gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 11:26:11 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-basic-information/RE

Browse Source
This commit is contained in:
Translator
2025-02-08 18:57:24 +00:00
parent 4cd5132859
commit 0579e90c7b
1 changed files with 65 additions and 72 deletions
Download Patch File Download Diff File Expand all files Collapse all files

137
src/pentesting-cloud/azure-security/az-basic-information/README.md
View File

@@ -14,7 +14,7 @@
- Bir yönetim grubu ağacı **altı seviyeye kadar derinliği** destekleyebilir. Bu sınır, kök düzeyini veya abonelik düzeyini içermez.
- Her yönetim grubu ve abonelik **sadece bir ebeveyn** destekleyebilir.
- Birden fazla yönetim grubu oluşturulabilse de **sadece 1 kök yönetim grubu** vardır.
- Kök yönetim grubu **tüm** **diğer yönetim gruplarını ve abonelikleri** **içerir** ve **taşınamaz veya silinemez**.
- Kök yönetim grubu, **diğer tüm yönetim gruplarını ve abonelikleri** **içerir** ve **taşınamaz veya silinemez**.
- Tek bir yönetim grubundaki tüm abonelikler **aynı Entra ID kiracısına** güvenmelidir.
<figure><img src="../../../images/image (147).png" alt=""><figcaption><p><a href="https://td-mainsite-cdn.tutorialsdojo.com/wp-content/uploads/2023/02/managementgroups-768x474.png">https://td-mainsite-cdn.tutorialsdojo.com/wp-content/uploads/2023/02/managementgroups-768x474.png</a></p></figcaption></figure>
@@ -28,9 +28,9 @@
### Kaynak Grupları
[Belgelerden:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/manage-resource-groups-python?tabs=macos#what-is-a-resource-group) Bir kaynak grubu, bir Azure çözümü için **ilişkili kaynakları** tutan bir **konteynerdir**. Kaynak grubu, çözüm için tüm kaynakları veya yalnızca **bir grup olarak yönetmek istediğiniz kaynakları** içerebilir. Genel olarak, **aynı yaşam döngüsüne** sahip **kaynakları** aynı kaynak grubuna ekleyin, böylece bunları grup olarak kolayca dağıtabilir, güncelleyebilir ve silebilirsiniz.
[Belgelerden:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/manage-resource-groups-python?tabs=macos#what-is-a-resource-group) Bir kaynak grubu, bir Azure çözümü için **ilişkili kaynakları** tutan bir **konteynerdir**. Kaynak grubu, çözüm için tüm kaynakları veya yalnızca **bir grup olarak yönetmek istediğiniz kaynakları** içerebilir. Genel olarak, aynı **yaşam döngüsüne** sahip **kaynakları** aynı kaynak grubuna ekleyin, böylece bunları grup olarak kolayca dağıtabilir, güncelleyebilir ve silebilirsiniz.
Tüm **kaynaklar** **bir kaynak grubunun içinde** olmalı ve yalnızca bir gruba ait olabilir; eğer bir kaynak grubu silinirse, içindeki tüm kaynaklar da silinir.
Tüm **kaynaklar** bir kaynak grubunun **içinde** olmalı ve yalnızca bir gruba ait olabilir; eğer bir kaynak grubu silinirse, içindeki tüm kaynaklar da silinir.
<figure><img src="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1" alt=""><figcaption><p><a href="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1">https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1</a></p></figcaption></figure>
@@ -50,15 +50,15 @@ Bir Azure Kaynak Kimliğinin formatı şu şekildedir:
### Azure
Azure, Microsoft'un kapsamlı **bulut bilişim platformudur, geniş bir hizmet yelpazesi sunar**, sanal makineler, veritabanları, yapay zeka ve depolama dahil. Uygulamaları barındırmak ve yönetmek, ölçeklenebilir altyapılar oluşturmak ve bulutta modern iş yüklerini çalıştırmak için bir temel görevi görür. Azure, geliştiricilere ve BT profesyonellerine uygulamaları ve hizmetleri sorunsuz bir şekilde oluşturma, dağıtma ve yönetme araçları sunar ve başlangıçlardan büyük işletmelere kadar çeşitli ihtiyaçlara hitap eder.
Azure, Microsoft'un kapsamlı **bulut bilişim platformudur, geniş bir hizmet yelpazesi sunar**, sanal makineler, veritabanları, yapay zeka ve depolama dahil. Uygulamaları barındırmak ve yönetmek, ölçeklenebilir altyapılar oluşturmak ve bulutta modern iş yüklerini çalıştırmak için bir temel görevi görür. Azure, geliştiricilerin ve BT profesyonellerinin uygulamaları ve hizmetleri sorunsuz bir şekilde oluşturmasına, dağıtmasına ve yönetmesine olanak tanır ve başlangıçlardan büyük işletmelere kadar çeşitli ihtiyaçlara hitap eder.
### Entra ID (eski adıyla Azure Active Directory)
Entra ID, kimlik doğrulama, yetkilendirme ve kullanıcı erişim kontrolünü yönetmek için tasarlanmış bulut tabanlı bir **kimlik ve erişim yönetim hizmetidir**. Office 365, Azure ve birçok üçüncü taraf SaaS uygulaması gibi Microsoft hizmetlerine güvenli erişimi sağlar. Tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim politikaları gibi özellikler sunar.
