Kuruluş Hiyerarşisi

Yönetim Grupları

Eğer kuruluşunuzda çok sayıda Azure aboneliği varsa, bu abonelikler için erişimi, politikaları ve uyumluluğu etkin bir şekilde yönetmek için bir yol gerekebilir. Yönetim grupları, aboneliklerin üzerinde bir yönetim kapsamı sağlar.

Unutmayın ki tek bir dizinde 10.000 yönetim grubu desteklenebilir ve bir yönetim grubu ağacı altı seviyeye kadar derinlik destekleyebilir.

Dokümantasyondan: Her dizine, kök yönetim grubu adı verilen bir üst düzey yönetim grubu verilir. Kök yönetim grubu, tüm yönetim gruplarını ve abonelikleri içerecek şekilde hiyerarşiye dahil edilmiştir. Bu kök yönetim grubu, genel politikaları ve Azure rol atamalarını dizin düzeyinde uygulamak için kullanılır. Azure AD Global Yöneticisi, başlangıçta bu kök grubun Kullanıcı Erişim Yöneticisi rolüne yükseltilmelidir. Erişimi yükselttikten sonra yönetici, hiyerarşiyi yönetmek için diğer dizin kullanıcılarına veya gruplarına herhangi bir Azure rolü atayabilir. Yönetici olarak, kök yönetimin grubunun sahibi olarak kendi hesabınızı atayabilirsiniz.

Kök yönetim grubu, diğer yönetim grupları gibi taşınabilir veya silinemez.

Yönetim grupları, sahip olabileceğiniz abonelik türüne bakılmaksızın ölçekte kurumsal düzeyde yönetim sağlar. Ancak, tek bir yönetim grubu içindeki tüm aboneliklerin, aynı Azure Active Directory (Azure AD) kiracına güvenmesi gerekmektedir.

Azure Abonelikleri

Azure'da bir abonelik, iş veya teknik kaynakların provisioning amacıyla bir mantıksal konteyner olarak hizmet eder. Bu konteyner, sanal makineler (VM'ler), veritabanları gibi kaynakların ayrıntılarını korur. Bir Azure kaynağı, örneğin bir VM oluşturulduğunda, onunla ilişkilendirilen abonelik belirtilir. Bu yapı, rol tabanlı erişim kontrol mekanizmalarını kullanarak erişimin yetkilendirilmesini kolaylaştırır.

Kaynak Grupları

Dokümantasyondan: Bir kaynak grubu, bir Azure çözümü için ilgili kaynakları içeren bir konteynerdir. Kaynak grubu, çözüm için tüm kaynakları veya yalnızca bir grup olarak yönetmek istediğiniz kaynakları içerebilir. Genellikle, aynı yaşam döngüsünü paylaşan kaynakları aynı kaynak grubuna eklersiniz, böylece bunları bir grup olarak kolayca dağıtabilir, güncelleyebilir ve silebilirsiniz.

Tüm kaynaklar, bir kaynak grubu içinde olmalıdır ve yalnızca bir gruba ait olabilir ve bir kaynak grubu silindiğinde, içindeki tüm kaynaklar da silinir.

Yönetim Birimleri

Dokümantasyondan: Yönetim birimleri, kuruluşunuzu istediğiniz herhangi bir birime bölmek ve ardından yalnızca o birimin üyelerini yönetebilecek belirli yöneticileri atamak için kullanılır. Örneğin, büyük bir üniversitenin her bir okulunun yöneticilerine izinleri devretmek, böylece sadece Mühendislik Fakültesi'nde erişimi kontrol edebilmelerini, kullanıcıları yönetebilmelerini ve politikaları sadece Mühendislik Fakültesi'nde ayarlayabilmelerini sağlamak için yönetim birimlerini kullanabilirsiniz.

Yalnızca kullanıcılar, gruplar ve cihazlar bir yönetim biriminin üyesi olabilir.

Bu nedenle, bir Yönetim birimi, bazı üyeleri içerecek ve diğer başlıkların bu yönetim birimini yönetmek için atanan izinlere sahip olacaklarını kullanabilecekleri bir yönetim birimi olacaktır.

Azure vs Azure AD vs Azure AD Domain Services

Önemli bir nokta olarak, Azure AD, Azure'ın içindeki bir hizmettir. Azure, Microsoft'un bulut platformu iken, Azure AD, Azure'da bulunan kurumsal kimlik hizmetidir. Ayrıca, Azure AD, Windows Active Directory gibi değildir, tamamen farklı bir şekilde çalışan bir kimlik hizmetidir. Windows Active Directory ortamınız için bir Etki Alanı Denetleyicisi'ni Azure'da çalıştırmak istiyorsanız, Azure AD Domain Services'i kullanmanız gerekmektedir.

Başlıklar

Azure, farklı türde başlıkları destekler:

• Kullanıcı: Erişim için kimlik bilgilerine sahip olan bir kişi.

