Az - Basic Information
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Diğer yönetim gruplarını veya abonelikleri içerebilir.
Bu, yönetim grubu düzeyinde RBAC ve Azure Policy gibi yönetim kontrollerinin uygulanmasına olanak tanır ve bunların grup içindeki tüm abonelikler tarafından devralınmasını sağlar.
Tek bir dizinde 10.000 yönetim grubu desteklenebilir.
Bir yönetim grubu ağacı altı seviyeye kadar derinliği destekleyebilir. Bu sınır, kök düzeyini veya abonelik düzeyini içermez.
Her yönetim grubu ve abonelik sadece bir ebeveyn destekleyebilir.
Birden fazla yönetim grubu oluşturulabilse de sadece 1 kök yönetim grubu vardır.
Kök yönetim grubu tüm diğer yönetim gruplarını ve abonelikleri içerir ve taşınamaz veya silinemez.
Tek bir yönetim grubu içindeki tüm abonelikler aynı Entra ID kiracısına güvenmelidir.
Bu, kaynakların (VM'ler, DB'ler…) çalıştırılabileceği ve faturalandırılacağı başka bir mantıksal konteynerdir.
Ebeveyni her zaman bir yönetim grubudur (ve kök yönetim grubu olabilir) çünkü abonelikler diğer abonelikleri içeremez.
Sadece bir Entra ID dizinine güvenmektedir.
Abonelik düzeyinde (veya ebeveynlerinden herhangi birinde) uygulanan izinler, abonelik içindeki tüm kaynaklara devralınır.
Belgelerden: Bir kaynak grubu, bir Azure çözümü için ilişkili kaynakları tutan bir konteynerdir. Kaynak grubu, çözüm için tüm kaynakları veya yalnızca bir grup olarak yönetmek istediğiniz kaynakları içerebilir. Genel olarak, aynı yaşam döngüsünü paylaşan kaynakları aynı kaynak grubuna ekleyin, böylece bunları grup olarak kolayca dağıtabilir, güncelleyebilir ve silebilirsiniz.
Tüm kaynaklar bir kaynak grubunun içinde olmalı ve yalnızca bir gruba ait olabilir ve bir kaynak grubu silinirse, içindeki tüm kaynaklar da silinir.
Azure'daki her kaynak, onu tanımlayan bir Azure Kaynak Kimliğine sahiptir.
Bir Azure Kaynak Kimliğinin formatı şu şekildedir:
/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}
myResourceGroup kaynak grubunda myVM adında bir sanal makine için, abonelik kimliği 12345678-1234-1234-1234-123456789012 altında, Azure Kaynak Kimliği şu şekilde görünür:
/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM
Azure, Microsoft'un kapsamlı bulut bilişim platformudur, geniş bir hizmet yelpazesi sunar, sanal makineler, veritabanları, yapay zeka ve depolama dahil. Uygulamaları barındırmak ve yönetmek, ölçeklenebilir altyapılar oluşturmak ve bulutta modern iş yüklerini çalıştırmak için bir temel görevi görür. Azure, geliştiricilerin ve BT profesyonellerinin uygulama ve hizmetleri sorunsuz bir şekilde oluşturmasına, dağıtmasına ve yönetmesine olanak tanır ve ihtiyaçları olan her türlü kullanıcıya hitap eder.
Entra ID, kimlik doğrulama, yetkilendirme ve kullanıcı erişim kontrolünü yönetmek için tasarlanmış bulut tabanlı bir kimlik ve erişim yönetim hizmetidir. Office 365, Azure ve birçok üçüncü taraf SaaS uygulaması gibi Microsoft hizmetlerine güvenli erişim sağlar. Tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim politikaları gibi özellikler sunar.
Entra Alan Hizmetleri, Entra ID'nin yeteneklerini, geleneksel Windows Active Directory ortamlarıyla uyumlu yönetilen alan hizmetleri sunarak genişletir. LDAP, Kerberos ve NTLM gibi eski protokolleri destekler ve kuruluşların, yerel alan denetleyicileri dağıtmadan bulutta eski uygulamaları taşımalarına veya çalıştırmalarına olanak tanır. Bu hizmet ayrıca merkezi yönetim için Grup İlkesi'ni destekler, böylece eski veya AD tabanlı iş yüklerinin modern bulut ortamlarıyla bir arada var olması gereken senaryolar için uygundur.