Entra ID, kimlik doğrulama, yetkilendirme ve kullanıcı erişim kontrolünü yönetmek için tasarlanmış bulut tabanlı bir **kimlik ve erişim yönetim hizmetidir**. Office 365, Azure ve birçok üçüncü taraf SaaS uygulaması gibi Microsoft hizmetlerine güvenli erişim sağlar. Tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim politikaları gibi özellikler sunar.
### Entra Alan Hizmetleri (eski adıyla Azure AD DS)
Entra Alan Hizmetleri, Entra ID'nin yeteneklerini genişleterek **geleneksel Windows Active Directory ortamlarıyla uyumlu yönetilen alan hizmetleri** sunar. LDAP, Kerberos ve NTLM gibi eski protokolleri destekler, böylece kuruluşlar bulutta eski uygulamaları çalıştırabilir veya geçirebilir, yerel alan denetleyicileri dağıtmadan. Bu hizmet ayrıca merkezi yönetim için Grup İlkesi'ni destekler, böylece eski veya AD tabanlı iş yüklerinin modern bulut ortamlarıyla bir arada var olması gereken senaryolar için uygundur.
Entra Alan Hizmetleri, Entra ID'nin yeteneklerini, **geleneksel Windows Active Directory ortamlarıyla uyumlu yönetilen alan hizmetleri** sunarak genişletir. LDAP, Kerberos ve NTLM gibi eski protokolleri destekler, böylece kuruluşların bulutta eski uygulamaları taşımalarına veya çalıştırmalarına olanak tanır; bu, yerel alan denetleyicileri dağıtmadan yapılabilir. Bu hizmet ayrıca merkezi yönetim için Grup İlkesi'ni destekler, bu da eski veya AD tabanlı iş yüklerinin modern bulut ortamlarıyla bir arada var olması gereken senaryolar için uygundur.
## Entra ID Prensipleri
@@ -69,11 +69,11 @@ Entra Alan Hizmetleri, Entra ID'nin yeteneklerini genişleterek **geleneksel Win
- Görünen adı belirtin
- Parolayı belirtin
- Özellikleri belirtin (ad, unvan, iletişim bilgileri…)
- Varsayılan kullanıcı türü “**üye**”dir
- Varsayılan kullanıcı türü “**üye**”dir.
- **Dış kullanıcılar**
- Davet etmek için e-posta ve görünür adı belirtin (Microsoft dışı bir e-posta olabilir)
- Davet edilecek e-posta ve görünen adı belirtin (Microsoft dışı bir e-posta olabilir)
- Özellikleri belirtin
- Varsayılan kullanıcı türü “**Misafir**”dir
- Varsayılan kullanıcı türü “**Misafir**”dir.
### Üyeler & Misafirlerin Varsayılan İzinleri
@@ -87,7 +87,7 @@ Bunları [https://learn.microsoft.com/en-us/entra/fundamentals/users-default-per
- Yeni uygulama oluşturabilir (_kapalı hale getirilebilir_)
- Azure'a 50'ye kadar cihaz ekleyebilir (_kapalı hale getirilebilir_)
> [!NOTE]
> [!NOT]
> Azure kaynaklarını listelemek için kullanıcının izinlerin açıkça verilmesi gerekir.
### Kullanıcıların Varsayılan Yapılandırılabilir İzinleri
@@ -115,7 +115,7 @@ Bunları [https://learn.microsoft.com/en-us/entra/fundamentals/users-default-per
- **Dış kullanıcıların ayrılması**: Varsayılan **Doğru**
- Dış kullanıcıların kuruluşu terk etmesine izin ver
> [!TIP]
> [!İPUCU]
> Varsayılan olarak kısıtlanmış olsa da, izin verilmiş kullanıcılar (üyeler ve misafirler) önceki eylemleri gerçekleştirebilir.
### **Gruplar**
@@ -133,12 +133,12 @@ Bunları [https://learn.microsoft.com/en-us/entra/fundamentals/users-default-per
### **Hizmet İlkeleri**
Bir **Hizmet İlkesi**, **uygulamalar**, barındırılan hizmetler ve Azure kaynaklarına erişim için otomatik araçlarla **kullanım** için oluşturulmuş bir **kimliktir**. Bu erişim, hizmet ilkesine atanan rollerle **kısıtlanmıştır**, böylece **hangi kaynakların erişilebileceği** ve hangi düzeyde erişileceği üzerinde kontrol sağlar. Güvenlik nedenleriyle, **hizmet ilkelerini otomatik araçlarla kullanmak** her zaman önerilir, kullanıcı kimliği ile giriş yapmalarına izin vermektense.
Bir **Hizmet İlkesi**, **uygulamalar**, barındırılan hizmetler ve otomatik araçlarla Azure kaynaklarına erişim için oluşturulmuş bir **kimliktir**. Bu erişim, hizmet ilkesine atanan rollerle **kısıtlanır**, böylece **hangi kaynakların erişilebileceği** ve hangi düzeyde erişileceği üzerinde kontrol sağlar. Güvenlik nedenleriyle, **hizmet ilkelerini otomatik araçlarla kullanmak** her zaman önerilir; kullanıcı kimliği ile giriş yapmalarına izin vermektense.