• Grup: Birlikte yönetilen bir başlık grubu. Gruplara verilen izinler, üyeleri tarafından miras alınır.

• Hizmet Başlığı/Kurumsal Uygulamalar: Azure kaynaklarına erişmek için uygulamalar, barındırılan hizmetler ve otomatik araçlarla kullanılmak üzere oluşturulan bir kimlik'tir. Bu erişim, hizmet başlığına atanan roller tarafından

Roller ve İzinler

Roller, ilkeler üzerinde ilgili kullanıcılara atanır: kullanıcı -[ROL SAHİBİ]->(ilke)

Gruplara atanmış roller, grup üyeleri tarafından miras alınır.

Rolün atanmış olduğu kapsama bağlı olarak, rol, kapsam içindeki diğer kaynaklara miras alınabilir. Örneğin, bir kullanıcının bir abonelikte rolü varsa, bu rolü abonelik içindeki tüm kaynak gruplarına ve kaynak grubundaki tüm kaynaklara sahip olacaktır.

Klasik Roller

Yerleşik Roller

Dökümantasyondan: Azure rol tabanlı erişim kontrolü (Azure RBAC), kullanıcılara, gruplara, hizmet prensiplerine ve yönetilen kimliklere atayabileceğiniz birkaç Azure yerleşik rolü içerir. Rol atamaları, Azure kaynaklarına erişimi kontrol etmenin yoludur. Kuruluşunuzun belirli ihtiyaçlarını karşılamayan yerleşik roller varsa, kendi Azure özel rollerinizi oluşturabilirsiniz.

Yerleşik roller, yalnızca hedefledikleri kaynaklar üzerinde uygulanır. Örneğin, Bilgi İşlem kaynakları üzerindeki 2 örnek yerleşik rolü kontrol edin:

Bu roller ayrıca mantıksal konteynerlere (yönetim grupları, abonelikler ve kaynak grupları gibi) atanabilir ve etkilenecek ilgili kaynaklar üzerinde bu rolleri sahipleri olacaktır.

• Tüm Azure yerleşik rollerinin bir listesini burada bulabilirsiniz.

• Tüm Azure AD yerleşik rollerinin bir listesini burada bulabilirsiniz.

Özel Roller

Azure, kullanıcının ihtiyaç duyduğu izinlerle özel roller oluşturmayı da sağlar.

İzin Reddedildi

• Bir kullanıcının bir kaynağa erişimi olması için, ona verilen bir rolün (her ne şekilde olursa olsun) o izni vermesi gerekir.

• Bir rolün izni veren rolün üzerinde reddetme rolü atanmışsa, reddetme rolü izni veren rolün üzerindeki izni geçersiz kılar.

Global Yönetici

Global Yönetici rolüne sahip kullanıcılar, User Access Administrator Azure rolünü kök yönetim grubuna yükseltebilir. Bu, Global Yöneticinin tüm Azure aboneliklerini ve yönetim gruplarını yönetebilmesi anlamına gelir. Bu yükseltme, şu adreste yapılabilir: https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties

Azure İlkeleri

Azure ilkeleri, Microsoft Azure'da kurallar ve düzenlemeler olarak tanımlanır ve kurumsal standartları yönetmeye, uyumluluğu değerlendirmeye yardımcı olur. Bu ilkeler, Azure kaynakları üzerinde farklı kurallar uygular ve bu kaynakların kurumsal standartlara ve hizmet düzeyi anlaşmalarına uygun kalmasını sağlar.

Azure ilkeleri, bulut yönetişimi ve güvenliği için önemlidir ve kaynakların doğru ve verimli bir şekilde kullanıldığından, harici düzenlemelere ve iç politikalara uyulduğundan emin olur. Örnekler:

1. Belirli Azure Bölgelerine Uygunluk Sağlama: Bu ilke, tüm kaynakların belirli Azure bölgelerine dağıtılmasını sağlar. Örneğin, bir şirket, tüm verilerinin GDPR uyumluluğu için Avrupa'da depolanmasını sağlamak isteyebilir.

2. İsimlendirme Standartlarını Zorlama: İlkeler, Azure kaynakları için isimlendirme kurallarını zorlayabilir. Bu, büyük ortamlarda kaynakları isimlerine göre düzenlemeye ve kolayca tanımaya yardımcı olur.

3. Belirli Kaynak Türlerinin Sınırlanması: Bu ilke, belirli türdeki kaynakların oluşturulmasını sınırlayabilir. Örneğin, belirli VM boyutları gibi maliyetleri kontrol etmek için pahalı kaynak türlerinin oluşturulmasını engelleyen bir ilke belirlenebilir.

