使用Azure AD群組授權 Azure AD 使用者套用在資源群組小記

使用Azure AD群組授權 Azure AD 使用者套用在資源群組小記

在雲端平臺的使用者權限管理上面, 一般都會建議以群組的方式來進行授權

今天就來寫一下 Azure 上面使用 Azure AD 使用者群組來進行 IAM 管理

Azure 跟 AWS 與 GCP 不太一樣的地方是, 雲端平臺上面本身就有 AD ( Active Directory ), GCP 以及 AWS 都是 Manager Service

• AWS  https://aws.amazon.com/tw/directoryservice/
• GCP  https://cloud.google.com/managed-microsoft-ad/?hl=zh-tw

在 Azure 上面的 IAM 管理上面, 可能會從幾方向來設定角色

• 從 Azure AD 上面來新增使用者或是群組, 然後透過繼承權限的方式來作
• 從資源群組或是某一個資源新增使用者或是群組來作
• 好處是可以針對該資源來進行權限隔離

這邊會採取 先新增Azure AD 使用者 -- > 建立 Azure AD 群組 -- > 將使用者加入群組 -- > 針對資源來設定群組相關權限 

• 這樣做法個人覺得好處是不會出現 - 如果那天使用者離職, 當你從 Azure AD 將他刪除的時候, 如果有在 Resource Group 層級設定該使用者, 那個角色指派會出現刪除的使用者這個狀況.  只要專心管理使用者就可以

Step 1: 新增 Azure AD 使用者

登入 Azure portal   https://portal.azure.com/

點選 首頁的 Azure Active Directory

點選使用者 -- > 新增使用者

輸入使用者名稱 / 密碼

點選 建立

這個時候可以觀察到使用者已經被建立了

====  確認一般使用者權限 ====

嘗試使用剛剛建立的使用者登入

• 可以另外開立一個隱私視窗來實驗

會被要求更新密碼

登入之後不管是查詢資源群組或是虛擬機器

因為沒有訂用帳戶以及授權, 都會出現歡迎畫面, 但是無法動用資源

=====================================

回到管理者的 Portal

Step 2: 新增 Azure AD 群組

在 Azure Portal 上面

點選 首頁的 Azure Active Directory

點選 群組 -- > 新增群組

輸入群組名稱

• 這邊我個人喜歡用 專案名稱_權限 方式來進行命名

點選建立

來看看使用者被加入到群組會有改變嗎？

====  確認一般使用者權限 ====

因為沒有訂用帳戶以及授權, 都會出現歡迎畫面, 還是無法動用資源

=====================================

回到管理者 Portal

Step 3: 在 Resource Group 設定 Azure AD 群組權限

這邊的權限設定我是設定在資源群組 ( Resource Group )

點選 資源群組 -- > 點選要設定的資源群組 -- > 點選 新增

點選 新增角色指派

接下來選取角色 以及 選取剛剛建立的群組

角色的部分就是要給的權限, 這邊以讀者爲例

選取剛剛建立的群組

點選 儲存

觀察頁面, 這個時候就會發現群組被列出

來看看群組被加入到 Resoruce Gruop 角色指派會有改變嗎？

====  確認一般使用者權限 ====

建議先登入 再登入 Portal 比較準確

確認可以看到剛剛設定的資源群組的資源

因為角色是讀者

所以嘗試新增虛擬機器的時候, 會驗證失敗 :)

如果要變更權限, 就去調整 Azure AD Group 在該 Resource Group 的角色 

=====================================

Azure 的 IAM 使用者當然不只 Azure AD 使用者一途, 還有原本 Microsoft 帳號或是外部帳號

這樣也是往 Azure 更前進一步

~ enjoy it