Bir hizmet ilkesine **doğrudan giriş yapmak** mümkündür, bir **gizli anahtar** (parola), bir **sertifika** oluşturarak veya üçüncü taraf platformlara (örneğin, Github Actions) üzerinden **federasyon** erişimi vererek.
Bir hizmet ilkesine **doğrudan giriş yapmak** mümkündür; bunun için bir **gizli anahtar** (parola), bir **sertifika** oluşturabilir veya üçüncü taraf platformlara (örneğin, Github Actions) üzerinden **federasyon** erişimi verebilirsiniz.
- **Parola** kimlik doğrulamasını (varsayılan olarak) seçerseniz, **oluşturulan parolayı kaydedin** çünkü bir daha erişemezsiniz.
- Sertifika kimlik doğrulamasını seçerseniz, **uygulamanın özel anahtara erişimi olmasını** sağlayın.
- **Parola** kimlik doğrulamasını seçerseniz (varsayılan), **oluşturulan parolayı kaydedin** çünkü bir daha erişemezsiniz.
- Sertifika kimlik doğrulamasını seçerseniz, **uygulamanın özel anahtara erişimi olmasını** sağladığınızdan emin olun.
### Uygulama Kayıtları
@@ -149,43 +149,43 @@ Bir **Uygulama Kaydı**, bir uygulamanın Entra ID ile entegre olmasını ve eyl
1. **Uygulama Kimliği (İstemci Kimliği):** Azure AD'deki uygulamanız için benzersiz bir tanımlayıcı.
2. **Yeniden Yönlendirme URI'leri:** Azure AD'nin kimlik doğrulama yanıtlarını gönderdiği URL'ler.
3. **Sertifikalar, Gizli Anahtarlar ve Federasyon Kimlik Bilgileri:** Uygulamanın hizmet ilkesine giriş yapmak için bir gizli anahtar veya sertifika oluşturmak veya ona federasyon erişimi vermek mümkündür (örneğin, Github Actions).
1. Eğer bir **sertifika** veya **gizli anahtar** oluşturulursa, bir kişi **CLI araçlarıyla hizmet ilkesine giriş yapabilir**; bunun için **uygulama kimliğini**, **gizli anahtarı** veya **sertifikayı** ve **kiracıyı** (alan veya kimlik) bilmesi gerekir.
4. **API İzinleri:** Uygulamanın erişebileceği kaynakları veya API'leri belirtir.
5. **Kimlik Doğrulama Ayarları:** Uygulamanın desteklediği kimlik doğrulama akışlarını tanımlar (örneğin, OAuth2, OpenID Connect).
6. **Hizmet İlkesi**: Bir Uygulama oluşturulduğunda (web konsolundan yapılırsa) veya yeni bir kiracıya yüklendiğinde bir hizmet ilkesi oluşturulur.
1. **Hizmet ilkesi**, yapılandırıldığı tüm istenen izinleri alır.
4. Eğer bir **sertifika** veya **gizli anahtar** oluşturulursa, bir kişi **hizmet ilkesi olarak giriş yapmak için** CLI araçlarıyla **uygulama kimliğini**, **gizli anahtarı** veya **sertifikayı** ve **kiracıyı** (alan veya kimlik) bilerek giriş yapabilir.
5. **API İzinleri:** Uygulamanın erişebileceği kaynakları veya API'leri belirtir.
6. **Kimlik Doğrulama Ayarları:** Uygulamanın desteklediği kimlik doğrulama akışlarını tanımlar (örneğin, OAuth2, OpenID Connect).
7. **Hizmet İlkesi**: Bir Uygulama oluşturulduğunda (web konsolundan yapılırsa) veya yeni bir kiracıya yüklendiğinde bir hizmet ilkesi oluşturulur.
8. **Hizmet ilkesi**, yapılandırıldığı tüm istenen izinleri alır.
### Varsayılan Rıza İzinleri
### Varsayılan Onay İzinleri
**Uygulamalar için kullanıcı rızası**
**Uygulamalar için kullanıcı onayı**
- **Kullanıcı rızasına izin verme**
- **Kullanıcı onayına izin verme**
- Tüm uygulamalar için bir yönetici gerekecektir.
- **Doğrulanmış yayıncılardan, seçilen izinler için uygulamalar için kullanıcı rızasına izin ver (Tavsiye Edilir)**
- Tüm kullanıcılar, "düşük etki" olarak sınıflandırılan izinler için, doğrulanmış yayıncılardan veya bu kuruluşta kayıtlı uygulamalar için rıza verebilir.
- **Doğrulanmış yayıncılardan, seçilen izinler için uygulamalar için kullanıcı onayına izin ver (Tavsiye Edilir)**
- Tüm kullanıcılar, "düşük etki" olarak sınıflandırılan izinler için, doğrulanmış yayıncılardan veya bu kuruluşta kayıtlı uygulamalar için onay verebilir.
- **Varsayılan** düşük etki izinleri (bunları düşük olarak eklemek için kabul etmeniz gerekir):
- User.Read - oturum açma ve kullanıcı profilini okuma
- offline_access - kullanıcının erişim verdiği verilere erişimi sürdürme
- openid - kullanıcıları oturum açtırma
- profile - kullanıcının temel profilini görüntüleme
- email - kullanıcının e-posta adresini görüntüleme
- **Uygulamalar için kullanıcı rızasına izin ver (Varsayılan)**
- Tüm kullanıcılar, herhangi bir uygulamanın kuruluşun verilerine erişmesi için rıza verebilir.
