL, PowerBI i Azure. Mając za sobą zespół deweloperów, konsultantów i architektów rangi ogólnopolskiej, dostarcza najnowsze technologie usprawniające działanie oraz zwiększające przewagę konkurencyjną całych organizacji. Wspólnie z kierownikami projektów dba o to, by wszystkie potrzeby biznesowe i cele zdefiniowane na początku prac zakończyły się pełnym sukcesem. Wspólnie z klientami prezentuje efekty prac na wydarzeniach organizowanych przez APN Promise. Zespół: Business Intelligence
Autor:
Marcin Nawrot
Marcin Nawrot
Ostatnie artykuły autora
Skontaktuj się z Marcinem