RBAC en AZURE y como consultar su configuración

RBAC (Roled based access control) es una característica de seguridad utilizada para controlar el acceso en función de los roles del usuario en una organización, es decir, considerando sus funciones dentro de esa organización. En grandes organizaciones es una manera clásica de organizar los permisos, basandose en las competencias, autoridad y responsabilidad de un puesto de trabajo.

Una cualidad de RBAC es su dinamismo, pues el control de acceso a una función se le concede a un rol y la integración en dicho rol de una persona puede variar con el tiempo, así como los permisos asociados a un rol. Se contrapone a los métodos de acceso clásico en donde los permisos de acceso se otorgan o revocan a un usario objeto a objeto.

En AZURE disponemos de una implementación RBAC para los recursos y una serie de roles predefinidos. Los roles en AZURE se pueden asignar a usuarios, grupos, y aplicaciones, y a nivel de suscripciones, grupos de recursos, o recursos. Como vemos las opciones son muy amplias.

20160524_RBAC_AZURE_Paso01

Los roles básicos son tres: propietario, contribuidor o colaborador, y lector. El propietario tiene acceso completo a los recursos, incluido los permisos para poder delegar el acceso a otros. El colaborador es igual al propietario pero no puede otorgar acceso a otros. El lector puede ver sólo los recursos.

De estos tres roles heredan otra serie de roles para recursos concretos. En este enlace hay una lista completa de los roles base en Azure y sus funciones.

Sin embargo se pueden generar tantos roles con permisos personalizados como sean necesarios. Para crearlos se puede hacer vía Azure PowerShell, la interfaz de cliente de línea de Azure (CLI) o la API REST. En este enlace tenéis más información y ejemplos de cómo realizarlo.

Acceso al listado de permisos de cada rol

Una forma de comprobar que permisos tiene cada rol es a través del portal de AZURE. Entráis dentro de una suscripción, grupo de recursos o recurso, y veréis un icono de personas en la parte superior derecha:

20160524_RBAC_AZURE_Paso02

Al pulsarlo aparece el panel de Usuarios. Pulsais en roles:

20160524_RBAC_AZURE_Paso03

Y os aparece el listado de roles disponibles:

20160524_RBAC_AZURE_Paso04

Seleccionamos el rol que nos interese comprobar sus permisos, y nos aparece la pestaña de miembros del Rol, con un botón para consultar el listado de permisos:

20160524_RBAC_AZURE_Paso05Una vez en el listado podemos ampliar información de cada grupo de acciones pulsando sobre la entrada correspondiente:

20160524_RBAC_AZURE_Paso06

Y dentro de ella en cada acción individual:

20160524_RBAC_AZURE_Paso08

A este nivel es útil la información que ofrece el icono de saber más en cada entrada con una explicación de cada acción lo que supone:

20160524_RBAC_AZURE_Paso09

Para saber más sobre como dar de alta, baja o consultar miembros de los roles, podéis consultar el siguiente enlace.