- **Uygulamalar için kullanıcı onayına izin ver (Varsayılan)**
- Tüm kullanıcılar, herhangi bir uygulamanın kuruluşun verilerine erişmesi için onay verebilir.
**Yönetici rıza talepleri**: Varsayılan **Hayır**
**Yönetici onay talepleri**: Varsayılan **Hayır**
- Kullanıcılar, rıza veremedikleri uygulamalar için yönetici rızası talep edebilir
- Eğer **Evet**: Rıza taleplerini verebilecek kullanıcılar, Gruplar ve Roller belirtilebilir
- Kullanıcıların e-posta bildirimleri ve son kullanma hatırlatmaları alıp almayacaklarını da yapılandırın
- Kullanıcılar, onay veremedikleri uygulamalar için yönetici onayı talep edebilir
- Eğer **Evet**: Onay taleplerine onay verebilecek Kullanıcılar, Gruplar ve Roller belirtmek mümkündür
- Kullanıcıların e-posta bildirimleri ve son kullanma hatırlatmaları alıp almayacaklarını da yapılandırın.
### **Yönetilen Kimlik (Meta Veriler)**
Azure Active Directory'deki yönetilen kimlikler, uygulamaların kimliğini **otomatik olarak yönetme** çözümü sunar. Bu kimlikler, uygulamaların Azure Active Directory (**Azure AD**) kimlik doğrulaması ile uyumlu **kaynaklara** **bağlanması** amacıyla kullanılır. Bu, uygulamanın **meta veri** hizmetine erişerek Azure'daki belirtilen yönetilen kimlik olarak **hareket etmek için** geçerli bir token almasını sağlar, böylece bulut kimlik bilgilerini kodda sabitleme ihtiyacını **ortadan kaldırır**.
Azure Active Directory'deki yönetilen kimlikler, uygulamaların kimliğini **otomatik olarak yönetme** çözümü sunar. Bu kimlikler, uygulamaların Azure Active Directory (**Azure AD**) kimlik doğrulaması ile uyumlu **kaynaklara** **bağlanması** amacıyla kullanılır. Bu, uygulamanın **meta veri** hizmeti ile iletişim kurarak Azure'daki belirtilen yönetilen kimlik olarak **hareket etmek için** geçerli bir token almasını sağlar; böylece bulut kimlik bilgilerini kodda sabit kodlama ihtiyacını **ortadan kaldırır**.
İki tür yönetilen kimlik vardır:
- **Sistem atamalı**. Bazı Azure hizmetleri, bir hizmet örneği üzerinde **yönetilen bir kimliği doğrudan etkinleştirmenize** izin verir. Sistem atamalı bir yönetilen kimliği etkinleştirdiğinizde, **hizmet ilkesi**, kaynağın bulunduğu abonluğa güvenen Entra ID kiracısında oluşturulur. **Kaynak** **silindiğinde**, Azure otomatik olarak sizin için **kimliği siler**.
- **Kullanıcı atamalı**. Kullanıcıların yönetilen kimlikler oluşturması da mümkündür. Bunlar, bir abonluk içindeki bir kaynak grubunun içinde oluşturulur ve EntraID'de abonluğa güvenen bir hizmet ilkesi oluşturulur. Daha sonra, yönetilen kimliği bir veya **daha fazla Azure hizmeti örneğine** (birden fazla kaynak) atayabilirsiniz. Kullanıcı atamalı yönetilen kimlikler için, **kimlik, onu kullanan kaynaklardan ayrı olarak yönetilir**.
- **Sistem atamalı**. Bazı Azure hizmetleri, bir hizmet örneği üzerinde **yönetilen bir kimliği doğrudan etkinleştirmenize** olanak tanır. Sistem atamalı bir yönetilen kimliği etkinleştirdiğinizde, **hizmet ilkesi**, kaynağın bulunduğu abonluğa güvenilen Entra ID kiracısında oluşturulur. **Kaynak** silindiğinde, Azure otomatik olarak **kimliği** sizin için **silmiştir**.
- **Kullanıcı atamalı**. Kullanıcıların yönetilen kimlikler oluşturması da mümkündür. Bunlar, bir abonelik içindeki bir kaynak grubunun içinde oluşturulur ve EntraID'de abonluğa güvenilen bir hizmet ilkesi oluşturulur. Daha sonra, yönetilen kimliği bir veya **daha fazla Azure hizmeti örneğine** (birden fazla kaynak) atayabilirsiniz. Kullanıcı atamalı yönetilen kimlikler için, **kimlik, onu kullanan kaynaklardan ayrı olarak yönetilir**.
Yönetilen Kimlikler, ona bağlı hizmet ilkesine erişmek için **sonsuz kimlik bilgileri** (parolalar veya sertifikalar gibi) oluşturmaz.
@@ -193,28 +193,28 @@ Yönetilen Kimlikler, ona bağlı hizmet ilkesine erişmek için **sonsuz kimlik
Bu, yalnızca **hizmet ilkelerini filtrelemek ve atanmış uygulamaları kontrol etmek için Azure'da bir tablodur**.
