Azure Virtual Desktop tasarımı makale serisine devam ediyorum ve bölümde sıkça yapılan hatalardan bir tanesi gereğinden fazla yetki verme sorununa değineceğim ve Azure Virtual Desktop‘taki Role Base Access Control – RBAC özelliği ile doğru yetki atamasını göstereceğim.
Makalenin bundan sonraki bölümlerinde Azure Virtual Desktop yerine AVD kısaltması kullanılacaktır.
Microsoft Azure’da yetkilendirmeler için hali hazırda gelen built-in adını verdiğimiz bir çok rol bulunmaktadır, özellikle aşağıda yer alan standart yerleşik roller çok yanlış kullanılmaktadır. Bu roller bir çok Azure kullanıcısının kolayına geldiği için kaynaklar üzerinde çok fazla yetki verildiğinden zaman zaman sorunlara da yol açmaktadır.
- Owner: Azure RBAC’de rol atama yeteneği de dahil olmak üzere tüm kaynakları yönetmek için tam erişimi vardır.
- Contributor: Tüm kaynakları yönetmek için tam erişim hakkı sağlar, ancak Azure RBAC’de roller ataması, Azure Blueprints atamaları veya image galerilerini paylaşma hakkı yoktur.
- Reader : Tüm kaynakları görüntüler, ancak herhangi bir değişiklik yapamaz.
AVD’ı yönetecek kişilere bu gibi roller vermektense, onlar için tasarlanmış rollere atamak çok daha doğru olacaktır. İsterseniz AVD için oluşturulmuş roller neler tanıyalım;
- Desktop Virtualization Contributor: Dağıtımın tüm yönlerini yönetmenize olanak tanır.
- Desktop Virtualization Reader: Dağıtımdaki her şeyi görüntülemenize izin verir, ancak herhangi bir değişiklik yapmanıza izin vermez.
- Host Pool Contributor: Kaynaklara erişim de dahil olmak üzere ana bilgisayar havuzlarının (host pool) tüm yönlerini yönetmenize olanak tanır.
- Host Pool Reader: Ana bilgisayar havuzundaki (host pool) her şeyi görüntülemenize izin verir, ancak herhangi bir değişiklik yapmanıza izin vermez.
- Application Group Contributor: Uygulama gruplarının tüm yönlerini yönetmenize olanak tanır.
- Application Group Reader: Uygulama grubundaki her şeyi görüntülemenize izin verir ve herhangi bir değişiklik yapmanıza izin vermez.
- Workspace Contributor: Çalışma alanlarının tüm yönlerini yönetmenize olanak tanır.
- Workspace Reader: Çalışma alanındaki her şeyi görüntülemenize izin verir ancak herhangi bir değişiklik yapmanıza izin vermez.
- User Session Operator: Mesaj göndermenize, oturumların bağlantısını kesmenize ve oturum ana bilgisayarında oturumları kapatmak için “oturum kapatma” işlevini kullanmanıza olanak tanır.
- Session Host Operator: Oturum ana bilgisayarlarını görüntülemenize ve kaldırmanıza ve ayrıca boşaltma modunu değiştirmenize olanak tanır.
İlgili görev ve sorumlulukla uyumlu rol atamalarını yapmazsınız yanlışlıkla yada kötü niyetle oluşabilecek durumları engelleyebileceği gibi sonrasında oluşabilecek güvenlik zaafiyetlerinide minimize edecektir.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs: Azure Virtual desktop rolleri, Azure Virtual desktop, Azure Virtual Desktop Role Base Access Control Azure Virtual Desktop RBAC