Che cos'è il controllo degli accessi in base al ruolo di Azure?

  • 8 minuti

Quando si parla di identità e accesso, la maggior parte delle organizzazioni che stanno valutando l'uso del cloud pubblico è interessata a due aspetti:

  1. Assicurarsi che gli utenti non abbiano più accesso alle risorse nel cloud quando lasciano l'organizzazione.
  2. Trovare il giusto equilibrio tra autonomia e governance centrale. Ad esempio, offrendo ai team di progetto la possibilità di creare e gestire macchine virtuali nel cloud, controllando centralmente le reti usate dalle macchine virtuali per comunicare con altre risorse.

Microsoft Entra ID e Controllo degli accessi in base al ruolo di Azure interagiscono per semplificare l'esecuzione di questi obiettivi.

Sottoscrizioni Azure

Prima di tutto, tenere presente che ogni sottoscrizione di Azure è associata a una singola directory di Microsoft Entra. Utenti, gruppi e applicazioni in tale directory possono gestire le risorse nella sottoscrizione di Azure. Le sottoscrizioni usano Microsoft Entra ID per l'accesso Single Sign-On (SSO) e per la gestione degli accessi. È possibile estendere Active Directory locale al cloud usando Microsoft Entra Connect. Questa funzionalità consente ai dipendenti di gestire le sottoscrizioni di Azure usando le identità aziendali esistenti. Quando un account Active Directory locale viene disabilitato, perde automaticamente l'accesso a tutte le sottoscrizioni di Azure connesse a Microsoft Entra ID.

Qual è il controllo degli accessi in base al ruolo (RBAC) di Azure?

Il controllo degli accessi in base al ruolo di Azure è un sistema di autorizzazione basato su Azure Resource Manager che offre una gestione degli accessi con granularità fine per le risorse in Azure. Con il controllo degli accessi in base al ruolo di Azure, è possibile concedere agli utenti esattamente il tipo di accesso di cui hanno bisogno per svolgere il proprio lavoro. Ad esempio, è possibile usare il controllo degli accessi in base al ruolo di Azure per consentire a un dipendente di gestire le macchine virtuali in una sottoscrizione, mentre un altro gestisce i database SQL all'interno della stessa sottoscrizione.

Il video seguente descrive in modo dettagliato il controllo degli accessi in base al ruolo di Azure:

È possibile concedere l'accesso assegnando il ruolo di Azure appropriato a utenti, gruppi e applicazioni in un ambito specifico. L'ambito di un'assegnazione di ruolo può essere un gruppo di gestione, una sottoscrizione, un gruppo di risorse o una singola risorsa. Un ruolo assegnato a un ambito padre concede anche l'accesso agli ambiti figlio contenuti al suo interno. Ad esempio, un utente con accesso a un gruppo di risorse può gestire tutte le risorse che contiene, ad esempio siti Web, macchine virtuali e subnet. Il ruolo di Azure assegnato determina quali risorse l'utente, il gruppo o l'applicazione può gestire in tale ambito.

Il diagramma seguente illustra come i ruoli di amministratore di una sottoscrizione classica, i ruoli di Azure e i ruoli di Microsoft Entra siano correlati a livello generale. Gli ambiti figlio, ad esempio le istanze del servizio, ereditano i ruoli assegnati a un ambito superiore, ad esempio un'intera sottoscrizione.

Diagramma che illustra come i ruoli di amministratore della sottoscrizione classica, i ruoli di Azure e i ruoli di Microsoft Entra sono correlati a livello generale.

Nel diagramma precedente una sottoscrizione è associata a un solo tenant di Microsoft Entra. Si noti anche che un gruppo di risorse può avere più risorse, ma è associato a un solo abbonamento. Nonostante non sia evidente dal diagramma, una risorsa può essere associata a un solo gruppo di risorse.

Che cosa è possibile fare con il controllo degli accessi in base al ruolo di Azure?

Il controllo degli accessi in base al ruolo di Azure consente di concedere l'accesso a risorse di Azure controllate personalmente. Si supponga di dover gestire l'accesso alle risorse di Azure per i team di sviluppo, progettazione e marketing. Si sono già ricevute le prime richieste di accesso, quindi è importante imparare velocemente come funziona la gestione dell'accesso per le risorse in Azure.

Di seguito sono riportati alcuni scenari che è possibile implementare con il controllo degli accessi in base al ruolo di Azure:

  • Consentire a un utente di gestire le macchine virtuali in una sottoscrizione e a un altro utente di gestire le reti virtuali.
  • Consentire a un gruppo di amministratori di database di gestire i database SQL in una sottoscrizione.
  • Consentire a un utente di gestire tutte le risorse in un gruppo di risorse, ad esempio macchine virtuali, siti Web e subnet.
  • Consentire a un'applicazione di accedere a tutte le risorse in un gruppo di risorse.

Controllo degli accessi in base al ruolo di Azure nel portale di Azure

In diverse aree del portale di Azure è presente un riquadro denominato Controllo di accesso (IAM), noto anche come gestione delle identità e degli accessi. Questo riquadro mostra chi ha accesso alle varie aree e con quale ruolo. Può essere usato anche per concedere o rimuovere l'accesso.

Di seguito è illustrato un esempio del riquadro Controllo di accesso (IAM) per un gruppo di risorse. In questo esempio ad Alain è stato assegnato il ruolo Operatore di backup per questo gruppo di risorse.

Screenshot del portale di Azure che mostra il riquadro Controllo di accesso di Assegnazione di ruolo con la sezione Operatore di backup evidenziata.