**Bu, başka bir "uygulama" türü değildir**, Azure'da "Kurumsal Uygulama" olarak adlandırılan herhangi bir nesne yoktur, bu sadece Hizmet ilkelerini, Uygulama kayıtlarını ve yönetilen kimlikleri kontrol etmek için bir soyutlamadır.
**Bu, başka bir "uygulama" türü değildir**, Azure'da "Kurumsal Uygulama" olarak adlandırılan bir nesne yoktur; bu, yalnızca Hizmet ilkelerini, Uygulama kayıtlarını ve yönetilen kimlikleri kontrol etmek için bir soyutlamadır.
### İdari Birimler
İdari birimler, **bir rol üzerinden bir organizasyonun belirli bir bölümüne izinler vermeyi** sağlar.
İdari birimler, **bir rol üzerinden bir organizasyonun belirli bir bölümüne izin vermeye** olanak tanır.
Örnek:
- Senaryo: Bir şirket, bölgesel BT yöneticilerinin yalnızca kendi bölgelerindeki kullanıcıları yönetmesini istiyor.
- Uygulama:
- Her bölge için İdari Birimler oluşturun (örneğin, "Kuzey Amerika AU", "Avrupa AU").
- AU'ları kendi bölgelerindeki kullanıcılarla doldurun.
- AU'ları, kendi bölgelerindeki kullanıcılarla doldurun.
- AU'lar **kullanıcılar, gruplar veya cihazlar** içerebilir.
- AU'lar **dinamik üyelikleri** destekler.
- AU'lar **AU içeremez**.
- Yönetici Rolleri Atayın:
- "Kullanıcı Yöneticisi" rolünü bölgesel BT personeline, kendi bölgelerinin AU'suna göre verin.
- "Kullanıcı Yöneticisi" rolünü bölgesel BT personeline, kendi bölgelerinin AU'suna göre atayın.
- Sonuç: Bölgesel BT yöneticileri, diğer bölgeleri etkilemeden kendi bölgelerindeki kullanıcı hesaplarını yönetebilir.
### Entra ID Rolleri
- Entra ID'yi yönetmek için Entra ID prensiplerine atanabilecek bazı **yerleşik roller** vardır.
- Entra ID'yi yönetmek için, Entra ID'yi yönetmek üzere Entra ID prensiplerine atanabilecek bazı **yerleşik roller** vardır.
- Rolleri [https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference) adresinde kontrol edin.
- En yüksek ayrıcalıklı rol **Küresel Yönetici**dir.
- Rolün Tanımında, **ayrıntılı izinlerini** görebilirsiniz.
@@ -225,7 +225,7 @@ Bu, yalnızca **hizmet ilkelerini filtrelemek ve atanmış uygulamaları kontrol
**Gruplara** atanan **roller**, grubun tüm **üyeleri** tarafından **devralınır**.
Rolün atandığı kapsamına bağlı olarak, **rol**, kapsam konteyneri içindeki **diğer kaynaklara** **devralınabilir**. Örneğin, bir A kullanıcısının bir **abonelikte rolü** varsa, o **rolü, abonelik içindeki tüm kaynak gruplarında** ve **kaynak grubundaki tüm kaynaklarda** olacaktır.
Rolün atandığı kapsamına bağlı olarak, **rol**, kapsam konteyneri içindeki **diğer kaynaklara** **devralınabilir**. Örneğin, bir A kullanıcısının bir **abonelikte rolü** varsa, o **rolü, abonelik içindeki tüm kaynak gruplarında** ve **kaynak grubundaki tüm kaynaklarda** alır.
### Klasik Roller
@@ -239,9 +239,9 @@ Rolün atandığı kapsamına bağlı olarak, **rol**, kapsam konteyneri içinde
[Belgelerden: ](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles)[Azure rol tabanlı erişim kontrolü (Azure RBAC)](https://learn.microsoft.com/en-us/azure/role-based-access-control/overview), **kullanıcılara, gruplara, hizmet ilkelerine ve yönetilen kimliklere** atayabileceğiniz birkaç Azure **yerleşik rolü** vardır. Rol atamaları, **Azure kaynaklarına erişimi kontrol etmenin** yoludur. Yerleşik roller, kuruluşunuzun özel ihtiyaçlarını karşılamıyorsa, kendi [**Azure özel rollerinizi**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)** oluşturabilirsiniz.**
**Yerleşik** roller yalnızca **amaçlandıkları kaynaklara** uygulanır, örneğin, **Hesaplama** kaynakları üzerindeki bu 2 yerleşik rol örneğine bakın:
**Yerleşik** roller yalnızca **amaçlandıkları kaynaklara** uygulanır; örneğin, **Hesaplama** kaynakları üzerindeki bu 2 yerleşik rol örneğine bakın:
| [Disk Yedekleme Okuyucusu](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Disk yedeklemesi gerçekleştirmek için yedekleme kasasına izin verir. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| [Disk Yedekleme Okuyucusu](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Yedekleme kasasına disk yedeklemesi gerçekleştirme izni verir. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| ----------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ------------------------------------ |
| [Sanal Makine Kullanıcı Girişi](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Portaldaki Sanal Makineleri görüntüleyebilir ve normal bir kullanıcı olarak giriş yapabilir. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
@@ -259,9 +259,9 @@ Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kayna
- Hariç tutulan bir izne sahip bir prensip, izin başka bir yerde verilse bile onu kullanamaz.
