使用Azure AD群組授權 Azure AD 使用者套用在資源群組小記
在雲端平臺的使用者權限管理上面, 一般都會建議以群組的方式來進行授權
今天就來寫一下 Azure 上面使用 Azure AD 使用者群組來進行 IAM 管理
Azure 跟 AWS 與 GCP 不太一樣的地方是, 雲端平臺上面本身就有 AD ( Active Directory ), GCP 以及 AWS 都是 Manager Service
在 Azure 上面的 IAM 管理上面, 可能會從幾方向來設定角色
- 從 Azure AD 上面來新增使用者或是群組, 然後透過繼承權限的方式來作
- 從資源群組或是某一個資源新增使用者或是群組來作
- 好處是可以針對該資源來進行權限隔離
這邊會採取 先新增Azure AD 使用者 -- > 建立 Azure AD 群組 -- > 將使用者加入群組 -- > 針對資源來設定群組相關權限
- 這樣做法個人覺得好處是不會出現 - 如果那天使用者離職, 當你從 Azure AD 將他刪除的時候, 如果有在 Resource Group 層級設定該使用者, 那個角色指派會出現刪除的使用者這個狀況. 只要專心管理使用者就可以
Step 1: 新增 Azure AD 使用者
登入 Azure portal https://portal.azure.com/
點選 首頁的 Azure Active Directory
點選使用者 -- > 新增使用者
輸入使用者名稱 / 密碼
點選 建立
這個時候可以觀察到使用者已經被建立了
==== 確認一般使用者權限 ====
嘗試使用剛剛建立的使用者登入
- 可以另外開立一個隱私視窗來實驗
會被要求更新密碼
登入之後不管是查詢資源群組或是虛擬機器
因為沒有訂用帳戶以及授權, 都會出現歡迎畫面, 但是無法動用資源
=====================================
回到管理者的 Portal
Step 2: 新增 Azure AD 群組
在 Azure Portal 上面
點選 首頁的 Azure Active Directory
點選 群組 -- > 新增群組
輸入群組名稱
- 這邊我個人喜歡用 專案名稱_權限 方式來進行命名
點選建立
來看看使用者被加入到群組會有改變嗎?
==== 確認一般使用者權限 ====
因為沒有訂用帳戶以及授權, 都會出現歡迎畫面, 還是無法動用資源
=====================================
回到管理者 Portal
Step 3: 在 Resource Group 設定 Azure AD 群組權限
這邊的權限設定我是設定在資源群組 ( Resource Group )
點選 資源群組 -- > 點選要設定的資源群組 -- > 點選 新增
點選 新增角色指派
接下來選取角色 以及 選取剛剛建立的群組
角色的部分就是要給的權限, 這邊以讀者爲例
選取剛剛建立的群組
點選 儲存
觀察頁面, 這個時候就會發現群組被列出
來看看群組被加入到 Resoruce Gruop 角色指派會有改變嗎?
==== 確認一般使用者權限 ====
建議先登入 再登入 Portal 比較準確
確認可以看到剛剛設定的資源群組的資源
因為角色是讀者
所以嘗試新增虛擬機器的時候, 會驗證失敗 :)
如果要變更權限, 就去調整 Azure AD Group 在該 Resource Group 的角色
=====================================
Azure 的 IAM 使用者當然不只 Azure AD 使用者一途, 還有原本 Microsoft 帳號或是外部帳號
這樣也是往 Azure 更前進一步
~ enjoy it
沒有留言:
張貼留言