Zarządzanie uprawnieniami w subskrypcji Microsoft Azure

Marcin Nawrot

Zarządzanie uprawnieniami w subskrypcji Microsoft Azure
Wrzesień 20, 2017 Katarzyna Sobczak

Zarządzanie uprawnieniami w subskrypcji Microsoft Azure

Zarządzanie uprawnieniami w obrębie subskrypcji to jedno z najważniejszych zagadnień dotyczących umieszczania usług w chmurze. W tym artykule opiszę na przykładzie, jak nadawać uprawnienia do wybranych zasobów konkretnym osobom, tak żeby zasoby, do których nie powinny mieć dostępu, nie były dla nich widoczne.

W poprzednim artykule opisałem jak zarządzać uprawnieniami w obrębie Portalu Enterprise, udostępnionego w ramach umowy Enterprise Agreement dla platformy Microsoft Azure. Teraz – zgodnie z zapowiedzią – chciałbym omówić strukturę administracyjną na portalu do zarządzania usługami.

Zarządzanie uprawnieniami w obrębie umowy i subskrypcji Microsoft Azure jest jednym z najbardziej istotnych zagadnień, związanym z korzystaniem z tej usługi. Dobrze przemyślana struktura umowy i uprawnień sprawia, że korzystanie z usług oferowanych przez Microsoft na tej platformie jest prostsze i bezpieczniejsze. Właśnie dlatego poświęciłem poniższy artykuł uprawnieniom na portalu do zarządzania usługami. Osoby, które są zainteresowane rozplanowaniem umowy Enterprise, zapraszam do zapoznania się z moim poprzednim wpisem na naszym blogu.

Klienci korzystają z różnych modeli licencjonowania Microsoft Azure. Struktura umowy różni się w zależności od wybranego modelu. Korzystając z modelu Enterprise Agreement, klient dostaje do dyspozycji specjalny portal do zarządzania umową, w ramach której może tworzyć wiele subskrypcji.modelach OPEN i CSP klient działa w obrębie jednej subskrypcji. Warto poznać jakie możliwości nadawania uprawnień oferują różne portale do zarządzania usługami. Zanim jednak o tym opowiem, czas na trochę historii.

Dodawanie uprawnień – kiedyś (Azure Management Portal)

Jeszcze kilka lat temu, gdy rozpoczynałem swoją przygodę z Microsoft Azure, użytkownicy uzyskiwali dostęp do Azure Management Portal pod adresem manage.windowsazure.com. Wyglądał on w sposób następujący:

Na tym portalu usługi pogrupowane były typami. Możemy zauważyć oddzielne zakładki dla baz Azure SQL, wirtualnych maszyn czy kont magazynowych. Takie podejście jest jak najbardziej intuicyjne – szukając na przykład konta magazynu wchodziliśmy w odpowiednią zakładkę, gdzie znajdowały się wszystkie konta. Podobnie w przypadku wirtualnych maszyn – wszystkie mogliśmy przeglądać w odpowiedniej zakładce.

Nadawanie uprawnień administracyjnych na tym portalu wyglądało następująco:

  1. Service Administrator – główny administrator, którym domyślnie jest właściciel subskrypcji, przechodził do zakładki SETTINGS

2. Kolejnym krokiem było przejście do zakładki ADMINISTRATORS i  dodanie Co-Administratora

3. Obecnie – z racji migracji usług na nowy portal Microsoft Azure – dodawanie opcji zostało przeniesione już na nowy portal dostępny pod adresem portal.azure.com.

Po dodaniu, Co-Administrator miał uprawnienia do całej subskrypcji Azure. Mógł zarządzać każdym zasobem uruchomionym w ramach tej subskrypcji, usunąć go, utworzyć nowy itp. I to jest tyle, jeżeli chodzi o historię. Dlaczego o tym wspomniałem? Ponieważ warto zwrócić uwagę na zasadnicze różnice pomiędzy nowym a dotychczasowym portalem, zwłaszcza w kontekście uprawnień administracyjnych.