- Joker karakterler kullanmak mümkündür.
- Kullanılan format bir JSON'dur.
- `actions`, kaynaklar üzerindeki yönetim işlemleri için izinleri ifade eder; örneğin, kaynak tanımlarını ve ayarlarını oluşturma, güncelleme veya silme.
- `actions`, kaynaklar üzerindeki yönetim işlemleri için izinleri ifade eder; örneğin, kaynak tanımları ve ayarlarını oluşturma, güncelleme veya silme.
- `dataActions`, kaynak içindeki veri işlemleri için izinlerdir; bu, kaynakta bulunan gerçek verileri okuma, yazma veya silme izni verir.
- `notActions` ve `notDataActions`, rolün belirli izinlerini hariç tutmak için kullanılır. Ancak, **bunları reddetmezler**, eğer farklı bir rol bunları veriyorsa, prensip bunlara sahip olacaktır.
- `notActions` ve `notDataActions`, rolün belirli izinlerini hariç tutmak için kullanılır. Ancak, **bunlar reddetmez**, eğer farklı bir rol bunları verirse, prensip bunlara sahip olacaktır.
- `assignableScopes`, rolün atanabileceği kapsamların bir dizisidir (yönetim grupları, abonelikler veya kaynak grupları gibi).
Özel bir rol için izinlerin JSON örneği:
@@ -296,60 +296,53 @@ Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kayna
```
### İzinler Sırası
- Bir **prensipin bir kaynağa erişim hakkı olması için** ona açık bir rol verilmesi gerekir (herhangi bir şekilde) **ona bu izni vermektedir**.
- Bir **prensibin bir kaynağa erişim hakkı** olması için ona açık bir rol verilmesi gerekir (herhangi bir şekilde) **ona bu izni vermektedir**.
-ık bir **reddetme ataması, izni veren rolün önceliğine sahiptir**.
<figure><img src="../../../images/image (191).png" alt=""><figcaption><p><a href="https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10">https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10</a></p></figcaption></figure>
### Küresel Yöneticisi
Küresel Yöneticisi, **Entra ID kiracısı üzerinde tam kontrol sağlayan** bir Entra ID rolüdür. Ancak, varsayılan olarak Azure kaynakları üzerinde herhangi bir izin vermez.
Küresel Yöneticisi, **Entra ID kiracısı üzerinde tam kontrol** sağlayan bir Entra ID rolüdür. Ancak, varsayılan olarak Azure kaynakları üzerinde herhangi bir izin vermez.
Küresel Yöneticisi rolüne sahip kullanıcılar, **Root Yönetim Grubunda Kullanıcı Erişim Yöneticisi Azure rolüne 'yükseltme' yapma** yeteneğine sahiptir. Bu nedenle, Küresel Yöneticiler **tüm Azure aboneliklerinde ve yönetim gruplarında erişimi yönetebilir.**\
Küresel Yöneticisi rolüne sahip kullanıcılar, **Kök Yönetim Grubunda Kullanıcı Erişim Yöneticisi Azure rolüne 'yükseltme' yapma** yeteneğine sahiptir. Bu nedenle, Küresel Yöneticiler **tüm Azure abonelikleri ve yönetim gruplarında erişimi yönetebilir.**\
Bu yükseltme sayfanın sonunda yapılabilir: [https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/\~/Properties](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties)
<figure><img src="../../../images/image (349).png" alt=""><figcaption></figcaption></figure>
### Atama Koşulları & MFA
Bir role bir prensipe atandığında **bazı koşullar belirlemek mümkündür**. Eklenebilecek yaygın bir koşul, bazı rol izinlerine erişim için MFA gerektirmektir:
```bash
az role assignment create \
--assignee <user-or-service-principal-id> \
--role <custom-role-id-or-name> \
--scope "/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f" \
--condition "PrincipalClaims['amr'] contains 'mfa'" \
--condition-version 2.0
```
### Reddi Atamaları
**[belgelere](https://learn.microsoft.com/en-us/azure/role-based-access-control/conditions-role-assignments-portal)** göre: Şu anda, **blob depolama veri eylemleri veya kuyruk depolama veri eylemleri** olan yerleşik veya özel rol atamalarına koşullar eklenebilir.
Rol atamaları gibi, **reddi atamaları** da **Azure kaynaklarına erişimi kontrol etmek** için kullanılır. Ancak, **reddi atamaları** bir kaynağa erişimi **açıkça reddetmek** için kullanılır; bu, bir kullanıcının bir rol ataması aracılığıyla erişim verilmiş olsa bile geçerlidir. **Reddin atamaları**, **rol atamalarının** önceliğine sahiptir; bu, bir kullanıcıya bir rol ataması aracılığıyla erişim verilmişse ancak aynı zamanda bir reddi ataması aracılığıyla açıkça erişimi reddedilmişse, reddi atamasının öncelikli olacağı anlamına gelir.
### Reddetme Atamaları
Rol atamaları gibi, **reddi atamaları** etkilenen ilkeleri ve reddedilen izinleri belirten bir kapsam üzerinde uygulanır. Ayrıca, reddi atamaları durumunda, **reddin çocuk kaynaklar tarafından miras alınmasını önlemek** mümkündür.
