Az - Basic Information
Gerarchia dell'Organizzazione
Gruppi di Gestione
Se la tua organizzazione ha molti abbonamenti Azure, potresti aver bisogno di un modo efficiente per gestire l'accesso, le politiche e la conformità per quegli abbonamenti. I gruppi di gestione forniscono un ambito di governance sopra gli abbonamenti.
Nota che 10.000 gruppi di gestione possono essere supportati in una singola directory e un albero di gruppi di gestione può supportare fino a sei livelli di profondità.
Dalla documentazione: Ogni directory è dotata di un singolo gruppo di gestione di livello superiore chiamato gruppo di gestione radice. Il gruppo di gestione radice è integrato nella gerarchia per avere tutti i gruppi di gestione e gli abbonamenti che si piegano ad esso. Questo gruppo di gestione radice consente di applicare politiche globali e assegnazioni di ruoli Azure a livello di directory. L'Amministratore Globale di Azure AD deve elevare se stesso al ruolo di Amministratore dell'Accesso Utente di questo gruppo radice inizialmente. Dopo aver elevato l'accesso, l'amministratore può assegnare qualsiasi ruolo Azure ad altri utenti o gruppi della directory per gestire la gerarchia. Come amministratore, puoi assegnare il tuo account come proprietario del gruppo di gestione radice.
Il gruppo di gestione radice non può essere spostato o eliminato, a differenza di altri gruppi di gestione.
I gruppi di gestione ti offrono una gestione di livello enterprise su larga scala, indipendentemente dal tipo di abbonamenti che potresti avere. Tuttavia, tutti gli abbonamenti all'interno di un singolo gruppo di gestione devono fidarsi dello stesso tenant di Azure Active Directory (Azure AD).
Abbonamenti Azure
In Azure, un abbonamento serve come un contenitore logico per lo scopo di fornire risorse aziendali o tecniche. Questo contenitore mantiene i dettagli delle risorse come macchine virtuali (VM), database, tra gli altri. Alla creazione di una risorsa Azure, come una VM, viene specificato l'abbonamento associato ad essa. Questa struttura facilita la delega dell'accesso, utilizzando meccanismi di controllo degli accessi basati sui ruoli.
Gruppi di Risorse
Dalla documentazione: Un gruppo di risorse è un contenitore che contiene risorse correlate per una soluzione Azure. Il gruppo di risorse può includere tutte le risorse per la soluzione, o solo quelle risorse che vuoi gestire come un gruppo. Generalmente, aggiungi risorse che condividono lo stesso ciclo di vita allo stesso gruppo di risorse in modo da poterle facilmente distribuire, aggiornare ed eliminare come un gruppo.
Tutte le risorse devono essere all'interno di un gruppo di risorse e possono appartenere solo a un gruppo e se un gruppo di risorse viene eliminato, tutte le risorse al suo interno vengono anch'esse eliminate.
Unità Amministrative
Dalla documentazione: Le unità amministrative ti permettono di suddividere la tua organizzazione in qualsiasi unità che desideri, e poi assegnare amministratori specifici che possono gestire solo i membri di quell'unità. Ad esempio, potresti usare le unità amministrative per delegare i permessi agli amministratori di ogni scuola in una grande università, in modo che possano controllare l'accesso, gestire gli utenti e impostare politiche solo nella Scuola di Ingegneria.
Solo utenti, gruppi e dispositivi possono essere membri di un'unità amministrativa.
Pertanto, un'unità amministrativa conterrà alcuni membri e altri principali saranno assegnati permessi su quell'unità amministrativa che possono usare per gestire i membri dell'unità amministrativa.
Azure vs Azure AD vs Azure AD Domain Services
È importante notare che Azure AD è un servizio all'interno di Azure. Azure è la piattaforma cloud di Microsoft mentre Azure AD è un servizio di identità aziendale in Azure. Inoltre, Azure AD non è come Windows Active Directory, è un servizio di identità che funziona in modo completamente diverso. Se vuoi eseguire un Domain Controller in Azure per il tuo ambiente Windows Active Directory devi usare Azure AD Domain Services.
