IT und Recht, Cloud und mehr
Im Rahmen des Einsatzes von Produkten und Services US-Amerikanischer Dienstleister steht nicht erst seit Schrems2, aber auch gerade deshalb, die Frage des US-Überwachungsrechts und der Überwachungsbefugnisse im Raum. Nun hat die DSK dazu ein Gutachten in den USA in Auftrag geben und ergänzt somit die Informationen aus der Literatur und dem Gutachten des Wissenschaftlichen Dienstes des Bundestages.
Es ist aus Urteilen(z.B. SchremsII), Gesetzestexten (z.B. PRISM) und Expertenkommissionen bekannt, dass es in den USA sogenannte “Secret Order” gibt. Diese erlauben es den US Geheimdiensten, wie der NSA oder CIA, wenn zum Beispiel ein Verdacht des Terrorismus besteht, auf Kundendaten von US Cloud-Providern zuzugreifen. Dieser Zugriff soll geheim bleiben und dem Kunden gegenüber nicht geäußert werden. Dieser geheime Zugriff sind vielen ein Dorn im Auge und problematisch, da zum Beispiel auch nicht klar ist, ob nicht auch Wirtschaftsspionage so betrieben wird.
Heute stelle ich euch in einem kürzeren Beitrag mal die azure Role based control (RBAC) vor. Ich nutze auch die in einem Blogpost vom 12.10.2015 vorgestellten Rollen. In dem Blogpost könnt ihr auch in zwei längeren Youtube Videos noch mehr Informationen erhalten. Alle Links erhaltet ihr, wie immer, am Ende des Blogbeitrags.
Also was ist RBAC?
Ich arbeite in Teams an bestimmten Projekten, denen ich natürlich nicht einzeln meinen Hauptaccount bei Azure geben will. Die komplette Kontrolle solltet und müsst ihr nicht nur aus Sicherheitsgründen, aber auch aus Wartungsgründen in einem gesonderten Account behalten.
Also benötige ich bestimmte Berechtigungen, die ich einer Ressourcen Gruppe zuordnen kann, um flexibel wie in meiner AD Berechtigungen in verschiedenen Ebenen gegen und wieder entziehen zu können.
Über RBAC besteht nun die Möglichkeit aus einer doch aus meiner Sicht recht beachtlichen Auswahl die korrekte Berechtigung begrenzt auf die Ressourcen Group zu setzen.
Wie läuft dies?
Also wie ordne ich und vor allem welche Rollen meiner Gruppe zu, dies erfahrt ihr jetzt in den nächsten Zeilen.
Zunächst öffne ich mal eine Ressourcen Gruppe. Ich habe mich hier einmal für eine WordPress Seite mit Datenbank und WebApp entschieden. Wie ihr bestimmt erstennt handelt es sich um die Webseite der Office 365 Usergroup.
Dann klicke ich auf das Symbol der beiden Männchen oben rechts in der Ecke und es öffnet sich ein neues Fenster mit den Usern dieser Ressourcen Gruppe.
Bevor ich mich entscheide, kann ich mir alle nun verfügbaren Rollen ansehen, sowie die eingesetzten Rollen in der Gruppe. Die Liste ist so lang, dass ich diese in zwei Screenshots aufteilen musste.
Nachdem ich nun eine Rolle ausgewählt habe, in dieser Form den Reader, also die reine Ansicht, muss ich der Rolle noch einen User oder eine Usergruppe zuordnen. Diese User oder Gruppen stammen aus einer Azure AD, bzw. aus dirt hinzugefügten Usern. Wie ihr seht, habe ich eine Gruppe und zwei Demouser hier aufgelistet, ich kann aber auch nach Usern suchen.
nach der Auswahl des Users, wird dieser nach wenigen Sekunden angezeigt. Dieser User hat nun die Möglichkeit der Ansicht.
PowerShell?
Natürlich können die Power-Shell Gurus auch mit PowerShell arbeiten und die Konfigurationen vornehmen. Diese finden sich dann in der Azure Resource Management API, also eine der Bibliotheken der Azure Management Libraries.
via:
Ankündigung:
Dokumentation:
Frage:
Wie viele Rollen gibt es zur Auswahl?
a) 32
b) 20
c) 25
d) 40