Rol atamaları gibi, **reddetme atamaları** da **Azure kaynaklarına erişimi kontrol etmek için** kullanılır. Ancak, **reddetme atamaları** bir kaynağa erişimi **açıkça reddetmek için** kullanılır, kullanıcı bir rol ataması aracılığıyla erişim hakkı verilmiş olsa bile. **Reddetme atamaları**, **rol atamalarının** önceliğine sahiptir; bu, bir kullanıcıya bir rol ataması aracılığıyla erişim hakkı verilmişse ancak aynı zamanda bir reddetme ataması aracılığıyla açıkça erişimi reddedilmişse, reddetme atamasının öncelikli olacağı anlamına gelir.
Rol atamaları gibi, **reddetme atamaları** etkilenen prensipleri ve reddedilen izinleri belirten bir kapsam üzerinde uygulanır. Ayrıca, reddetme atamaları durumunda, **reddetmenin çocuk kaynaklara miras alınmasını önlemek** mümkündür.
### Azure Politikaları
**Azure Politikaları**, organizasyonların kaynaklarının belirli standartlara ve uyumluluk gereksinimlerine uygun olmasını sağlamalarına yardımcı olan kurallardır. Bu, Azure'daki kaynaklar üzerinde **ayarları uygulamanıza veya denetlemenize** olanak tanır. Örneğin, yetkisiz bir bölgede sanal makinelerin oluşturulmasını engelleyebilir veya tüm kaynakların izleme için belirli etiketlere sahip olmasını sağlayabilirsiniz.
**Azure Politikaları**, organizasyonların kaynaklarının belirli standartlara ve uyumluluk gereksinimlerine uygun olmasını sağlamalarına yardımcı olan kurallardır. Azure'daki kaynaklar üzerinde **ayarları uygulamak veya denetlemek** için kullanılır. Örneğin, yetkisiz bir bölgede sanal makinelerin oluşturulmasını engelleyebilir veya tüm kaynakların izleme için belirli etiketlere sahip olmasını sağlayabilirsiniz.
Azure Politikaları **proaktiftir**: uyumsuz kaynakların oluşturulmasını veya değiştirilmesini durdurabilirler. Ayrıca, mevcut uyumsuz kaynakları bulmanıza ve düzeltmenize olanak tanıyan **reaktif** özelliklere de sahiptirler.
Azure Politikaları **proaktiftir**: uyumsuz kaynakların oluşturulmasını veya değiştirilmesini durdurabilirler. Ayrıca **reaktif** olup, mevcut uyumsuz kaynakları bulup düzeltmenize olanak tanır.
#### **Anahtar Kavramlar**
1. **Politika Tanımı**: Ne yapılmasına izin verildiğini veya neyin gerekli olduğunu belirten, JSON formatında yazılmış bir kural.
2. **Politika Ataması**: Bir politikanın belirli bir kapsamda (örneğin, abonelik, kaynak grubu) uygulanması.
3. **İnisiyatifler**: Daha geniş bir uygulama için bir araya getirilmiş politika koleksiyonu.
3. **Girişimler**: Daha geniş bir uygulama için bir araya getirilmiş politika koleksiyonu.
4. **Etkisi**: Politika tetiklendiğinde ne olacağını belirtir (örneğin, "Reddet", "Denetle" veya "Ekle").
**Bazı örnekler:**
1. **Belirli Azure Bölgeleri ile Uyum Sağlama**: Bu politika, tüm kaynakların belirli Azure bölgelerinde dağıtılmasını sağlar. Örneğin, bir şirket tüm verilerinin GDPR uyumluluğu için Avrupa'da saklandığından emin olmak isteyebilir.
2. **İsimlendirme Standartlarını Uygulama**: Politikalar, Azure kaynakları için isimlendirme kurallarını uygulayabilir. Bu, büyük ortamlarda kaynakları isimlerine göre düzenlemeye ve kolayca tanımlamaya yardımcı olur.
1. **Belirli Azure Bölgeleri ile Uyum Sağlama**: Bu politika, tüm kaynakların belirli Azure bölgelerinde dağıtılmasını sağlar. Örneğin, bir şirket tüm verilerinin GDPR uyumluluğu için Avrupa'da saklanmasını isteyebilir.
2. **İsimlendirme Standartlarını Uygulama**: Politikalar, Azure kaynakları için isimlendirme kurallarını uygulayabilir. Bu, büyük ortamlarda kaynakların isimlerine göre düzenlenmesine ve kolayca tanımlanmasına yardımcı olur.
3. **Belirli Kaynak Türlerini Kısıtlama**: Bu politika, belirli türde kaynakların oluşturulmasını kısıtlayabilir. Örneğin, maliyetleri kontrol etmek için belirli VM boyutları gibi pahalı kaynak türlerinin oluşturulmasını engellemek için bir politika ayarlanabilir.
4. **Etiketleme Politikalarını Uygulama**: Etiketler, kaynak yönetimi için kullanılan Azure kaynaklarıyla ilişkili anahtar-değer çiftleridir. Politikalar, belirli etiketlerin tüm kaynaklar için mevcut olması veya belirli değerlere sahip olması gerektiğini zorunlu kılabilir. Bu, maliyet takibi, sahiplik veya kaynakların kategorize edilmesi için faydalıdır.