Yeni kullanıcılar
Seçilen kiracıdan e-posta adı ve alanı belirtin
Görünen adı belirtin
Parolayı belirtin
Özellikleri belirtin (isim, iş unvanı, iletişim bilgileri…)
Varsayılan kullanıcı türü “üye”dir.
Dış kullanıcılar
Davet edilecek e-posta ve görüntüleme adını belirtin (Microsoft dışı bir e-posta olabilir)
Özellikleri belirtin
Varsayılan kullanıcı türü “Misafir”dir.
Bunları https://learn.microsoft.com/en-us/entra/fundamentals/users-default-permissions adresinde kontrol edebilirsiniz, ancak diğer eylemler arasında bir üye şunları yapabilir:
Tüm kullanıcıları, Grupları, Uygulamaları, Cihazları, Rolleri, Abonelikleri ve bunların genel özelliklerini okuyabilir
Misafirleri davet edebilir (kapalı hale getirilebilir)
Güvenlik grupları oluşturabilir
Gizli olmayan Grup üyeliklerini okuyabilir
Sahip olunan gruplara misafir ekleyebilir
Yeni uygulama oluşturabilir (kapalı hale getirilebilir)
Azure'a 50'ye kadar cihaz ekleyebilir (kapalı hale getirilebilir)
Azure kaynaklarını listelemek için kullanıcının izinlerin açıkça verilmesi gerekir.
Üyeler (belgeler)
Uygulamaları kaydet: Varsayılan Evet
Yönetici olmayan kullanıcıların kiracı oluşturmasını kısıtla: Varsayılan Hayır
Güvenlik grupları oluştur: Varsayılan Evet
Microsoft Entra yönetim portalına erişimi kısıtla: Varsayılan Hayır
Bu, portala API erişimini kısıtlamaz (sadece web)
Kullanıcıların iş veya okul hesaplarını LinkedIn ile bağlamasına izin ver: Varsayılan Evet
Kullanıcının oturumunu açık tutmasını göster: Varsayılan Evet
Kullanıcıların sahip oldukları cihazlar için BitLocker anahtarını kurtarmasını kısıtla: Varsayılan Hayır (Cihaz Ayarlarında kontrol edin)
Diğer kullanıcıları oku: Varsayılan Evet (Microsoft Graph aracılığıyla)
Misafirler
Misafir kullanıcı erişim kısıtlamaları
Misafir kullanıcılar, üyelerin sahip olduğu tüm izinleri varsayılan olarak alır.
Misafir kullanıcılar, dizin nesnelerinin özelliklerine ve üyeliklerine sınırlı erişime sahiptir (varsayılan), misafirlerin yalnızca kendi kullanıcı profillerine erişmesine izin verir. Diğer kullanıcılar ve grup bilgilerine erişim artık izin verilmez.
Misafir kullanıcı erişimi, kendi dizin nesnelerinin özellikleri ve üyelikleri ile sınırlıdır en kısıtlayıcı olanıdır.
Misafirler davet edebilir
Kuruluşta herhangi biri, misafir kullanıcıları davet edebilir, misafirler ve yönetici olmayanlar dahil (en kapsayıcı) - Varsayılan
Üye kullanıcılar ve belirli yönetici rollerine atanmış kullanıcılar, misafir kullanıcıları davet edebilir, misafirler ile üye izinleriyle
Sadece belirli yönetici rollerine atanmış kullanıcılar misafir kullanıcıları davet edebilir
Kuruluşta hiç kimse, yönetici dahil misafir kullanıcıları davet edemez (en kısıtlayıcı)
Dış kullanıcıların ayrılması: Varsayılan Doğru
Dış kullanıcıların kuruluşu terk etmesine izin verin.
Varsayılan olarak kısıtlanmış olsalar bile, izin verilmiş kullanıcılar (üyeler ve misafirler) önceki eylemleri gerçekleştirebilir.
2 tür grup vardır:
Güvenlik: Bu tür grup, üyelere uygulamalara, kaynaklara erişim vermek ve lisans atamak için kullanılır. Kullanıcılar, cihazlar, hizmet ilkeleri ve diğer gruplar üye olabilir.
Microsoft 365: Bu tür grup, işbirliği için kullanılır, üyelere paylaşılan bir posta kutusuna, takvime, dosyalara, SharePoint sitesine vb. erişim verir. Grup üyeleri yalnızca kullanıcılar olabilir.