Principali
Azure supporta diversi tipi di principali:
Utente: Una persona regolare con credenziali per accedere.
Gruppo: Un gruppo di principali gestiti insieme. I permessi concessi ai gruppi sono ereditati dai suoi membri.
Service Principal/Enterprise Applications: È un'identità creata per uso con applicazioni, servizi ospitati e strumenti automatizzati per accedere alle risorse Azure. Questo accesso è limitato dai ruoli assegnati al service principal, dandoti controllo su quali risorse possono essere accedute e a quale livello. Per motivi di sicurezza, è sempre raccomandato usare service principal con strumenti automatizzati piuttosto che permettere loro di accedere con un'identità utente.
Quando crei un service principal puoi scegliere tra autenticazione con password o autenticazione con certificato.
Se scegli l'autenticazione con password (di default), salva la password generata poiché non potrai più accedervi.
Se scegli l'autenticazione con certificato, assicurati che l'applicazione avrà accesso alla chiave privata.
Managed Identity (Metadata Creds): Le identità gestite in Azure Active Directory offrono una soluzione per gestire automaticamente l'identità delle applicazioni. Queste identità sono usate dalle applicazioni per connettersi a risorse compatibili con l'autenticazione di Azure Active Directory (Azure AD). Utilizzando le identità gestite, le applicazioni possono ottenere token Azure AD senza la necessità di gestire direttamente le credenziali. Ci sono due tipi di identità gestite:
Assegnata dal sistema. Alcuni servizi Azure ti permettono di abilitare un'identità gestita direttamente su un'istanza di servizio. Quando abiliti un'identità gestita assegnata dal sistema, viene creata un'identità in Azure AD. L'identità è legata al ciclo di vita di quell'istanza di servizio. Quando la risorsa viene eliminata, Azure elimina automaticamente l'identità per te. Per design, solo quella risorsa Azure può usare questa identità per richiedere token da Azure AD.
Assegnata dall'utente. Puoi anche creare un'identità gestita come risorsa Azure autonoma. Puoi creare un'identità gestita assegnata dall'utente e assegnarla a una o più istanze di un servizio Azure (più risorse). Per le identità gestite assegnate dall'utente, l'identità è gestita separatamente dalle risorse che la utilizzano.
Ruoli e Permessi
I ruoli sono assegnati ai principali su un ambito: principal -[HAS ROLE]->(scope)
I ruoli assegnati ai gruppi sono ereditati da tutti i membri del gruppo.
A seconda dell'ambito a cui è stato assegnato il ruolo, il ruolo potrebbe essere ereditato da altre risorse all'interno del contenitore dell'ambito. Ad esempio, se un utente A ha un ruolo sull'abbonamento, avrà quel ruolo su tutti i gruppi di risorse all'interno dell'abbonamento e su tutte le risorse all'interno del gruppo di risorse.
Ruoli Classici
Proprietario |
| Tutti i tipi di risorse |
Collaboratore |
| Tutti i tipi di risorse |
Lettore | • Visualizza tutte le risorse | Tutti i tipi di risorse |
Amministratore Accesso Utente |
| Tutti i tipi di risorse |
Ruoli Integrati
Dalla documentazione: Azure role-based access control (Azure RBAC) ha diversi ruoli integrati di Azure che puoi assegnare a utenti, gruppi, service principal e identità gestite. Le assegnazioni di ruoli sono il modo in cui controlli l'accesso alle risorse Azure. Se i ruoli integrati non soddisfano le esigenze specifiche della tua organizzazione, puoi creare i tuoi ruoli personalizzati di Azure.