5. **Kaynaklara Kamu Erişimini Sınırlama**: Politikalar, belirli kaynakların, örneğin depolama hesapları veya veritabanları, kamu uç noktalarına sahip olmamasını zorunlu kılabilir; bu, yalnızca organizasyonun ağı içinde erişilebilir olmalarını sağlar.
6. **Güvenlik Ayarlarını Otomatik Olarak Uygulama**: Politikalar, tüm VM'lere belirli bir ağ güvenlik grubunun uygulanması veya tüm depolama hesaplarının şifreleme kullanmasını sağlamak gibi kaynaklara güvenlik ayarlarını otomatik olarak uygulamak için kullanılabilir.
4. **Etiketleme Politikalarını Uygulama**: Etiketler, kaynak yönetimi için kullanılan Azure kaynakları ile ilişkili anahtar-değer çiftleridir. Politikalar, belirli etiketlerin mevcut olmasını veya tüm kaynaklar için belirli değerlere sahip olmasını zorunlu kılabilir. Bu, maliyet takibi, sahiplik veya kaynakların kategorize edilmesi için faydalıdır.
5. **Kaynaklara Kamu Erişimini Sınırlama**: Politikalar, belirli kaynakların, örneğin depolama hesapları veya veritabanlarının, kamu uç noktalarına sahip olmamasını zorunlu kılabilir, böylece yalnızca organizasyonun ağı içinde erişilebilir olmalarını sağlar.
6. **Güvenlik Ayarlarını Otomatik Olarak Uygulama**: Politikalar, tüm VM'lere belirli bir ağ güvenlik grubunun uygulanması veya tüm depolama hesaplarının şifreleme kullanmasını sağlamak gibi güvenlik ayarlarını kaynaklara otomatik olarak uygulamak için kullanılabilir.
Azure Politikalarının Azure hiyerarşisinin herhangi bir seviyesine eklenebileceğini unutmayın, ancak genellikle **kök yönetim grubunda** veya diğer yönetim gruplarında kullanılırlar.
Azure Politikalarının Azure hiyerarşisinin herhangi bir seviyesine eklenebileceğini unutmayın, ancak genellikle **kök yönetim grubunda** veya diğer yönetim gruplarında kullanılır.
Azure politika json örneği:
```json
@@ -371,7 +364,7 @@ Azure politika json örneği:
```
### İzin Mirası
Azure'da **izinler hiyerarşinin herhangi bir parçasına atanabilir**. Bu, yönetim gruplarını, abonelikleri, kaynak gruplarını ve bireysel kaynakları içerir. İzinler, atandıkları varlığın **içindeki** **kaynaklar** tarafından **miras alınır**.
Azure'da **izinler hiyerarşinin herhangi bir parçasına atanabilir**. Bu, yönetim gruplarını, abonelikleri, kaynak gruplarını ve bireysel kaynakları içerir. İzinler, atandıkları varlığın içerdiği **kaynaklar** tarafından **miras alınır**.
Bu hiyerarşik yapı, erişim izinlerinin verimli ve ölçeklenebilir bir şekilde yönetilmesini sağlar.
@@ -379,11 +372,11 @@ Bu hiyerarşik yapı, erişim izinlerinin verimli ve ölçeklenebilir bir şekil
### Azure RBAC vs ABAC
**RBAC** (rol tabanlı erişim kontrolü), önceki bölümlerde gördüğümüz şeydir: **Bir kaynağa erişim sağlamak için bir ilkeye rol atamak**.\
**RBAC** (rol tabanlı erişim kontrolü), önceki bölümlerde gördüğümüz şeydir: **Bir kaynağa erişim vermek için bir ilkeye rol atamak**.\
Ancak, bazı durumlarda **daha ince ayrıntılı erişim yönetimi** sağlamak veya **yüzlerce** rol **atanmasını** yönetimini **basitleştirmek** isteyebilirsiniz.
Azure **ABAC** (özellik tabanlı erişim kontrolü), belirli eylemler bağlamında **özelliklere dayalı rol atama koşulları** ekleyerek Azure RBAC üzerine inşa edilmiştir. Bir _rol atama koşulu_, **rol atamanıza ekleyebileceğiniz isteğe bağlı bir ek kontrol** olup daha ince ayrıntılı erişim kontrolü sağlar. Bir koşul, rol tanımı ve rol ataması kapsamında verilen izinleri filtreler. Örneğin, **bir nesneyi okumak için nesnenin belirli bir etikete sahip olmasını gerektiren bir koşul ekleyebilirsiniz**.\
Belirli kaynaklara **koşullar** kullanarak açıkça **erişimi reddedemezsiniz**.
Azure **ABAC** (özellik tabanlı erişim kontrolü), belirli eylemler bağlamında **özelliklere dayalı rol atama koşulları** ekleyerek Azure RBAC üzerine inşa edilmiştir. Bir _rol atama koşulu_, **rol atamanıza ekleyebileceğiniz isteğe bağlı bir ek kontrol** olup daha ince ayrıntılı erişim kontrolü sağlar. Bir koşul, rol tanımı ve rol ataması parçası olarak verilen izinleri filtreler. Örneğin, **bir nesneyi okumak için nesnenin belirli bir etikete sahip olmasını gerektiren bir koşul ekleyebilirsiniz**.\
Belirli kaynaklara **koşullar kullanarak**ıkça **erişimi reddedemezsiniz**.
## Referanslar