Bu, EntraID kiracısının alan adı ile bir e-posta adresine sahip olacaktır.
2 tür üyelik vardır:
Atanmış: Belirli üyeleri bir gruba manuel olarak eklemeye izin verir.
Dinamik üyelik: Üyeliği kuralları kullanarak otomatik olarak yönetir, üyelerin özellikleri değiştiğinde grup dahil edilmesini günceller.
Bir Hizmet İlkesi, uygulamalar, barındırılan hizmetler ve Azure kaynaklarına erişim için otomatik araçlarla kullanım için oluşturulmuş bir kimliktir. Bu erişim, hizmet ilkesine atanan rollerle kısıtlanır, böylece hangi kaynakların erişilebileceği ve hangi düzeyde erişileceği üzerinde kontrol sağlar. Güvenlik nedenleriyle, hizmet ilkelerini otomatik araçlarla kullanmak her zaman önerilir, kullanıcı kimliği ile giriş yapmalarına izin vermektense.
Bir hizmet ilkesine doğrudan giriş yapmak mümkündür, bir gizli anahtar (parola), bir sertifika oluşturarak veya üçüncü taraf platformlara (örneğin, Github Actions) üzerinden federasyon erişimi vererek.
Parola kimlik doğrulamasını (varsayılan olarak) seçerseniz, oluşturulan parolayı kaydedin çünkü bir daha erişemezsiniz.
Sertifika kimlik doğrulamasını seçerseniz, uygulamanın özel anahtara erişimi olduğundan emin olun.
Bir Uygulama Kaydı, bir uygulamanın Entra ID ile entegre olmasına ve eylemler gerçekleştirmesine olanak tanıyan bir yapılandırmadır.
Uygulama Kimliği (İstemci Kimliği): Azure AD'deki uygulamanız için benzersiz bir tanımlayıcı.
Yeniden Yönlendirme URI'leri: Azure AD'nin kimlik doğrulama yanıtlarını gönderdiği URL'ler.
Sertifikalar, Gizli Anahtarlar ve Federasyon Kimlik Bilgileri: Uygulamanın hizmet ilkesi olarak giriş yapması için bir gizli anahtar veya sertifika oluşturmak veya ona federasyon erişimi vermek mümkündür (örneğin, Github Actions).
Eğer bir sertifika veya gizli anahtar oluşturulursa, bir kişi hizmet ilkesi olarak giriş yapmak için CLI araçlarıyla uygulama kimliğini, gizli anahtarı veya sertifikayı ve kiracıyı (alan adı veya kimlik) bilerek giriş yapabilir.
API İzinleri: Uygulamanın erişebileceği kaynakları veya API'leri belirtir.
Kimlik Doğrulama Ayarları: Uygulamanın desteklediği kimlik doğrulama akışlarını tanımlar (örneğin, OAuth2, OpenID Connect).
Hizmet İlkesi: Bir Uygulama oluşturulduğunda (web konsolundan yapılırsa) veya yeni bir kiracıya yüklendiğinde bir hizmet ilkesi oluşturulur.
Hizmet ilkesi, yapılandırıldığı tüm istenen izinleri alır.
Uygulamalar için kullanıcı onayı
Kullanıcı onayına izin vermeyin
Tüm uygulamalar için bir yönetici gerekecektir.
Doğrulanmış yayıncılardan, seçilen izinler için uygulamalar için kullanıcı onayına izin verin (Tavsiye Edilir)
Tüm kullanıcılar, "düşük etki" olarak sınıflandırılan izinler için, doğrulanmış yayıncılardan veya bu organizasyonda kayıtlı uygulamalar için onay verebilir.
Varsayılan düşük etki izinleri (bunları düşük olarak eklemek için kabul etmeniz gerekir):
User.Read - oturum açma ve kullanıcı profilini okuma
offline_access - kullanıcının erişim verdiği verilere erişimi sürdürme
openid - kullanıcıları oturum açtırma
profile - kullanıcının temel profilini görüntüleme
email - kullanıcının e-posta adresini görüntüleme
Uygulamalar için kullanıcı onayına izin verin (Varsayılan)
Tüm kullanıcılar, herhangi bir uygulamanın kuruluşun verilerine erişmesi için onay verebilir.