Jak wspomniałem wcześniej, na portalu klasycznym usługi były grupowane według rodzaju zasobu. Z jednej strony było to najprostsze i logiczne rozwiązanie, lecz po dłuższej pracy i uruchamianiu kolejnych środowisk zarządzanie wszystkim mogło sprawiać problemy.

Przykładowo: uruchomionych jest kilka maszyn wirtualnych, o których chcemy dowiedzieć się następujących informacji:

  • które konto magazynu obsługuje dysk danej maszyny wirtualnej
  • w której sieci wirtualnej znajdują się nasze zasoby
  • jakie są publiczne adresy IP przypięte do nich.

Aby opowiedzieć na te pytania, poprzednia wersja portalu wymagała od nas klikania po kilku zasobach i szukania potrzebnych informacji w ich właściwościach. Microsoft wyszedł naprzeciw tym doświadczeniom oraz uwagom zgłaszanym przez użytkowników. W nowym portalu &ndash Azure Ressource Manger – zaproponowano inny sposób zarządzania zasobami i uprawnieniami. Od tej pory użytkownik może zbierać zasoby w grupy oraz nadawać uprawnienia wyłącznie do nich.

Dodawanie uprawnień – dziś (Azure Ressource Manger)

Na portalu do zarządzania usługami pod adresem portal.azure.com sprawdzamy, czy subskrypcja jest dostępna:

  1. W zakładce SUBSCRIPTIONS po lewej stronie sprawdzamy, czy subskrypcja jest uruchomiona.

Mamy dostępną swoją subskrypcję MSDN. Na niej utworzymy nową grupę zasobów.

2. Po lewej stronie wybieramy RESOURCE GROUPS.

3. Na ten moment nie mamy grupy zasobów. Utworzymy pierwszą z nich. Wybieramy ADD

4. Następnie wybieramy nazwę, subskrypcję i region, w którym ma być nasza RESOURCE GROUP. Możemy ją przypiąć również do naszego pulpitu na portalu. Na potrzeby Demo utworzymy grupę zasobów o nazwie TestowaGrupaZasobów

5. W kolejnych krokach utworzyliśmy w TestowaGrupaZasobówkonto magazynowe oraz drugą grupę zasobów TopSecretResourceGroup z drugim kontem storage.

Mamy zatem sytuację, w której utworzyliśmy dwie grupy zasobów z uruchomionymi usługami. Jeżeli korzystalibyśmy z uprawnień w modelu dotychczasowego portalu, każdy nowy administrator miałby dostęp do obu grup zasobów. Zazwyczaj osoby, którym nadajemy uprawnienia nie powinny zarządzać zasobami, za które nie są odpowiedzialne. Spróbujmy zatem nadać uprawnienia tak, żeby nadać użytkownikowi dostęp tylko do TestowaGrupaZasobów.

Aby tego dokonać wykonujemy następujące kroki:

  1. Wybieramy grupę zasobów, która nas interesuje i klikamy ACCESS CONTROL:
Subscription

2. Na ten moment jedyny użytkownik, który znajduje się na liście, to marcin.nawrot@promise.pl. Wynika to z faktu, że jest on właścicielem subskrypcji. Rola, która została do niego przypisana, to Owner – znaczy to, że ten użytkownik ma pełne uprawnienia (zmiana ustawień, dodawanie, usuwanie) do zarządzania wszystkimi usługami na tej grupie zasobów. Wszyscy użytkownicy mający dostęp do tej grupy zasobów znajdują się w zakładce Access Control (IAM).

Azure add permissions

3. Dodajmy kolejne konto i przypiszmy mu uprawnienia tylko do tej grupy zasobów. W tym celu naciskamy Add. Po prawej stronie rozwinie się okienko dodawania uprawnień. W pierwszej kolejności należy wybrać rolę, którą chcemy przypisać do osoby. W tym przykładzie wybieramy rolę Owner.

