University of Bern
Dokumentationen
  1. Dokumentationen
  2. Cloud
  3. Azure
  4. Erste Schritte
  5. Berechtigungen

Dokumentationen

Berechtigungen

Azure basiert bei fast allen Ressourcen auf dem Role Based Access Control (RBAC) Prinzip. Die definierten Rollen werden dabei entweder von Azure direkt zur Verfügung gestellt (sogenannte BuiltIn Rollen) oder wurden individuell erstellt (sogenannte Custom Rollen).

Im Zusammenhang mit der von den Informatikdiensten bereitgestellten Subscription sind folgende zwei Rollen von Bedeutung:

  • Unibe-Application-Owner (mg-unibe) Diese Rolle wird direkt Personen oder Gruppen zugewiesen. Sie berechtigt zur Verwaltung der Ressourcen innerhalb einer Subscription.

  • Unibe-Subscription-Owner (mg-unibe) Diese Rolle wird ausschliesslich über aktivierbare Gruppen vergeben und muss beantragt werden. Sie berechtigt zur Verwaltung der Subscription, einschliesslich der Konfiguration von Einstellungen, der Zuweisung von Berechtigungen an weitere Personen sowie der Verwaltung der Budgeteinstellungen.

Vererbung

Jede Berechtigung wird standardmässig vererbt. Dies bedeutet, dass eine auf der Subscription-Ebene erteilte Berechtigung auch für alle Ressourcen gilt, welche in dieser Subscription enthalten sind.

architecture-beta
    group azure[Azure]
    group mgz[Management Groups] in azure
    group subz[Subscriptions] in azure
    group rgz[Resource Groups] in azure
    group rz[Resources] in azure

    service mg(azure:management-groups) in mgz
    service sub(azure:subscriptions) in subz
    service rg(azure:resource-groups) in rgz
    service r1(azure:key-vaults) in rz
    service r2(azure:virtual-machine) in rz
    service r3(azure:virtual-networks) in rz

    mg{group}:B --> T:sub{group}
    sub{group}:B --> T:rg{group}
    rg{group}:B --> T:r3{group}

    r3:L -- R:r2
    r3:R -- L:r1

Berechtigungen können an vier Stellen vergeben werden:

  1. In der Management Group (diese wird von den Informatikdiensten verwaltet)
  2. In der Subscription
  3. In der Resource Group
  4. In der Resource

Rollen für Ressourcen

Während die Rolle Unibe-Subscription-Owner (mg-unibe) bei den meisten Ressourcen Vollzugriff gewährt, existieren einige Ressourcen in Azure, welche ein spezielles Rollenkonzept besitzen. Dazu gehören:

  • Storage Account
  • KeyVault
  • Azure VM

Diese Ressourcen bieten speziellere Rollen zur Zugriffsregelung. Somit verfügen Personen mit der Rolle Unibe-Subscription-Owner (mg-unibe) zwar über die Berechtigung, die Ressource auf Azure zu verwalten, jedoch nicht zwingend über die Berechtigung, die Ressource zu nutzen. Bei einem Storage Account werden beispielsweise spezielle Rollen für den Zugriff auf Blob-, Queue-, Table- und File-Daten benötigt. Für KeyVault existieren dedizierte Rollen für den Zugriff auf Secrets, Keys und Certificates. Bei Azure VMs mit EntraID-Anmeldung werden ebenfalls spezifische Rollen für den Zugriff benötigt.

Example

Die Rolle Storage Blob Data Contributor bei einem Storage Account regelt den Schreibzugriff auf die Blob-Daten. Ohne diese Rolle besteht kein Schreibzugriff auf die Daten, selbst wenn die Berechtigung zur Rollenvergabe vorhanden ist.

Diese Rollen können über die Rolle Unibe-Subscription-Owner (mg-unibe) vergeben werden. Auch hier gilt das Prinzip der Vererbung. Wird einer Person in der gesamten Subscription Schreibzugriff über die Rolle Storage Blob Data Contributor erteilt, so erhält diese Person Zugriff auf alle Storage Accounts innerhalb der Subscription.

Anleitungen

  • In dieser Anleitung wird beschrieben, wie eine Rolle aktiviert werden kann.
  • In dieser Anleitung wird beschrieben, wie neue Personen für die Azure Subscription berechtigt werden können.

Nächste Schritte

Nachdem die Owner-Rechte für die Subscription zugewiesen wurden, kann das Standardbudget bearbeitet werden. Weitere Informationen sind im Artikel über das Budget zu finden.

Weiterführende Informationen