星期四, 12月 26, 2019

使用Azure AD群組授權 Azure AD 使用者套用在資源群組小記

使用Azure AD群組授權 Azure AD 使用者套用在資源群組小記

在雲端平臺的使用者權限管理上面, 一般都會建議以群組的方式來進行授權
今天就來寫一下 Azure 上面使用 Azure AD 使用者群組來進行 IAM 管理

Azure 跟 AWS 與 GCP 不太一樣的地方是, 雲端平臺上面本身就有 AD ( Active Directory ), GCP 以及 AWS 都是 Manager Service

在 Azure 上面的 IAM 管理上面, 可能會從幾方向來設定角色
  • 從 Azure AD 上面來新增使用者或是群組, 然後透過繼承權限的方式來作
  • 從資源群組或是某一個資源新增使用者或是群組來作
    • 好處是可以針對該資源來進行權限隔離

這邊會採取 先新增Azure AD 使用者 -- > 建立 Azure AD 群組 -- > 將使用者加入群組 -- > 針對資源來設定群組相關權限 
  • 這樣做法個人覺得好處是不會出現 - 如果那天使用者離職, 當你從 Azure AD 將他刪除的時候, 如果有在 Resource Group 層級設定該使用者, 那個角色指派會出現刪除的使用者這個狀況.  只要專心管理使用者就可以

Step 1: 新增 Azure AD 使用者

登入 Azure portal   https://portal.azure.com/

點選 首頁的 Azure Active Directory


點選使用者 -- > 新增使用者


輸入使用者名稱 / 密碼
點選 建立


這個時候可以觀察到使用者已經被建立了



====  確認一般使用者權限 ====

嘗試使用剛剛建立的使用者登入
  • 可以另外開立一個隱私視窗來實驗

會被要求更新密碼


登入之後不管是查詢資源群組或是虛擬機器
因為沒有訂用帳戶以及授權, 都會出現歡迎畫面, 但是無法動用資源

=====================================

回到管理者的 Portal

Step 2: 新增 Azure AD 群組

在 Azure Portal 上面

點選 首頁的 Azure Active Directory


點選 群組 -- > 新增群組


輸入群組名稱
  • 這邊我個人喜歡用 專案名稱_權限 方式來進行命名
點選建立



來看看使用者被加入到群組會有改變嗎?

====  確認一般使用者權限 ====

因為沒有訂用帳戶以及授權, 都會出現歡迎畫面, 還是無法動用資源
=====================================

回到管理者 Portal

Step 3: 在 Resource Group 設定 Azure AD 群組權限

這邊的權限設定我是設定在資源群組 ( Resource Group )
點選 資源群組 -- > 點選要設定的資源群組 -- > 點選 新增


點選 新增角色指派



接下來選取角色 以及 選取剛剛建立的群組
角色的部分就是要給的權限, 這邊以讀者爲例


選取剛剛建立的群組
點選 儲存



觀察頁面, 這個時候就會發現群組被列出



來看看群組被加入到 Resoruce Gruop 角色指派會有改變嗎?

====  確認一般使用者權限 ====

建議先登入 再登入 Portal 比較準確

確認可以看到剛剛設定的資源群組的資源


因為角色是讀者
所以嘗試新增虛擬機器的時候, 會驗證失敗 :)
如果要變更權限, 就去調整 Azure AD Group 在該 Resource Group 的角色 

=====================================

Azure 的 IAM 使用者當然不只 Azure AD 使用者一途, 還有原本 Microsoft 帳號或是外部帳號

這樣也是往 Azure 更前進一步

~ enjoy it


沒有留言: