0
(Noch nicht bewertet)
15. März 2016

Benutzerdefinierte Rollen in Microsoft Azure Role-Based Access Control

Ein bekanntes Problem: man will in Azure für bestimmte Einzelpersonen oder Personengruppen auf diverse Ressourcen und Objekte Zugriffsrechte vergeben, aber keine der Standardrollen passt wirklich. Die Lösung ist einfach und lautet RBAC: Azure Role-Based Access Control.


Voraussetzungen

Azure Role-Based Access Control lässt zu, individuelle Zugriffsrollen zu definieren, diese anschließend auf gewünschte Objekte anzuwenden und Benutzern oder Gruppen zuzuweisen.

Zunächst sollte Euer Benutzer die erforderlichen Rechte aufweisen, um RBAC-Rollen erstellen und in Azure bereitstellen zu können, beispielsweise globale Administrator-Rechte. Weiterhin ist die Azure Powershell notwendig. Diese muss zunächst heruntergeladen auf dem lokalen PC installiert werden. Den Download findet Ihr unter: http://aka.ms/webpi-azps .
Danach werden die entsprechenden Module wie folgt in die PowerShell geladen:

# Install the Azure Resource Manager modules from the PowerShell Gallery
Install-Module AzureRM
Install-AzureRM
# Install the Azure Service Management module from the PowerShell Gallery
Install-Module Azure
# Import AzureRM modules for the given version manifest in the AzureRM module
Import-AzureRM
# Import Azure Service Management module
Import-Module Azure

Zugriff mit der Powershell auf die Azure Subscription

Ihr solltet Euch nach der Installation zunächst mit der richtigen Azure Subscription verbinden.

Login-AzureRmAccount

Mit dem Befehl könnt Ihr Euch alle Subscriptions anzeigen lassen:

 Get-AzureSubscription

Mit einem weiteren Befehl  könnt Ihr Euch mit der gewünschten Subscription verbinden:

Select-AzureRmSubscription -Subscriptionid [GUID of subscription]

Benutzerdefinierte RBAC-Rolle erstellen

Generell gibt es drei Arten, wie Rollen erstellt und in Azure implementiert werden können: Powershell – Azure CLI – REST API. In diesem Beispiel verwende ich die Powershell-Methode.
Der nachfolgende PowerShell-Code erstellt eine Rolle, welche in der kompletten Subscription sichtbar ist und auf klassische und V2 virtuelle Maschinen im neuen Azure Portal angewendet werden können. Sie befähigt die jeweiligen Benutzer lediglich, die ihnen angezeigten VMs zu starten, zu stoppen und neu zu starten.

$role = Get-AzureRmRoleDefinition "Virtual Machine Contributor"
$role.Id = $null
$role.Name = "Virtual Machine Operator"

$role.Actions.Clear()
$role.Actions.Add("Microsoft.Compute/*/read")
$role.Actions.Add("Microsoft.Compute/virtualMachines/start/action")
$role.Actions.Add("Microsoft.Compute/virtualMachines/restart/action")
$role.Actions.Add("Microsoft.Compute/virtualMachines/powerOff/action")

$role.Actions.Add("Microsoft.ClassicCompute/*/read")
$role.Actions.Add("Microsoft.ClassicCompute/virtualMachines/stop/action")
$role.Actions.Add("Microsoft.ClassicCompute/virtualMachines/shutdown/action")
$role.Actions.Add("Microsoft.ClassicCompute/virtualMachines/start/action")
$role.Actions.Add("Microsoft.ClassicCompute/virtualMachines/restart/action")
$role.Actions.Add("Microsoft.ClassicCompute/virtualMachines/downloadRemoteDesktopConnectionFile/Action")

$role.AssignableScopes.Clear()
$role.AssignableScopes.Add("/subscriptions/[Subscription-ID]")

Wenn das Objekt erfolgreich erstellt wurde und alle Parameter soweit passen, kann die Rolle wie folgt nach Azure exportiert werden:

New-AzureRmRoleDefinition -Role $role

Es sollte folgende Ausgabe erscheinen:

Name : Virtual Machine Operator
Id : e4ede12d-aa65-4729-b3d9-dbc6689acb58
IsCustom : True
Description : Lets you manage virtual machines, but not access to them, and not the virtual network or storage
account they’re connected to.
Actions : {Microsoft.Compute/*/read, Microsoft.Compute/virtualMachines/start/action,Microsoft.Compute/virtualMachines/restart/action,Microsoft.Compute/virtualMachines/powerOff/action...}
NotActions : {}
AssignableScopes : {/subscriptions/[Subscription-ID]}

RBAC-Rolle auf einen Benutzer oder Gruppe in Azure anwenden
Zunächst solltet ihr die Object Id des Users und der eben angelegten Roledefinition ermitteln:

$userObjectId = (Get-AzureRmADUser -UserPrincipalName [UPN]).id
$roleDefinitionId = (Get-AzureRmRoleDefinition $role.Name).id

Weiterhin müsst ihr die Resource-ID der jeweiligen VM herausfinden:

$ResourceID = (Get-AzureRmResource | where{($_.Name -like "[VM-Name]")} | where{$_.ResourceType -like "*virtualMachines"}).ResourceId

Rolle zuweisen:

New-AzureRmRoleAssignment -ObjectId $userObjectId -RoleDefinitionId $roleDefinitionId -Scope $ResourceID

Abschließend überprüfen ob die Rolle an den richtigen Benutzer, mit dem richtigen Objekt verknüpft wurde.

Get-AzureRmRoleAssignment | where {$_.SignInName -like "[UPN]"}

Das ist nur der Anfang von unbegrenzten Möglichkeiten, granulare Berechtigungen in Microsoft Azure zu definieren und auszurollen. Diejenigen, die sich brennend für das Thema interessieren, können sich hier informieren, oder mit mir Kontakt aufnehmen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.