Compartilhando recursos do Azure

O Microsoft Azure oferece vários recursos que podem ser provisionados por aqueles que detêm uma assinatura ativa. Porém, o uso desses recursos não é exclusividade do titular da assinatura. Eles podem ser compartilhados entre outros usuários, inclusive aqueles que não possuem uma assinatura na nuvem pública da Microsoft.

No desenvolvimento de projetos que precisam da participação de mais de um usuário, é indispensável a adoção de medidas de controle de acesso a plataforma. No Azure, isto é realizado através do Controle de Acesso Baseado em Função, ou Role-Based Access Control (RBAC), e também pelo Azure Active Directory (Azure AD).

Neste artigo, veremos o que é e como funciona o RBAC no novo portal do Azure, entendendo como é possível utilizá-lo para o gerenciamento de acesso aos seus recursos.

O que é o RBAC?

De modo geral, o Role-Based Access Control oferece controle preciso sobre quais operações os usuários podem realizar no portal Azure e nos seus recursos. Ele permite que você disponibilize acesso a recursos de sua conta do Azure para outras pessoas, tendo elas uma conta Azure ou não, determinando a função de cada uma naquele contexto.

São várias as possibilidades de aplicação como, por exemplo, disponibilizar acesso a recursos para sua equipe de desenvolvimento/testes e conceder somente a quantidade de acesso que os usuários e grupos precisam para realizar suas atividades.

Escopos de uso do RBAC

Com o RBAC você pode conceder permissões em diferentes escopos dentro da sua conta Azure: na própria assinatura (subscription), em grupos de recursos (resource group) e em recursos específicos. Segue abaixo uma descrição simples sobre cada um desses escopos:

  • Assinatura: o controle de acesso no Azure parte de uma perspectiva de cobrança. O proprietário de uma conta do Azure é o Administrador da Conta (AA). Resumidamente, as assinaturas são um contêiner para cobrança, associadas com um diretório e que também atuam como um limite de segurança. Mais detalhes sobre o Active Directory e sua relação com as assinaturas serão abordadas em próximo artigo.
  • Recurso: é um item gerenciável que está disponível por meio do Azure. Alguns recursos comuns são uma máquina virtual, conta de armazenamento, aplicativo Web, banco de dados e rede virtual, entre outros.
  • Grupo de recursos: é um contêiner que mantém os recursos relacionados a uma solução do Azure. O grupo de recursos pode incluir todos os recursos para a solução ou apenas os recursos que você deseja gerenciar como um grupo.

Abaixo temos uma representação visual de como esses escopos estão relacionados:

Através da imagem, é mais fácil entender alguns pontos importantes:

  • Ao definir um grupo de recursos, você pode conceder permissões a um ou mais usuários específicos, grupos de usuários ou entidades de serviço.
  • O acesso concedido não lhes permite modificar recursos em outros grupos de recursos.
  • Você também pode dar permissão a um usuário para gerenciar um único recurso, e isso é tudo que ele será capaz de acessar e administrar dentro daquele grupo.

Funções de usuário no RBAC

Uma função (role) é uma coleção de ações que podem ser executadas nos recursos do Azure. Um usuário ou um serviço só tem a permissão de executar uma ação em um recurso do Azure, se eles forem atribuídos a uma função que contém aquela ação.

Até fevereiro de 2015, as funções disponíveis eram:
– Proprietário
– Contribuidor
– Leitor

Agora há aproximadamente mais de 20 funções predefinidas, que de certa forma são essencialmente funções de um Contribuidor, porém em serviços específicos.

Para obter uma lista de todas as funções internas do RBAC, suas ações, não-ações e propriedades, consulte a página Funções internas na documentação do Azure. Você também pode definir suas próprias funções personalizadas e iremos demonstrar como criá-las em um próximo artigo.

Compartilhando sua conta Azure com outros usuários

Para visualizar todos esses conceitos na prática, segue o passo-a-passo de como compartilhar a sua assinatura:

  1. Acesse a sua conta no portal do Azure
  2. Clique em “Assinaturas” no menu lateral ou ainda através do painel (caso o bloco já esteja fixado no seu painel)rbac_1_acesso_as_assinaturas
  3. Serão exibidas as assinaturas associadas a sua conta. Selecione uma assinatura ativa na qual você seja o administradorrbac_1_minhas_assinaturas

    Notas:
    – Suas assinaturas inativas também são listadas.
    – Note que sua assinatura oficial é apresentada com a função “Administrador da conta”.

  4. Clique na assinatura para exibir as opções de gerenciamento. Selecione o item “IAM (Controle de Acesso)”, que exibe os usuários, suas funções e a origem de suas permissões.
  5. Clique em “Adicionar” para incluir um novo usuário com acesso a sua conta.rbac_1_permissoes_assinatura_before
  6. Será exibido um painel para selecionar a função e o usuário ou grupo.
  7. Na seção “Selecione uma função”, selecione uma dentre várias disponíveis para assinaturas, conforme descrito anteriormente. Selecione a função “Contribuidor” que permite gerenciar tudo, mas não acessa os recursos da assinatura.rbac_1_permissoes_assinatura_selectrole
  8. Já na seção “Adicione usuários”, você pode tanto selecionar um usuário já convidado anteriormente como também convidar um novo usuário. Este usuário deverá ter uma conta Microsoft para acessar posteriormente o portal do Azure.
  9. Confirme o novo registro. A lista de acessos será atualizada com a nova contarbac_1_permissoes_assinatura_after

    Notas:
    – Vale ressaltar que um contribuidor é capaz de provisionar novos recursos na nuvem, o que poderá acarretar no consumo de créditos de sua assinatura no Azure
    – Um usuário colaborador não pode conceder qualquer tipo de acesso a outros usuários ou grupos

  10. O usuário convidado receberá um e-mail e deverá clicar no link para que seja feita a associação de sua conta Microsoft com o compartilhamento.rbac_1_emailacesso
  11. Pronto! Agora quando o usuário convidado acessar o portal do Azure, ele terá acesso ao seu diretório padrão (Active Directory) no Azure e, nesse diretório, ele terá acesso a sua assinatura e aos seus recursos de acordo com a função de um usuário Contribuidorrbac_1_assinatura_compartilhada

    Observação:
    – No próximo artigo sobre controle de acesso no Azure, iremos detalhar mais as questões relativas ao Active Directory e como configurá-lo.

  12. Para complementar esse passo-a-passo, conforme dito anteriormente, você pode restringir esse compartilhamento a um grupo de recursos ou até a um recurso específico, de acordo com suas necessidades. Segue exemplo do compartilhamento de um grupo de recursos:rbac_1_compatilhamento_resourcegroup

Próximos Passos

Vimos nesse artigo opções de compartilhamento no Azure e fizemos ainda um procedimento para compartilhar nossa assinatura com outro usuário.

Nos próximos artigos iremos continuar detalhando o compartilhamento no Azure descrevendo:
– como usar o Active Directory do Azure para aperfeiçoar o compartilhamento dos recursos;
– como criar funções específicas para determinados recursos; e
– cenários de uso de compartilhamento de recursos no desenvolvimento para nuvem.

Até a próxima!

Referências

Coautor: João Ronaldo Del Ducca Cunha

 

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s