Как разрешить и управлять внешним доступом к вашим ресурсам Azure

В эти трудные времена использование технологий и удаленного подключения имеет решающее значение. Я наблюдал растущее число запросов между компаниями и партнерами на предоставление удаленного доступа для выполнения действий в подписках Azure. В этой статье мы рассмотрим необходимые шаги, чтобы позволить внешнему пользователю пройти аутентификацию и получить доступ к вашим ресурсам Azure. Мы собираемся рассказать, что администратор облака может использовать для отслеживания и понимания использования и разрешений, предоставленных любой внешней учетной записи.
Вот сценарий: мы начнем с одной подписки Azure, для которой нам нужна помощь от поставщика для подключения и выполнения некоторой оценки или помощи в любой форме. Процесс, позволяющий внешнему пользователю пройти аутентификацию и получить доступ к вашей подписке, выполняется через Azure Active Directory при создании гостевого пользователя. Мы можем использовать любой адрес электронной почты, который может иметь поставщик, если у него есть учетная запись Microsoft, назначенная этому адресу электронной почты.
Если до приглашения с учетной записью не была связана учетная запись Microsoft, связь можно легко создать до или после, войдя в свою учетную запись.
Создание доступа для поставщика
Процесс создания внешнего пользователя для доступа к вашим ресурсам Azure выглядит следующим образом: щелкните Azure Active Directory, затем щелкните Все пользователи. Список всех пользователей будет указан справа, нажмите «Новый гостевой пользователь», как показано на изображении ниже.
В колонке выберите «Пригласить пользователя», заполните информацию для данного пользователя, и мы даже можем добавить некоторую дополнительную информацию для приглашенного пользователя. Чтобы завершить процесс, нажмите Пригласить.
Поставщик получит электронное письмо с приглашением (аналогично изображениям, изображенным ниже). Чтобы завершить процесс, нажмите «Начать» и выполните аутентификацию, используя учетные данные своей учетной записи Microsoft, связанные с электронной почтой.
В некоторых случаях после проверки подлинности вы можете оказаться не на портале Azure, а на сайте Microsoft Apps. Поскольку вы прошли проверку подлинности, вы можете просто ввести https://portal.azure.com.
Назначение разрешения группе ресурсов
В предыдущем разделе мы рассмотрели основы создания гостевого пользователя и процесс, которому должен следовать этот внешний пользователь для аутентификации в Microsoft Azure.
Мы собираемся переключиться и пройтись по процессу, чтобы назначить RBAC (управление доступом на основе ролей) данному пользователю и посмотреть, как это работает в реальной жизни.
Мы можем либо назначить административные роли, которые предоставят доступ к Azure Active Directory и некоторым службам, совместно используемым на уровне арендатора (Office 365, безопасность и т. д.), либо назначить определенные разрешения в рамках подписки. В приведенном ниже примере мы собираемся назначить разрешение определенной группе ресурсов с именем Prod-RG-CanC-Servers.
Нажмите на нужную группу ресурсов (Пункт 1), нажмите Контроль доступа (IAM) (Пункт 2), нажмите + Добавить (Пункт 3). В новой колонке с правой стороны выберите роль Читатель и выберите гостевую учетную запись, которую мы только что создали, и нажмите Сохранить.
Результаты разрешений, которые мы только что представили, можно увидеть, когда гостевой пользователь пытается получить доступ к порталу Azure. Как мы видим, гостевой пользователь увидит только ту группу ресурсов, к которой мы разрешаем ему доступ. В нашей статье мы даем доступ для чтения, что означает, что гостевой пользователь сможет проверить все настройки данной группы ресурсов. Однако они не смогут вносить изменения в ресурсы, запускать виртуальную машину или даже проверять информацию Azure AD.
Управление доступом гостевых пользователей
До сих пор мы создали учетную запись для внешнего объекта в нашей Azure Active Directory и назначали разрешения в соответствии с нашими бизнес-требованиями.
Администратор облака должен знать о доступных параметрах для отслеживания и понимания того, как гостевой пользователь получает доступ к среде.
Первое представление, предоставляющее некоторую информацию, — это элемент «Профиль» в свойствах пользователя. Чтобы попасть туда, щелкните Azure Active Directory, щелкните Все пользователи и щелкните нужного пользователя из списка. Результат должен быть похож на изображение, изображенное ниже.
С правой стороны мы видим количество входов (пункт 1) конкретной учетной записи, что указывает на активность пользователя. Мы также можем проверить, было ли принято отправленное приглашение (пункт 2), а другим доказательством является (пункт 3). Если это учетная запись Microsoft, мы знаем, что эта учетная запись использует этот метод для аутентификации.
Если нам нужна более подробная информация и исторические данные, мы всегда можем щелкнуть пункт «Входы». Отобразится список всех попыток этой учетной записи получить доступ к ресурсам, включая статус, IP-адрес и местоположение. Мы можем экспортировать эти данные (до 250 тысяч записей) в файл CSV или JSON. Еще одна функция — возможность сузить результаты, добавляя и изменяя существующие фильтры.
Если мы хотим получить больше информации об изменениях на уровне гостевой учетной записи, мы можем использовать пункт Журналы аудита. Все изменения с точки зрения Azure Active Directory в данной учетной записи будут регистрироваться.
Еще один полезный ресурс — возможность мгновенно проверить все разрешения любого пользователя в вашей подписке Azure. Мы можем получить это представление, щелкнув «Назначения ролей Azure». Будет показан список всех ролей, ресурсов и типов ресурсов.
Мы также можем проверить административные роли на уровне арендатора, используя элемент назначенных ролей.
Внешний доступ к Azure: предоставьте только достаточные разрешения
Мы рассмотрели все необходимые шаги, чтобы позволить внешнему гостевому пользователю аутентифицироваться и выполнять действия в вашей подписке Azure, и, что наиболее важно, как администратор может отслеживать использование этих учетных данных.
Убедитесь, что вы даете достаточно разрешений только для выполнения задачи, и удалите доступ, когда он больше не требуется, в соответствии с рекомендациями по безопасности. Нам не нужно удалять гостевую учетную запись, просто заблокируйте возможность входа в систему.
Еще один момент, о котором стоит упомянуть, заключается в том, что все изменения, выполненные в Microsoft Azure, регистрируются, и мы можем отслеживать любые возможные изменения от гостевого пользователя, а также от обычных пользователей. Простой и легкий способ получить доступ к этой информации — использовать функцию «Монитор», а затем нажать «Журнал действий».