Yönetici onay talepleri: Varsayılan Hayır
Kullanıcılar, onay veremedikleri uygulamalar için yönetici onayı talep edebilir
Eğer Evet: Onay taleplerine onay verebilecek Kullanıcılar, Gruplar ve Roller belirtilebilir
Kullanıcıların e-posta bildirimleri ve son tarih hatırlatmaları alıp almayacağını da yapılandırın
Azure Active Directory'deki yönetilen kimlikler, uygulamaların kimliğini otomatik olarak yönetme çözümü sunar. Bu kimlikler, uygulamaların Azure Active Directory (Azure AD) kimlik doğrulaması ile uyumlu kaynaklara bağlanması amacıyla kullanılır. Bu, uygulamanın meta veri hizmetine erişerek Azure'daki belirtilen yönetilen kimlik olarak hareket etmek için geçerli bir token almasına olanak tanır, böylece bulut kimlik bilgilerini kodda sabitleme ihtiyacını ortadan kaldırır.
İki tür yönetilen kimlik vardır:
Sistem atamalı. Bazı Azure hizmetleri, bir hizmet örneği üzerinde yönetilen kimliği doğrudan etkinleştirmenize olanak tanır. Sistem atamalı bir yönetilen kimlik etkinleştirildiğinde, hizmet ilkesi, kaynağın bulunduğu Entra ID kiracısında oluşturulur. Kaynak silindiğinde, Azure otomatik olarak kimliği sizin için silmiştir.
Kullanıcı atamalı. Kullanıcıların yönetilen kimlikler oluşturması da mümkündür. Bunlar, bir abonelik içindeki bir kaynak grubunun içinde oluşturulur ve bir hizmet ilkesi, aboneliğe güvenilen EntraID'de oluşturulur. Daha sonra, yönetilen kimliği bir veya daha fazla Azure hizmeti örneğine (birden fazla kaynak) atayabilirsiniz. Kullanıcı atamalı yönetilen kimlikler için, kimlik, onu kullanan kaynaklardan ayrı olarak yönetilir.
Yönetilen Kimlikler, ona bağlı hizmet ilkesine erişmek için sonsuz kimlik bilgileri (parolalar veya sertifikalar gibi) oluşturmaz.
Bu, yalnızca hizmet ilkelerini filtrelemek ve atanan uygulamaları kontrol etmek için Azure'da bir tablodur.
Bu, başka bir "uygulama" türü değildir, Azure'da "Kurumsal Uygulama" olarak adlandırılan herhangi bir nesne yoktur, bu sadece Hizmet ilkelerini, Uygulama kayıtlarını ve yönetilen kimlikleri kontrol etmek için bir soyutlamadır.
İdari birimler, bir rol üzerinden bir organizasyonun belirli bir bölümüne izin vermeye olanak tanır.
Örnek:
Senaryo: Bir şirket, bölgesel BT yöneticilerinin yalnızca kendi bölgelerindeki kullanıcıları yönetmesini istiyor.
Uygulama:
Her bölge için İdari Birimler oluşturun (örneğin, "Kuzey Amerika AU", "Avrupa AU").
AU'ları kendi bölgelerindeki kullanıcılarla doldurun.
AU'lar kullanıcıları, grupları veya cihazları içerebilir.
AU'lar dinamik üyelikleri destekler.
AU'lar AU içeremez.
Yönetici Rolleri Atayın:
"Kullanıcı Yöneticisi" rolünü bölgesel BT personeline, kendi bölgesinin AU'suna göre atayın.
Sonuç: Bölgesel BT yöneticileri, diğer bölgeleri etkilemeden kendi bölgelerindeki kullanıcı hesaplarını yönetebilir.
Entra ID'yi yönetmek için Entra ID prensiplerine atanabilecek bazı yerleşik roller vardır.
Rolleri https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference adresinde kontrol edin.
En yüksek ayrıcalıklı rol Küresel Yöneticidir.
Rolün Tanımında, ayrıntılı izinlerini görebilirsiniz.
Roller, prensiplere bir kapsamda atanır: prensip -[HAS ROLE]->(kapsam)
Gruplara atanan roller, grubun tüm üyeleri tarafından devralınır.
Rolün atandığı kapsamına bağlı olarak, rol, kapsam konteyneri içindeki diğer kaynaklara devralınabilir. Örneğin, bir A kullanıcısının bir abonelikte rolü varsa, o rolü, abonelik içindeki tüm kaynak gruplarında ve kaynak grubundaki tüm kaynaklarda alır.