Azure IAM

4. Jako Assign access wybieramy Azure AD user, group or application. Po uzupełnieniu wszystkich pól zatwierdzamy dodanie użytkownika do tej grupy zasobów.

dashboard azure

Użytkownik, po zalogowaniu się na portalu Azure do zarządzania usługami, zobaczy tylko TestowaGrupaZasobów, tak jak na obrazie poniżej:

Azure

W przeciwieństwie do konta głównego administratora, na którym widać dwie grupy zasobów:

Portal EA

Dzięki wyżej opisanej procedurze widać, że początkowy cel nadania uprawnień do wybranego zasobu subskrypcji Microsoft Azure został osiągnięty. Dodawanie kont w opisany sposób pozwala na granulację uprawnień i odpowiedzialności na poszczególne osoby. W ten sposób możemy ograniczyć ryzyko, że na przykład administrator środowisk testowych wyłączy maszyny produkcyjne, ponieważ miał dostęp do wszystkich zasobów w obrębie subskrypcji.

Podsumowanie

Zarządzanie uprawnieniami do konkretnych środowisk IT w organizacji to podstawowe zagadnienie bezpieczeństwa w nowoczesnym biznesie. Dodawanie roli administracyjnej w obrębie subskrypcji Microsoft Azure przedstawiłem na przykładzie z poziomu portalu do zarządzania usługami.Administrator subskrypcji może nadawać uprawnienia do konkretnych zasobów zgodnie z predefiniowanymi rolami, a także – od lipca 2017 – utworzyć własną rolę. Tworzenie jej jest możliwe z wykorzystaniem Azure PowerShell, Azure Command-Line Interface (CLI) oraz REST API.

Podziel się

Autor: Marcin Nawrot

Marcin Nawrot

Marcin Nawrot

Konsultant Rozwiązań Biznesowych. Od blisko 4 lat zajmuje się wsparciem klientów w korzystaniu z najnowszych technologii Microsoft opartych o usługi Microsoft SQL, PowerBI i Azure. Mając za sobą zespół deweloperów, konsultantów i architektów rangi ogólnopolskiej, dostarcza najnowsze technologie usprawniające działanie oraz zwiększające przewagę konkurencyjną całych organizacji. Wspólnie z kierownikami projektów dba o to, by wszystkie potrzeby biznesowe i cele zdefiniowane na początku prac zakończyły się pełnym sukcesem. Wspólnie z klientami prezentuje efekty prac na wydarzeniach organizowanych przez APN Promise.

Zespół: Business Intelligence

Ostatnie artykuły autora

Zarządzanie uprawnieniami w subskrypcji Microsoft Azure

Zarządzanie uprawnieniami w subskrypcji Microsoft Azure

Artykuł omawia sposoby zarządzania uprawnieniami w obrębie subskrypcji Microsoft Azure. Marcin Nawrot pokazuje jak nadawać uprawnienia do wybranych zasobów konkretnym osobom.

Jak efektywnie zarządzać umową Microsoft Azure

Jak efektywnie zarządzać umową Microsoft Azure

Zastanawiasz się jak efektywnie zarządzać umową Microsoft Azure? W tym artykule znajdziesz odpowiedź.

Skontaktuj się z Marcinem

 

Administratorem danych gromadzonych z wykorzystaniem formularza jest A.P.N. Promise S.A. Podane przez Ciebie dane będą przetwarzane w zakresie niezbędnym do podjęcia kontaktu lub realizacji określonego żądania zgodnie z art. 6 ust. 1 lit. b RODO przez okres niezbędny dla realizacji Twojego zgłoszenia. Wszelkie informacje w zakresie przetwarzania podanych przez Ciebie w formularzu danych oraz posiadanych uprawnieniach znajdziesz w Polityce prywatności. Kliknij i dowiedz się więcej jeżeli informacje podane powyżej nie są dostatecznie jasne!