University of Bern
Dokumentationen
  1. Dokumentationen
  2. Cloud
  3. Azure
  4. Erste Schritte
  5. Berechtigung

Dokumentationen

Berechtigung

Azure arbeitet bei fast allen Ressourcen nach dem Role Based Access Control (RBAC) Prinzip. Die festgelegten Rollen sind dabei entweder von Azure direkt zur Verfügung gestellt (sogenannte BuiltIn Rollen) oder man kann selber Rollen erstellen (sogenannte Custom Rollen).

Im Zusammenhang mit der Subscription, welche von den Informatikdiensten bereitgestellt wird, sind folgende zwei Rollen von Bedeutung:

  • Unibe-Application-Owner (mg-unibe) Diese Rolle wird direkt Personen oder Gruppen vergeben. Die Rolle berechtigt zur Verwaltung der Ressourcen innerhalb einer Subscription.

  • Unibe-Subscription-Owner (mg-unibe) Diese Rolle wird nur über aktivierbare Gruppen vergeben. Dies bedeutet, dass man diese Rolle beantragen muss. Die Rolle berechtigt zur Verwaltung der Subscription. Dazu gehört, dass man Einstellungen an der Subscription tätigen sowie weitere Personen berechtigen kann. Ebenso ist diese Rolle gedacht für die Budget Einstellungen innerhalb einer Subscription.

Vererbung

Jede Berechtigung wird Standardmässig vererbt. Dies bedeutet, dass wenn man eine bestimmte Operation auf der Subscription erlaubt, diese auch für alle Ressourcen gilt die in dieser Subscription angeboten werden.

architecture-beta
    group azure[Azure]
    group mgz[Management Groups] in azure
    group subz[Subscriptions] in azure
    group rgz[Resource Groups] in azure
    group rz[Resources] in azure

    service mg(azure:management-groups) in mgz
    service sub(azure:subscriptions) in subz
    service rg(azure:resource-groups) in rgz
    service r1(azure:key-vaults) in rz
    service r2(azure:virtual-machine) in rz
    service r3(azure:virtual-networks) in rz

    mg{group}:B --> T:sub{group}
    sub{group}:B --> T:rg{group}
    rg{group}:B --> T:r3{group}

    r3:L -- R:r2
    r3:R -- L:r1

Man kann eine Berechtigung an vier Stellen vergeben:

  1. In der Management Group (diese wird von den Informatikdiensten verwaltet).
  2. In der Subscription.
  3. In der Resource Group.
  4. In der Resource (der aktuellen Dienstleistung von Azure).

Rollen für Ressourcen

Während die Unibe-Subscription-Owner (mg-unibe) Rolle bei den meisten Ressourcen den Vollzugriff gewährt, gibt es einige Ressourcen in Azure, welche ein spezielles Rollenkonzept besitzen. Dazu gehören:

  • Storage Account
  • KeyVault
  • Azure VM (Anmeldung per EntraID)

Diese Ressourcen bieten speziellere Rollen um den Zugriff zu Regeln. Somit hat selbst eine Person mit Unibe-Subscription-Owner (mg-unibe) zwar die Berechtigung, die Resource auf Azure zu verwalten, jedoch nicht umbedingt die Berechtigung die Resource zu nutzen.

Example

Die Storage Blob Data Contributor Rolle bei einem Storage Account regelt den Schreibzugriff auf die Blob Daten. Jemand ohne diese Rolle hat keinen Schreibzugriff auf die Daten, selbst wenn man die Berechtigung hat die Rolle zu vergeben.

Diese Rollen können über die Rolle Unibe-Subscription-Owner (mg-unibe) vergeben werden. Auch hier gilt das Prinzip der Vererbung.

Example

Falls man einer Person in der gesammten Subscription Schreibzugriff über die Storage Blob Data Contributor Rolle vergibt, so hat diese Person Zugriff zu allen Storage Accounts innerhalb der Subscription

Anleitungen

Nächste Schritte

Nachdem man sich die Owner Rechte auf die Subscription vergeben hat, kann man das Standardbudget bearbeiten. Sehen Sie hierfür den Artikel über das Budget.

Weiterführende Informationen