Sahip
Tüm kaynaklara tam erişim
Diğer kullanıcılar için erişimi yönetebilir
Tüm kaynak türleri
Katkıda Bulunan
Tüm kaynaklara tam erişim
Erişimi yönetemez
Tüm kaynak türleri
Okuyucu
• Tüm kaynakları görüntüleyin
Tüm kaynak türleri
Kullanıcı Erişim Yöneticisi
Tüm kaynakları görüntüleyin
Diğer kullanıcılar için erişimi yönetebilir
Tüm kaynak türleri
Belgelerden: Azure rol tabanlı erişim kontrolü (Azure RBAC), kullanıcılara, gruplara, hizmet ilkelerine ve yönetilen kimliklere atayabileceğiniz birkaç Azure yerleşik rolü vardır. Rol atamaları, Azure kaynaklarına erişimi kontrol etmenin yoludur. Yerleşik roller, kuruluşunuzun özel ihtiyaçlarını karşılamıyorsa, kendi Azure özel rollerinizi** oluşturabilirsiniz.**
Yerleşik roller yalnızca amaçlandıkları kaynaklara uygulanır, örneğin, Hesaplama kaynakları üzerindeki bu 2 yerleşik rol örneğine bakın:
Disk yedeklemesi gerçekleştirmek için yedekleme kasasına izin verir.
3e5e47e6-65f7-47ef-90b5-e5dd4d455f24
Portaldaki Sanal Makineleri görüntüleyin ve normal bir kullanıcı olarak giriş yapın.
fb879df8-f326-4884-b1cf-06f3ad86be52
Bu roller, mantıksal konteynerler (yönetim grupları, abonelikler ve kaynak grupları gibi) üzerinde de atanabilir ve etkilenen prensipler, bu konteynerlerin içindeki kaynaklar üzerinde bu rollere sahip olacaktır.
Burada tüm Azure yerleşik rollerinin bir listesini bulabilirsiniz.
Burada tüm Entra ID yerleşik rollerinin bir listesini bulabilirsiniz.
Özel roller oluşturmak da mümkündür.
Bunlar bir kapsam içinde oluşturulur, ancak bir rol birden fazla kapsamda (yönetim grupları, abonelikler ve kaynak grupları) olabilir.
Özel rolün sahip olacağı tüm ayrıntılı izinleri yapılandırmak mümkündür.
İzinleri hariç tutmak mümkündür.
Hariç tutulan bir izne sahip bir prensip, izin başka bir yerde verilse bile onu kullanamaz.
Joker karakterler kullanmak mümkündür.
Kullanılan format bir JSON'dur.
actions, kaynak üzerindeki kontrol eylemleri içindir.
dataActions, nesne içindeki verilere yönelik izinlerdir.
Özel bir rol için izinlerin JSON örneği:
Bir prensibin bir kaynağa erişim hakkı olması için ona açık bir rol verilmesi gerekir (herhangi bir şekilde) ona bu izni veren.
Açık bir reddetme rol ataması, izni veren rolün önceliğine sahiptir.
Küresel Yöneticisi, Entra ID kiracısı üzerinde tam kontrol sağlayan bir Entra ID rolüdür. Ancak, varsayılan olarak Azure kaynakları üzerinde herhangi bir izin vermez.
Küresel Yöneticisi rolüne sahip kullanıcılar, Kök Yönetim Grubu'nda Kullanıcı Erişim Yöneticisi Azure rolüne 'yükseltme' yeteneğine sahiptir. Bu nedenle, Küresel Yöneticiler tüm Azure aboneliklerinde ve yönetim gruplarında erişimi yönetebilir. Bu yükseltme sayfanın sonunda yapılabilir: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties
Azure Politikaları, organizasyonların kaynaklarının belirli standartlara ve uyumluluk gereksinimlerine uygun olmasını sağlamalarına yardımcı olan kurallardır. Bu politikalar, Azure'daki kaynaklar üzerinde ayarları uygulamanıza veya denetlemenize olanak tanır. Örneğin, yetkisiz bir bölgede sanal makinelerin oluşturulmasını engelleyebilir veya tüm kaynakların izleme için belirli etiketlere sahip olmasını sağlayabilirsiniz.
Azure Politikaları proaktiftir: uyumsuz kaynakların oluşturulmasını veya değiştirilmesini durdurabilir. Ayrıca reaktif olup, mevcut uyumsuz kaynakları bulmanıza ve düzeltmenize olanak tanır.
