Enquanto passa a hora do almoço neste momento de home office pandêmico, pego o tempo livre entre uma garfada e outra para escrever artigos, reavivar conhecimento e praticar itens mais conceituais dentro do universo da computação em nuvem. Sempre é bom revisar e reavivar conhecimento.
Neste post vamos falar do Gerenciamento de identidade e acesso, Identity and access management (IAM). O IAM é utilizado para proteger o acesso aos seus recursos do Microsoft Azure e pertence a uma linha de gerenciamento de identidades. Seria basicamente controlar os acessos e quantidade de permissões de um usuário (ou grupo de usuários) a recursos do Microsoft Azure. É extremamente útil e versátil quando falamos em ambientes grandes ou complexos.
Bom, vamos para o laboratório.
1. Nosso primeiro passo é se conectar ao portal do Azure;
2. Neste exemplo criaremos regras para um grupo de recursos especÃfico porém lembre-se que o IAM pode ser configurado em inúmeros recursos diferentes. Em meu exemplo, clico em Resurce groups e depois escolho o rg-lan-DC01-BrazilSouth
3. Clique então em Access control (IAM) e note que serão apresentadas opções no lado direito da tela. Cada uma delas representa um conjunto especÃfico de regras, possuindo caracterÃsticas bem especÃficas.
O IAM ajuda se você a responder às três perguntas básicas relacionadas aso acessos a recursos:
a) Quem precisa de acesso?
Quem se refere a um usuário, grupo, entidade de serviço ou identidade gerenciada. Isso também é chamado de entidade de segurança.
b) De que função eles precisam?
As permissões são agrupadas em funções. Você pode selecionar em uma lista de várias funções internas ou pode usar suas próprias funções personalizadas.
d) Onde eles precisam de acesso?
Em que se refere ao conjunto de recursos ao qual o acesso se aplica. Onde pode ser um grupo de gerenciamento, uma assinatura, um grupo de recursos ou um único recurso, como uma conta de armazenamento. Isso é chamado de escopo.
Para falar de permissões, vamos separar as opções em blocos (exatamente como esta na tela do Azure):
Conceda acesso a recursos nesse escopo, atribuindo uma função a um usuário, grupo, principal de serviço ou identidade gerenciada.
Veja os usuários, grupos, entidades de serviço e identidades gerenciadas que possuem atribuições de função que lhes concedem acesso neste escopo.
Visualize os usuários, grupos, entidades de serviço e identidades gerenciadas à s quais foi negado acesso a ações especÃficas neste escopo.
Crie uma função personalizada para os recursos do Azure com seu próprio conjunto de permissões para atender à s necessidades especÃficas da sua organização.
4. O que vou fazer aqui é atribuir permissões de administração para um grupo de administradores e permissões de contribuição para o grupo de analistas. Em add a role assignment clique em add.
5. Vamos montar as configurações:
Role: Coloque a opção Owner que permite gerenciar tudo, incluindo acesso a recursos, se você deixar como Contributor, poderá gerenciar tudo, exceto o acesso aos recursos. A opção Reader permite visualizar tudo, mas não fazer alterações. Existem diversas opções, mas podemos começar conhecendo estas 03 (Owner, Contriutor e Reader).
6. Vamos escolher agora o que será utilizado como base dos objetos, ou seja, em que local posso encontrar os grupos e usuários que receberão o permissionamento. Em meu caso, estou usando o próprio Azure AD.
7. Na sequencia farei a escolha do grupo (ou grupos) que recebera a permissão de Owner dentro desse grupo de recursos.
8. O resumo final da tela de configuração esta mais a baixo. Ao término da configuração, basta clicar em Save.
9. Agora é só esperar até que o deploy seja finalizado. Você pode acompanhar o processo no canto superior direito de sua tela.
10. Para ver as regras de um recurso, você precisa seguir para o segundo bloco, ou seja, em View role assignments, clique em View.
11. Veja que serão apresentados grupos e usuários que possuem permissões relevantes ao grupo de recursos.
12. Se acessarmos outro grupo de recursos e validarmos o IAM, veremos que a configuração esta diferente. Quando montamos um permissionamento com IAM precisamos entender que a herança ocorre apenas dentro do nÃvel do recurso, ou seja, se eu montar a configuração em um grupo de recursos, os recursos ali presentes herdam as permissões. Se descermos ao nÃvel da subscrição, tudo atrelado a ela recebe também as permissões.
Neste artigo dentro do site da Microsoft, existem outros exemplos bem interessantes de IAM que você pode usar em seu dia a dia. Vale a penas dar uma boa olhada.