Azure Resource Manager（Azure資源管理器），公有云平臺的管理門戶，提供了一系列特性，來管理Azure角色，訪問控制和安全策略。但是因為Azure用戶的多樣性，用戶包括服務提供商，中央IT基礎架構經理，IT運維團隊和應用程序開發人員，Azure資源管理器可能有些混亂——特別是在控制服務訪問和配置的時候。

本文深入探討Azure資源管理器（ARM）基于角色的訪問控制（RBACs），包括其和底層Azure預配概念，安全和認證管理特性的關系以及常見的用戶場景。

1.Azure RBAC基礎知識

在深入RBACs之前，理解Azure服務預配和使用的基本概念很重要，特別是計劃、offer、訂閱、配額、服務和角色之間的區別。

服務：Azure里最基本的消費單元。服務包括資源，比如虛擬機（VM），對象存儲或者關系數據庫。

計劃：提供給用戶的一些服務，比如一系列VM實例，存儲和數據庫類型，以及任何使用限制，比如域可用性或者資源配額。計劃通常針對特定的IT角色，比如開發人員或者數據科學家，或者針對負載需求來量體定制。

Offer：訂閱可用的某個或者多個計劃的組合。Offer是用戶選擇訂閱的實際產品集。

訂閱：某個公司和某個云服務提供商之間的協議，按照訂閱計劃所定義的，來授予權限，從而消費某個或者多個服務。企業可能有一個或者多個訂閱。

配額：作為計劃的一部分來定義的服務限制。比如，Azure的免費層，本質上也是一個計劃，限制用戶可以在一個月內免費使用14個VM，40個SQL數據庫和8 TB的存儲空間。

角色：分配給某個個人或者組織的一系列訪問，管理和使用權限。

使用Azure公有云時，計劃和offer之間的差異并不明顯，因為Microsoft在后臺定義了這些。但是，當使用第三方Azure服務提供商，或者使用Azure Stack來構建私有云的話，這兩者之間的差別就變得重要了。這很可能會給不同的組織，企業或者負載需求提供更多的不同粒度的服務包。對于Azure基于角色的訪問控制而言，這兩者的區別也比較重要，因為訂閱和管理用戶和組織身份的目錄有關系。

管理員從用戶目錄定義Azure RBACs，并且每個訂閱只能信任一個目錄。小型開發團隊可以使用Azure和Microsoft賬號系統里所定義的用戶和組；所有Azure角色和控制必須使用Microsoft賬號來定義。如果企業之后才引入的Azure，可以將企業的活動目錄（AD）和Azure同步，并且使用其設置策略，IT團隊必須使用AD身份重新創建開發人員角色。因為個人或者組可能擁有多個訂閱，所以務必確保每個訂閱使用相同的用戶目錄來保證一致性。

無論是Azure還是其他系統，所有RBACs的指導性原則都是最小特權原則：終端用戶必須僅擁有完成工作所必須的訪問權限。Azure通過僅僅允許終端用戶在顯式定義了權限的資源上執行操作，來強制遵守最小特權原則。沒有默認的權限，除非企業為所有資源將全局組應用到某個特定角色上。

在Azure上，RBACs遵循和AD使用類似的先序分層原則——針對用戶，組和控制使用全局，父和子域

標準Azure角色

Microsoft定義了三種基礎Azure角色：

所有者：擁有完整的管理權限

貢獻者：擁有完整的管理權限，除了用戶管理權限

只讀者：能夠查看資源權限

Microsoft還有更加具體的內置Azure角色的列表。比如，自動運維人員（Automation Operator）角色允許其成員啟動，停止，暫停并且恢復作業。DevTest Labs用戶能夠查看所有東西，并且能夠連接，啟動，重啟以及關閉VM。

Azure還支持自定義角色，管理員可以將其分配給整個訂閱里的，或者某個特定資源或資源組的用戶，組或者應用程序。管理員使用JSON語法定義這些自定義的Azure角色。不管是自定義的還是預定義好的角色，都能夠通過ARM web門戶來定義該角色的成員。但是，管理員也可以使用PowerShell，Azure命令行接口（CLI）或者REST API來自動化大規模的指派任務。

Microsoft為如下動作提供了PowerShell cmdlet：

Get-AzureRoleAssignment：獲得分配給某個用戶的角色。

Get-AzureRoleDefinition:列出某個角色的Actions和NotActions

New-AzureRoleAssignment:給某個用戶或者組分配角色。

Remove-AzureRoleAssignment:從用戶或者組里移除角色指派

2.Azure RMS基于角色的管理

一些IT團隊抱怨Azure缺乏基于角色的管理，特別是Azure Rights Management（RMS，權限管理），Office 365,、Exchange 和 SharePoint使用的預防數據損失功能。一些人錯誤地認為Azure要求終端用戶必須是全局管理員，才能管理RMS模板。但是，Azure文檔上寫到，在激活RMS之后，管理員能夠“使用兩個默認模板，從而可以輕松地給敏感文件應用策略”來限制只有授權用戶才能訪問。

這兩個模板帶有權限策略限制，包括受保護內容的只讀視圖，以及受保護內容的只讀或者可更改權限。如上所述，IT團隊還能夠為權限管理和模板創建定義自定義的角色和權限。

Azure可能并沒有為每個服務都提供了企業想要的訪問控制粒度。但是不管怎么說，更好地理解RBAC實現，使用并且自定義——在ARM之內并且通過自動化的PowerShell或者CLI腳本——管理員能夠為廣大用戶及其作業需求微調Azure的安全策略。