Zarządzanie uprawnieniami w subskrypcji Microsoft Azure

Na tym portalu usługi pogrupowane były typami. Możemy zauważyć oddzielne zakładki dla baz Azure SQL, wirtualnych maszyn czy kont magazynowych. Takie podejście jest jak najbardziej intuicyjne – szukając na przykład konta magazynu wchodziliśmy w odpowiednią zakładkę, gdzie znajdowały się wszystkie konta. Podobnie w przypadku wirtualnych maszyn – wszystkie mogliśmy przeglądać w odpowiedniej zakładce.

Nadawanie uprawnień administracyjnych na tym portalu wyglądało następująco:

1. Service Administrator – główny administrator, którym domyślnie jest właściciel subskrypcji, przechodził do zakładki SETTINGS

2. Kolejnym krokiem było przejście do zakładki ADMINISTRATORS i  dodanie Co-Administratora

3. Obecnie – z racji migracji usług na nowy portal Microsoft Azure – dodawanie opcji zostało przeniesione już na nowy portal dostępny pod adresem portal.azure.com.

Po dodaniu, Co-Administrator miał uprawnienia do całej subskrypcji Azure. Mógł zarządzać każdym zasobem uruchomionym w ramach tej subskrypcji, usunąć go, utworzyć nowy itp. I to jest tyle, jeżeli chodzi o historię. Dlaczego o tym wspomniałem? Ponieważ warto zwrócić uwagę na zasadnicze różnice pomiędzy nowym a dotychczasowym portalem, zwłaszcza w kontekście uprawnień administracyjnych.

Jak wspomniałem wcześniej, na portalu klasycznym usługi były grupowane według rodzaju zasobu. Z jednej strony było to najprostsze i logiczne rozwiązanie, lecz po dłuższej pracy i uruchamianiu kolejnych środowisk zarządzanie wszystkim mogło sprawiać problemy.

Przykładowo: uruchomionych jest kilka maszyn wirtualnych, o których chcemy dowiedzieć się następujących informacji:

• które konto magazynu obsługuje dysk danej maszyny wirtualnej
• w której sieci wirtualnej znajdują się nasze zasoby
• jakie są publiczne adresy IP przypięte do nich.

Aby opowiedzieć na te pytania, poprzednia wersja portalu wymagała od nas klikania po kilku zasobach i szukania potrzebnych informacji w ich właściwościach. Microsoft wyszedł naprzeciw tym doświadczeniom oraz uwagom zgłaszanym przez użytkowników. W nowym portalu &ndash Azure Ressource Manger – zaproponowano inny sposób zarządzania zasobami i uprawnieniami. Od tej pory użytkownik może zbierać zasoby w grupy oraz nadawać uprawnienia wyłącznie do nich.

Dodawanie uprawnień – dziś (Azure Ressource Manger)

Na portalu do zarządzania usługami pod adresem portal.azure.com sprawdzamy, czy subskrypcja jest dostępna:

1. W zakładce SUBSCRIPTIONS po lewej stronie sprawdzamy, czy subskrypcja jest uruchomiona.

Mamy dostępną swoją subskrypcję MSDN. Na niej utworzymy nową grupę zasobów.

2. Po lewej stronie wybieramy RESOURCE GROUPS.

3. Na ten moment nie mamy grupy zasobów. Utworzymy pierwszą z nich. Wybieramy ADD

4. Następnie wybieramy nazwę, subskrypcję i region, w którym ma być nasza RESOURCE GROUP. Możemy ją przypiąć również do naszego pulpitu na portalu. Na potrzeby Demo utworzymy grupę zasobów o nazwie TestowaGrupaZasobów

5. W kolejnych krokach utworzyliśmy w TestowaGrupaZasobówkonto magazynowe oraz drugą grupę zasobów TopSecretResourceGroup z drugim kontem storage.

Mamy zatem sytuację, w której utworzyliśmy dwie grupy zasobów z uruchomionymi usługami. Jeżeli korzystalibyśmy z uprawnień w modelu dotychczasowego portalu, każdy nowy administrator miałby dostęp do obu grup zasobów. Zazwyczaj osoby, którym nadajemy uprawnienia nie powinny zarządzać zasobami, za które nie są odpowiedzialne. Spróbujmy zatem nadać uprawnienia tak, żeby nadać użytkownikowi dostęp tylko do TestowaGrupaZasobów.

Aby tego dokonać wykonujemy następujące kroki:

1. Wybieramy grupę zasobów, która nas interesuje i klikamy ACCESS CONTROL:

2. Na ten moment jedyny użytkownik, który znajduje się na liście, to marcin.nawrot@promise.pl. Wynika to z faktu, że jest on właścicielem subskrypcji. Rola, która została do niego przypisana, to Owner – znaczy to, że ten użytkownik ma pełne uprawnienia (zmiana ustawień, dodawanie, usuwanie) do zarządzania wszystkimi usługami na tej grupie zasobów. Wszyscy użytkownicy mający dostęp do tej grupy zasobów znajdują się w zakładce Access Control (IAM).

3. Dodajmy kolejne konto i przypiszmy mu uprawnienia tylko do tej grupy zasobów. W tym celu naciskamy Add. Po prawej stronie rozwinie się okienko dodawania uprawnień. W pierwszej kolejności należy wybrać rolę, którą chcemy przypisać do osoby. W tym przykładzie wybieramy rolę Owner.

4. Jako Assign access wybieramy Azure AD user, group or application. Po uzupełnieniu wszystkich pól zatwierdzamy dodanie użytkownika do tej grupy zasobów.

Użytkownik, po zalogowaniu się na portalu Azure do zarządzania usługami, zobaczy tylko TestowaGrupaZasobów, tak jak na obrazie poniżej:

W przeciwieństwie do konta głównego administratora, na którym widać dwie grupy zasobów:

Dzięki wyżej opisanej procedurze widać, że początkowy cel nadania uprawnień do wybranego zasobu subskrypcji Microsoft Azure został osiągnięty. Dodawanie kont w opisany sposób pozwala na granulację uprawnień i odpowiedzialności na poszczególne osoby. W ten sposób możemy ograniczyć ryzyko, że na przykład administrator środowisk testowych wyłączy maszyny produkcyjne, ponieważ miał dostęp do wszystkich zasobów w obrębie subskrypcji.

Podsumowanie

Zarządzanie uprawnieniami do konkretnych środowisk IT w organizacji to podstawowe zagadnienie bezpieczeństwa w nowoczesnym biznesie. Dodawanie roli administracyjnej w obrębie subskrypcji Microsoft Azure przedstawiłem na przykładzie z poziomu portalu do zarządzania usługami.Administrator subskrypcji może nadawać uprawnienia do konkretnych zasobów zgodnie z predefiniowanymi rolami, a także – od lipca 2017 – utworzyć własną rolę. Tworzenie jej jest możliwe z wykorzystaniem Azure PowerShell, Azure Command-Line Interface (CLI) oraz REST API.

Podziel się