Come funziona il controllo degli accessi in base al ruolo di Azure?

Per controllare l'accesso alle risorse mediante Controllo degli accessi in base al ruolo di Azure, occorre creare assegnazioni di ruolo, che controllano la modalità di applicazione delle autorizzazioni. Per creare un'assegnazione di ruolo sono necessari tre elementi: un'entità di sicurezza, una definizione del ruolo e un ambito. È possibile pensare a questi elementi come chi, cosa e dove.

1. Entità di sicurezza (chi)

Per entità di sicurezza si intende un utente, un gruppo o un'applicazione a cui si vuole concedere l'accesso.

Illustrazione che mostra un'entità di sicurezza che include utente, gruppo ed entità di sicurezza.

2. Definizione del ruolo (cosa)

Una definizione di ruolo è una raccolta di autorizzazioni, talvolta semplicemente chiamata ruolo. Una definizione di ruolo elenca le autorizzazioni che il ruolo può eseguire, ad esempio lettura, scrittura ed eliminazione. I ruoli possono essere di livello superiore, come Proprietario, o specifici, come Collaboratore Macchina virtuale.

Illustrazione dell'elenco dei diversi ruoli predefiniti e personalizzati con zoom sulla definizione del ruolo Collaboratore.

Azure include diversi ruoli predefiniti che è possibile usare. I quattro ruoli predefiniti fondamentali sono i seguenti:

  • Proprietario: ha accesso completo a tutte le risorse, incluso il diritto di delegare l'accesso ad altri utenti.
  • Collaboratore: può creare e gestire tutti i tipi di risorse di Azure, ma non può concedere l'accesso ad altri utenti.
  • Lettore: può visualizzare le risorse di Azure esistenti.
  • Amministratore accesso utenti: consente di gestire l'accesso utente alle risorse di Azure.

Se i ruoli predefiniti non soddisfano le esigenze specifiche dell'organizzazione, è possibile creare ruoli personalizzati.

3. Ambito (dove)

L'ambito definisce il livello di applicazione dell'accesso. Ciò è utile se si vuole rendere un collaboratore di un sito Web ma solo per un gruppo di risorse.

In Azure è possibile specificare un ambito su più livelli: gruppo di gestione, sottoscrizione, gruppo di risorse o risorsa. Gli ambiti sono strutturati in una relazione padre-figlio. Quando si concede l'accesso a un ambito padre, gli ambiti figlio ereditano automaticamente tali autorizzazioni. Ad esempio, se a un gruppo viene assegnato il ruolo Collaboratore nell'ambito della sottoscrizione, erediterà il ruolo per tutti i gruppi di risorse e le risorse all'interno della sottoscrizione.

Illustrazione che mostra una rappresentazione gerarchica di diversi livelli di Azure per l'applicazione dell'ambito. La gerarchia, a partire dal livello più alto, è nell'ordine seguente: gruppo di gestione, sottoscrizione, gruppo di risorse e risorsa.

Assegnazione di ruolo

Una volta determinato il chi, il cosa e il dove, è possibile unire questi elementi per concedere l'accesso. Un'assegnazione di ruolo è il processo di associazione di un ruolo a un'entità di sicurezza in un particolare ambito ai fini della concessione dell'accesso. Per concedere l'accesso, si creerà un'assegnazione di ruolo. Per revocare l'accesso, si rimuoverà un'assegnazione di ruolo.

Nell'esempio seguente, al gruppo Marketing è stato assegnato il ruolo Collaboratore nell'ambito del gruppo di risorse Sales.

Illustrazione che mostra un processo di assegnazione di ruolo di esempio per il gruppo Marketing, che è una combinazione di entità di sicurezza, definizione del ruolo e ambito. Il gruppo Marketing rientra nell'entità di sicurezza Gruppo e dispone del ruolo di Collaboratore per l'ambito del gruppo di risorse.

Il controllo degli accessi in base al ruolo di Azure è un modello di autorizzazione

Il controllo degli accessi in base al ruolo di Azure è un modello di autorizzazione. Ciò significa che quando viene assegnato un ruolo, il controllo degli accessi in base al ruolo di Azure consente di eseguire determinate azioni, ad esempio lettura, scrittura o eliminazione. Se un'assegnazione di ruolo concede le autorizzazioni di lettura a un gruppo di risorse e un'assegnazione di ruolo diversa concede le autorizzazioni di scrittura allo stesso gruppo di risorse, si avranno autorizzazioni di lettura e scrittura per tale gruppo di risorse.

Il controllo degli accessi in base al ruolo di Azure include una funzionalità denominata autorizzazioni NotActions. È possibile usare NotActions per creare un set di autorizzazioni non consentite. L'accesso che un ruolo concede (ovvero le autorizzazioni effettive) viene calcolato sottraendo le operazioni NotActions dalle operazioni Actions. Il ruolo Collaboratore, ad esempio, include sia Actions che NotActions. Il carattere jolly (*) in Actions indica che è possibile eseguire tutte le operazioni sul piano di controllo. Quindi le operazioni seguenti vengono sottratte da NotActions, per calcolare le autorizzazioni valide:

  • Eliminare ruoli e assegnazioni di ruoli
  • Creare ruoli e assegnazioni di ruoli
  • Concedere al chiamante l'accesso di tipo Amministratore Accesso utenti a livello dell'ambito del tenant
  • Creare o aggiornare gli artefatti del progetto
  • Eliminare gli artefatti del progetto