在为客户引入 Azure Lighthouse 之前,请务必了解 Microsoft Entra 租户、用户和角色的运作方式,以及它们如何在 Azure Lighthouse 场景中应用。
租户是Microsoft Entra ID的专用受信任实例。 通常,每个租户表示一个组织。 Azure Lighthouse启用从一个租户到另一个租户的资源逻辑投影。 管理租户中的用户(例如属于服务提供商的一个)可以访问客户租户中的委托资源。 具有多个租户的企业还可以使用Azure Lighthouse集中管理操作。
若要实现此逻辑投影,您必须在客户租户中将订阅(或订阅中的一个或多个资源组)接入到Azure Lighthouse上。 可以通过以下任一方式完成入门过程:使用 Azure 资源管理器 模板,或者 将公共或专用产品/服务发布到 Azure 市场。
使用任一载入方法,需要定义 授权。 每个授权都包含一个 principalId(位于管理租户中的 Microsoft Entra 用户、组或服务主体),并结合一个内置角色,该角色定义了授予委派资源的特定权限。
备注
除非明确指定,否则Azure Lighthouse文档中对“用户”的引用可以应用于授权中的Microsoft Entra用户、组或服务主体。
定义Azure Lighthouse用户和角色的最佳做法
创建授权时,请遵循以下最佳做法:
- 尽可能将权限分配给Microsoft Entra用户组或服务主体,而不是分配给一系列单独的用户帐户。 通过使用此方法,你可以通过租户的Microsoft Entra ID添加或删除单个用户的访问权限,而无需每次更改单个访问要求时更新委派。
- 遵循最小特权原则。 为了减少无意中出错的可能性,用户只应拥有执行其特定工作所需的权限。 有关详细信息,请参阅建议的安全做法。
- 包括具有托管服务注册分配删除角色的授权,让你能够在需要时删除对委派的访问权限。 如果未分配此角色,则只有客户租户中的用户才能删除对委派资源的访问权限。
- 确保任何需要在 Azure 门户中查看“我的客户”页面的用户具有 Reader 角色(或其他包含读者访问权限的内置角色)。
Azure Lighthouse的角色支持
定义授权时,请为每个用户帐户分配一个 Azure 内置角色。 Azure Lighthouse 不支持自定义角色或classic 订阅管理员角色。
Azure Lighthouse支持除以下角色之外的所有内置角色:
不支持所有者角色。
支持用户访问管理员角色,但仅限用于向客户租户中的托管标识分配角色。 没有其他通常由此角色授予的权限适用。 如果定义具有此角色的用户,则还必须指定此用户可以分配给托管标识的角色。
不支持具有
DataActions权限的角色。不支持包含以下任何操作的角色:
- Microsoft/授权/*
- Microsoft。Authorization/*/write
- Microsoft。Authorization/*/delete
- Microsoft。Authorization/roleAssignments/write
- Microsoft。Authorization/roleAssignments/delete
- Microsoft。Authorization/roleDefinitions/write
- Microsoft。Authorization/roleDefinitions/delete
- Microsoft。Authorization/classicAdministrators/write
- Microsoft。Authorization/classicAdministrators/delete
- Microsoft。授权/锁定/写入
- Microsoft。授权/锁定/删除
- Microsoft。Authorization/denyAssignments/write
- Microsoft。Authorization/denyAssignments/delete
重要
分配角色时,请查看为每个角色指定的 操作 。 尽管Azure Lighthouse不支持具有 DataActions 权限的角色,但受支持角色中包含的某些操作可能允许访问数据。 这种访问通常发生在数据通过访问密钥公开时,而不是通过用户的身份进行访问。 例如,虚拟机参与者角色包括 Microsoft.Storage/storageAccounts/listKeys/action 操作,该操作返回可用于检索某些客户数据的存储帐户访问密钥。
在某些情况下,Azure Lighthouse之前支持的角色会变得不可用。 例如,如果将 DataActions 权限添加到以前没有该权限的角色,则无法在载入新委派时使用该角色。 已分配该角色的用户仍可处理以前委派的资源,但他们无法执行使用该 DataActions 权限的任何任务。
Microsoft一旦向Azure添加新的适用内置角色,您就可以在使用 Azure 资源管理器 模板为客户进行入门时分配该角色。 在合作伙伴中心中,发布托管服务报价时,新添加的角色可能会有延迟才会可用。 同样,如果某个角色不可用,你仍可能在合作伙伴中心看到它一段时间,但你无法发布使用此类角色的新产品/服务。
在Microsoft Entra租户之间转移委托订阅
如果将订阅转到另一个Microsoft Entra租户帐户,由Azure Lighthouse加入过程创建的注册定义和注册分配资源将保持不变。 此保留意味着,通过 Azure Lighthouse 授予的访问权限继续用于管理租户,适用于该订阅(或该订阅中的委派资源组)。
唯一的例外是,订阅被转移到以前委托的Microsoft Entra租户。 在这种情况下,将删除该租户的委派资源,并且通过Azure Lighthouse授予的访问权限不再适用,因为订阅现在直接属于该租户(而不是通过Azure Lighthouse委托给该租户)。 但是,如果该订阅也委派给了其他管理租户,则其他管理租户将保留对订阅的相同访问权限。
后续步骤
- 了解 适用于 Azure Lighthouse 的建议安全实践。
- 将客户加入 Azure Lighthouse,可以使用 Azure 资源管理器 模板,或者在 Azure 市场 发布专用或公共托管服务。