微軟
導入公有雲的企業,內部使用者眾多,個別員工也有不同存取權限,讓權限管理、政策設定成為一個挑戰。在微軟Azure上的管理群組服務中,管理員可以將多個帳戶匯整至單一管理群組,同時將管理規則套用至該群組的使用者。而近日Azure管理群組功能(Azure management groups)也正式上線了。
除了將多使用者劃入單一群體進行管理,管理群組服務也可以結合Azure Policy、RBAC機制,將管理規則套用至該群組。在父管理群組的之下的子管理群組,也會繼承上一層群組的管理原則。
這一次Azure管理群組功能正式上線後,其中之一的新功能是讓系統管理員只需一次操作,就可以將Azure Policy、RBAC機制套用至多個訂閱帳戶(subscriptions)。微軟表示,管理員也可以定義每個群組有相異層級,讓多個管理群組架構成一個多層次組織(hierachy)。目前管理群組功能,在單一目錄下(driectory),最多可以支援1萬個管理群組。為了避免繼承規則錯亂,每個子群組上只能有單一父管理群組。
微軟舉例,建立層多層次組織情境,像是限定VM資源只有基礎架構管理團隊能存取,一次套用資安管理政策、法遵規則,該群組下的子群組成員,都會繼承同樣的管理原則。或者,系統管理員讓單一使用者能存取多項Azure訂閱服務,而結合RBAC機制及繼承原則,管理員不需要再手動撰寫RBAC腳本,透過既有設定規則,系統就能限制該員能存取的資源、服務。該公司認為,利用管理群組功能,系統管理員可以減少規則重複指派的錯誤。
根據操作權限,目前在管理群組中,微軟定義出7種角色,分別是擁有者、參與、讀取者、資源原則參與者,以及使用者存取系統管理者等。每個用戶按角色分類,會擁有不同存取權限。例如擁有者,擁有搬移、刪除、讀取等權限,不過為了避免權限設計失衡,該角色沒有指派管理政策的權限。
管理員也可以定義每個群組有相異層級,讓多個管理群組架構成一個多層次組織(hierachy)。目前管理群組功能,在單一目錄下(driectory),最多可以支援1萬個管理群組。為了避免繼承規則錯亂,每個子群組上只能有單一父管理群組 。圖片來源:微軟
根據操作權限,目前在管理群組中,微軟定義出7種角色,分別是擁有者、參與、讀取者、資源原則參與者,以及使用者存取系統管理者等。每個用戶按角色分類,會擁有不同存取權限。例如擁有者,擁有搬移、刪除、讀取等權限。圖片來源:微軟
熱門新聞
2024-12-16
2024-12-16
2024-12-17
2024-12-16