I ruoli integrati si applicano solo alle risorse per cui sono destinati, ad esempio controlla questi 2 esempi di ruoli integrati su risorse Compute:
Fornisce il permesso al vault di backup per eseguire il backup del disco. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 | |
Visualizza le macchine virtuali nel portale e accedi come utente regolare. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
Questi ruoli possono anche essere assegnati su contenitori logici (come gruppi di gestione, abbonamenti e gruppi di risorse) e i principali interessati li avranno sulle risorse all'interno di quei contenitori.
Trova qui un elenco con tutti i ruoli integrati di Azure.
Trova qui un elenco con tutti i ruoli integrati di Azure AD.
Ruoli Personalizzati
Azure consente anche di creare ruoli personalizzati con i permessi necessari all'utente.
Permesso Negato
Affinché un principale abbia accesso a una risorsa, ha bisogno di un ruolo esplicito che gli venga concesso (in qualsiasi modo) concedendogli quel permesso.
Un'assegnazione di ruolo negata esplicitamente ha la precedenza sul ruolo che concede il permesso.
Amministratore Globale
Gli utenti con il ruolo di Amministratore Globale hanno la capacità di 'elevare' al ruolo di Amministratore dell'Accesso Utente di Azure al gruppo di gestione radice. Questo significa che un Amministratore Globale sarà in grado di gestire l'accesso a tutti gli abbonamenti e gruppi di gestione di Azure. Questa elevazione può essere fatta alla fine della pagina: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties
Politiche Azure
Le politiche Azure sono un insieme di regole e regolamenti in Microsoft Azure, un servizio di cloud computing, che aiutano a gestire e far rispettare gli standard organizzativi e a valutare la conformità su larga scala. Queste politiche impongono diverse regole sulle tue risorse Azure, assicurando che quelle risorse rimangano conformi agli standard aziendali e agli accordi sul livello di servizio.
Le politiche Azure sono cruciali per la governance e la sicurezza del cloud, aiutando a garantire che le risorse siano utilizzate correttamente ed efficientemente, e che siano conformi alle normative esterne e alle politiche interne. Alcuni esempi:
Garantire la Conformità con Specifiche Regioni Azure: Questa politica garantisce che tutte le risorse siano distribuite in specifiche regioni Azure. Ad esempio, un'azienda potrebbe voler garantire che tutti i suoi dati siano archiviati in Europa per la conformità al GDPR.
Imporre Standard di Nomenclatura: Le politiche possono imporre convenzioni di denominazione per le risorse Azure. Questo aiuta a organizzare e identificare facilmente le risorse in base ai loro nomi, il che è utile in ambienti di grandi dimensioni.
Limitare Certi Tipi di Risorse: Questa politica può limitare la creazione di certi tipi di risorse. Ad esempio, una politica potrebbe essere impostata per prevenire la creazione di tipi di risorse costose, come certe dimensioni di VM, per controllare i costi.
Imporre Politiche di Tagging: I tag sono coppie chiave-valore associate alle risorse Azure utilizzate per la gestione delle risorse. Le politiche possono imporre che certi tag debbano essere presenti, o avere valori specifici, per tutte le risorse. Questo è utile per il tracciamento dei costi, la proprietà o la categorizzazione delle risorse.
Limitare l'Accesso Pubblico alle Risorse: Le politiche possono imporre che certe risorse, come account di archiviazione o database, non abbiano endpoint pubblici, garantendo che siano accessibili solo all'interno della rete dell'organizzazione.
Applicare Automaticamente Impostazioni di Sicurezza: Le politiche possono essere utilizzate per applicare automaticamente impostazioni di sicurezza alle risorse, come applicare un gruppo di sicurezza di rete specifico a tutte le VM o garantire che tutti gli account di archiviazione utilizzino la crittografia.
Nota che le politiche Azure possono essere associate a qualsiasi livello della gerarchia Azure, ma sono comunemente utilizzate nel gruppo di gestione radice o in altri gruppi di gestione.
Ambito dei Permessi
In Azure i permessi possono essere assegnati a qualsiasi parte della gerarchia. Questo include gruppi di gestione, abbonamenti, gruppi di risorse e risorse individual
Last updated