Politika Tanımı: Ne yapılmasına izin verildiğini veya neyin gerekli olduğunu belirten, JSON formatında yazılmış bir kural.
Politika Ataması: Bir politikanın belirli bir kapsamda (örneğin, abonelik, kaynak grubu) uygulanması.
İnisiyatifler: Daha geniş bir uygulama için bir araya getirilmiş politika koleksiyonu.
Etkisi: Politika tetiklendiğinde ne olacağını belirtir (örneğin, "Reddet", "Denetle" veya "Ekle").
Bazı örnekler:
Belirli Azure Bölgeleri ile Uyum Sağlama: Bu politika, tüm kaynakların belirli Azure bölgelerinde dağıtılmasını sağlar. Örneğin, bir şirket tüm verilerinin GDPR uyumluluğu için Avrupa'da saklandığından emin olmak isteyebilir.
İsimlendirme Standartlarını Uygulama: Politikalar, Azure kaynakları için isimlendirme kurallarını uygulayabilir. Bu, kaynakları düzenlemeye ve isimlerine göre kolayca tanımlamaya yardımcı olur, bu da büyük ortamlarda faydalıdır.
Belirli Kaynak Türlerini Kısıtlama: Bu politika, belirli türde kaynakların oluşturulmasını kısıtlayabilir. Örneğin, maliyetleri kontrol etmek için belirli VM boyutları gibi pahalı kaynak türlerinin oluşturulmasını engellemek için bir politika ayarlanabilir.
Etiketleme Politikalarını Uygulama: Etiketler, kaynak yönetimi için kullanılan Azure kaynakları ile ilişkili anahtar-değer çiftleridir. Politikalar, belirli etiketlerin mevcut olmasını veya tüm kaynaklar için belirli değerlere sahip olmasını zorunlu kılabilir. Bu, maliyet takibi, sahiplik veya kaynakların kategorize edilmesi için faydalıdır.
Kaynaklara Kamu Erişimini Sınırlama: Politikalar, belirli kaynakların, örneğin depolama hesapları veya veritabanları, kamu uç noktalarına sahip olmamasını zorunlu kılabilir, böylece yalnızca organizasyonun ağı içinde erişilebilir olmalarını sağlar.
Güvenlik Ayarlarını Otomatik Uygulama: Politikalar, kaynaklara otomatik olarak güvenlik ayarları uygulamak için kullanılabilir; örneğin, tüm VM'lere belirli bir ağ güvenlik grubunu uygulamak veya tüm depolama hesaplarının şifreleme kullanmasını sağlamak.
Azure Politikalarının Azure hiyerarşisinin herhangi bir seviyesine eklenebileceğini unutmayın, ancak genellikle kök yönetim grubunda veya diğer yönetim gruplarında kullanılır.
Azure politika json örneği:
Azure'da izinler hiyerarşinin herhangi bir parçasına atanabilir. Bu, yönetim gruplarını, abonelikleri, kaynak gruplarını ve bireysel kaynakları içerir. İzinler, atandıkları varlığın içindeki kaynaklar tarafından miras alınır.
Bu hiyerarşik yapı, erişim izinlerinin verimli ve ölçeklenebilir bir şekilde yönetilmesini sağlar.
RBAC (rol tabanlı erişim kontrolü), önceki bölümlerde gördüğümüz şeydir: Bir kaynağa erişim sağlamak için bir ilkeye rol atamak. Ancak, bazı durumlarda daha ince ayrıntılı erişim yönetimi sağlamak veya yüzlerce rol atanmasını yönetimini basitleştirmek isteyebilirsiniz.
Azure ABAC (özellik tabanlı erişim kontrolü), belirli eylemler bağlamında özelliklere dayalı rol atama koşulları ekleyerek Azure RBAC üzerine inşa edilmiştir. Bir rol atama koşulu, rol atamanıza isteğe bağlı olarak ekleyebileceğiniz ek bir kontrol'dür ve daha ince ayrıntılı erişim kontrolü sağlar. Bir koşul, rol tanımı ve rol ataması parçası olarak verilen izinleri filtreler. Örneğin, bir nesneyi okumak için nesnenin belirli bir etikete sahip olmasını gerektiren bir koşul ekleyebilirsiniz. Belirli kaynaklara koşullar kullanarak açıkça erişimi reddedemezsiniz.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
