使用 Azure Lighthouse 时,请务必考虑安全性和访问控制。 你的租户中的用户将具有直接访问客户订阅和资源组的权限,因此务必要采取有助于维护租户的安全性的措施。 同时建议仅启用有效管理客户资源所必要的最低访问权限。 本主题提供有助于实施这些安全做法的建议。
提示
这些建议也适用于使用 Azure Lighthouse 管理多个租户的企业。
Microsoft Entra 多重身份验证(也称为双重验证)通过要求进行多重身份验证步骤,以防止攻击者获取帐户的访问权限。 你应要求管理租户中的所有用户(包括任何将有权访问委托的客户资源的用户)都进行 Microsoft Entra 多重身份验证。
建议要求客户对其租户也实施 Microsoft Entra 多重身份验证。
重要
在客户的租户上设置的条件访问策略不适用于通过 Azure Lighthouse 访问该客户资源的用户。 仅管理租户上设置的策略适用于这些用户。 强烈建议对管理租户和托管(客户)租户都要求使用 Microsoft Entra 多重身份验证。
若要更轻松地进行管理,建议为每个管理客户资源所需的角色都使用 Microsoft Entra 组。 这样,你就可以根据需要向组添加或删除单个用户,而不是直接向每个用户分配权限。
重要
若要为 Microsoft Entra 组添加权限,“组类型”必须设置为“安全”。 此选项是在创建组时选择的。 有关详细信息,请参阅组类型。
创建权限结构时,请务必遵循最小特权原则,使用户只具有完成其工作所需的权限。 限制用户的权限有助于减少意外错误的可能性。
例如,建议使用如下结构:
| 组名称 | 类型 | principalId (主体ID) | 角色定义 | 角色定义 ID |
|---|---|---|---|---|
| 建筑师 | 用户组 | <主体标识> | 贡献者 | b24988ac-6180-42a0-ab88-20f7382dd24c |
| 评估 | 用户组 | <主标识符> | 读取者 | acdd72a7-3385-48ef-bd42-f606fba81ae7 |
| VM 专家 | 用户组 | <principalId> | VM 参与者 | 9980e02c-c2be-4d73-94e8-173b1dc7cf3c |
| 自动化 | 服务主体名称 (SPN) | <principalId> | 贡献者 | b24988ac-6180-42a0-ab88-20f7382dd24c |
创建这些组后,可根据需要分配用户。 仅添加真正需要拥有该组授予的访问权限的用户。
请确保定期查看组成员身份,并删除不再需要包含的任何用户。
请记住,通过公共托管服务产品加入客户时,包含的任何组(或用户或服务主体)都将具有与每位购买计划的客户的相同权限。 若要分配不同的组以与不同的客户合作,必须发布专属于每位客户的单独专用计划,或使用 Azure 资源管理器单独加入客户。 例如,可发布访问权限非常有限的公用计划,然后直接与每位客户合作,使用自定义 Azure 资源模板(根据需要授予额外的访问权限)加入其资源。
- 查看安全基线信息,了解 Microsoft 云安全基准中的指导如何应用于 Azure Lighthouse。
- 部署 Microsoft Entra 多重身份验证。
- 了解跨租户管理体验。