Azure Portal: จำกัดการสิทธิ์การเข้าถึง Resource ต่างๆ ด้วย Role Based Access Control (RBAC)

0
1400

การทำงานของทีม IT ในทุกวันนี้นับวันยิ่งทวีความสำคัญมากขึ้น และต้องมีการทำงานร่วมกันกับผู้อื่นมากขึ้นเป็นเงาตามตัว ไม่ว่าจะเป็นงาน Monitoring, Security, Network หรือแม้แต่งาน Audit ดังนั้นเราจึงจำเป็นต้องอนุญาตให้ทีมงานที่มีส่วนเกี่ยวข้อง เข้ามาทำงานกับทรัพยากรต่างๆ ใน Microsoft Azure ของเราได้

ปัญหาสำคัญคือจะทำอย่างไรให้ผู้ที่ได้รับมอบสิทธิ์เหล่านั้นสามารถทำงานได้เฉพาะงานที่ตัวอย่างเกี่ยวข้อง ไม่ไปล่วงเกินงานของผู้อื่น ซึ่งหลักการนี้เป็นหลักการโดยทั่วไปที่เรียกว่า “Least Privileges”  ซึ่งหลักการ Least Privileges นี้สามารถนำมาใช้งาน Azure ได้โดยการใช้การทำงานในรูปแบบที่เรียกว่า “Role Based Access Control” หรือ RBAC การใช้งาน Role Based Access Control (RBAC)

RAC ใน Microsoft Azure นั้นสามารถทำได้จาก Blade “Access control (IAM)” ซึ่งจะมีอยู่ในทุกๆ Resource ของ Microsoft Azure

Blade "Access Control (IAM)"
Blade “Access Control (IAM)”

สำหรับสิทธิ์ในการเข้าถึงข้อมูลต่างๆ ใน Microsoft Azure นั้นจะถูกกำหนดโดย “Role Assignment” ซึ่งสิ่งที่สามารถดำเนินการได้ภายใน Blade “Access Control (IAM)” มีดังนี้

  • Add a role assignment  เป็นการกำหนดให้ผู้อื่นสามารถเข้าถึงการใช้งานของ Resource นั้นๆ
  • View role assignment  เป็นการแสดงสิทธิ์ในการอนุญาตการเข้าถึงข้อมูลทั้งหมดที่มีการกำหนดไว้ Resource นั้นๆ
  • View deny assignment เป็นการแสดงสิทธิ์ในการห้ามเข้าถึงข้อมูลที่มีการกำหนดไว้ใน Resource นั้นๆ
Blade "Access Control (IAM)"#2
Blade “Access Control (IAM)”#2

สำหรับ Role Assignment ที่มีให้ใน Microsoft Azure นั้นมีที่สำคัญๆ ที่ควรจะทราบไว้ดังนี้

Built-in Role Description
Owner มีสิทธิ์ในการดำเนินการในการดำเนินการ และเข้าถึงข้อมูลได้ทุกอย่าง
รวมถึงสามารถแก้ไขค่าต่างๆ ได้
Contributor สามารถดำเนินการเกี่ยวกับ Resource ได้ เช่น สร้าง, ลบ, แก้ไข
แต่ไม่สามารถเข้าถึงข้อมูลใน Resource ได้
Reader มีสิทธิ์ในการดำเนินการในการดำเนินการ และเข้าถึงข้อมูลได้ทุกอย่าง
แต่ไม่สามารถแก้ไขค่าต่างๆ ได้
Billing Reader มีสิทธิ์ในการเข้าถึงข้อมูลการคิดค่าใช้จ่าย (Billing)
DevTest Labs User Start/Restart/Shutdown Azure Virtual Machine ใน DevTest Labs
Lab Creator สร้าง จัดการ และลบ Managed Labs ใน Azure Labs Services
Virtual Machine Contributor สามารถจัดการ Virtual Machine แต่ไม่สามารถเข้าถึง Virtual Machine ได้ และไม่รวมถึง Storage Account และ Virtual Network
Virtual Machine User Login เข้าถึงข้อมูลของ Virtual Machine และสามารถ login เป็น Regular User
Storage Account Contributor สามารถบริหารจัดการการตั้งค่าของ Storage Account ได้ แต่ไม่สามารถเข้าถึงข้อมูลที่เก็บใน Storage Account ได้
Security Admin ใช้ใน Security Center เท่านั้น: สามารถตรวจสอบการทำงานด้านความปลอดภัยต่างๆ เช่น Security Policies, Security States
User Access Administrator สามารถแก้ไขและบริหารการเข้าถึงข้อมูลของ User ต่างๆ ในการเข้าถึง Azure Resource ได้
Support Request Contributor สร้างและจัดการ Support Request

 

จริงๆ แล้วเนี่ย Built-In Role มีอยู่ทั้งหมด 70 Roles นะครับ ท่านใดสนใจรายละเอียดสามารถศึกษาได้จาก Link ด้านล่างนะครับ สำหรับตอนนี้ขอจบแค่นี้ก่อนนะครับ

ข้อมูลเพิ่มเติม