4. Etiketleme İlkelerini Zorlama: Etiketler, Azure kaynaklarıyla ilişkilendirilen anahtar-değer çiftleridir ve kaynak yönetimi için kullanılır. İlkeler, tüm kaynaklar için belirli etiketlerin var olması veya belirli değerlere sahip olması gerektiğini zorlayabilir. Bu, maliyet takibi, sahiplik veya kaynakların kategorize edilmesi için faydalıdır.

5. Kaynaklara Genel Erişimi Sınırlama: İlkeler, belirli kaynakların (depolama hesapları veya veritabanları gibi) genel uç noktalara sahip olmamasını ve yalnızca kuruluşun ağı içinde erişilebilir olmasını zorlayabilir.

6. Güvenlik Ayarlarının Otomatik Uygulanması: İlkeler, kaynaklara otomatik olarak güvenlik ayarları uygulamak için kullanılabilir. Örneğin, tüm VM'lerde belirli bir ağ güvenlik grubunun kullanılması veya tüm depolama hesaplarının şifreleme kullanması sağlanabilir.

Azure İlkeleri, Azure hiyerarşisinin herhangi bir seviyesine eklenmesi mümkündür, ancak genellikle kök yönetim grubunda veya diğer yönetim gruplarında kullanılır.

İzin Kapsamı

Azure'da izinler hiyerarşinin herhangi bir bölümüne atanabilir. Bu, yönetim grupları, abonelikler, kaynak grupları ve bireysel kaynaklar dahil olmak üzere tüm kaynaklara

Varsayılan Kullanıcı İzinleri

Bir temel kullanıcının AzureAD'nin bazı bölümlerini sıralamak için bazı varsayılan izinlere sahip olması gerekmektedir:

• Tüm kullanıcıları, Grupları, Uygulamaları, Cihazları, Rolleri, Abonelikleri ve genel özelliklerini okuma

• Misafirleri davet etme (kapatılabilir)

• Güvenlik grupları oluşturma

• Gizli olmayan Grup üyeliklerini okuma

• Misafirleri Sahip olduğu gruplara ekleme

• Yeni uygulama oluşturma (kapatılabilir)

• Azure'a en fazla 50 cihaz ekleme (kapatılabilir)

Tam kullanıcıların varsayılan izinlerinin listesini belgelere bakabilirsiniz. Ayrıca, bu listede misafirlerin varsayılan izinlerinin listesini de görebilirsiniz.

Ayrıcalıklı Kimlik Yönetimi (PIM)

Azure'da Ayrıcalıklı Kimlik Yönetimi (PIM), Azure Active Directory ve Azure'da ayrıcalıklı erişimi yöneten, denetleyen ve izleyen bir araçtır. Güvenliği artırırken, gerektiğinde ve belirli bir süreyle sınırlı ayrıcalıklı erişim sağlar, onay süreçlerini zorlar ve ek kimlik doğrulama gerektirir. Bu yaklaşım, yükseltilmiş izinlerin yalnızca gerektiğinde ve belirli bir süre için verildiğinden yetkisiz erişim riskini en aza indirir.

Kimlik Doğrulama Jetonları

OIDC'de kullanılan üç tür jeton bulunmaktadır:

• Erişim Jetonları: İstemci, bu jetonu kaynak sunucuya kaynaklara erişmek için sunar. Yalnızca belirli bir kullanıcı, istemci ve kaynak kombinasyonu için kullanılabilir ve süresi dolana kadar iptal edilemez - varsayılan olarak 1 saat. Bu kullanıldığında tespit düşüktür.

• Kimlik Jetonları: İstemci, bu jetonu yetkilendirme sunucusundan alır. Kullanıcı hakkında temel bilgiler içerir. Belirli bir kullanıcı ve istemci kombinasyonuna bağlıdır.

• Yenileme Jetonları: İstemciye erişim jetonu ile birlikte sağlanır. Yeni erişim ve kimlik jetonları almak için kullanılır. Belirli bir kullanıcı ve istemci kombinasyonuna bağlıdır ve iptal edilebilir. İnaktif yenileme jetonları için varsayılan süre 90 gün, etkin jetonlar için ise süresizdir.

Erişim jetonlarını isteme ve bunlarla giriş yapma yöntemlerini öğrenmek için aşağıdaki sayfaya bakın:

En yaygın API uç noktaları şunlardır:

• Azure Kaynak Yöneticisi (ARM): management.azure.com

• Microsoft Graph: graph.microsoft.com (Eski Azure AD Graph, graph.windows.net olarak adlandırılır)

Referanslar

• https://learn.microsoft.com/en-us/azure/governance/management-groups/overview

• https://learn.microsoft.com/en-us/azure/cloud-adoption-framework/ready/azure-best-practices/organize-subscriptions

• https://abouttmc.com/glossary/azure-subscription/#:~:text=An%20Azure%20subscription%20is%20a,the%20subscription%20it%20belongs%20to.

• https://learn.microsoft.com/en-us/azure/role-based-access-control/overview#how-azure-rbac-determines-if-a-user-has-access-to-a-resource