diff --git a/src/pentesting-cloud/azure-security/az-basic-information/README.md b/src/pentesting-cloud/azure-security/az-basic-information/README.md index b4102d9ae..33541a35c 100644 --- a/src/pentesting-cloud/azure-security/az-basic-information/README.md +++ b/src/pentesting-cloud/azure-security/az-basic-information/README.md @@ -9,7 +9,7 @@ ### Bestuur Groepe - Dit kan **ander bestuur groepe of subskripsies** bevat. -- Dit stel in staat om **governance beheer** soos RBAC en Azure-beleid een keer op die bestuur groep vlak toe te pas en dit **geërf** te laat word deur al die subskripsies in die groep. +- Dit maak dit moontlik om **governance beheer** soos RBAC en Azure-beleid een keer op die bestuur groep vlak toe te pas en dit **geërf** te laat word deur al die subskripsies in die groep. - **10,000 bestuur** groepe kan in 'n enkele gids ondersteun word. - 'n Bestuur groep boom kan **tot ses vlakke diepte** ondersteun. Hierdie limiet sluit nie die wortelvlak of die subskripsie vlak in nie. - Elke bestuur groep en subskripsie kan **slegs een ouer** ondersteun. @@ -28,11 +28,11 @@ ### Hulpbron Groepe -[Van die dokumentasie:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/manage-resource-groups-python?tabs=macos#what-is-a-resource-group) 'n Hulpbron groep is 'n **houer** wat **verwante hulpbronne** vir 'n Azure oplossing bevat. Die hulpbron groep kan al die hulpbronne vir die oplossing insluit, of slegs daardie **hulpbronne wat jy as 'n groep wil bestuur**. Oor die algemeen, voeg **hulpbronne** wat die **selfde lewensiklus** deel by die selfde hulpbron groep sodat jy dit maklik kan ontplooi, opdateer, en verwyder as 'n groep. +[Van die dokumentasie:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/manage-resource-groups-python?tabs=macos#what-is-a-resource-group) 'n Hulpbron groep is 'n **houer** wat **verwante hulpbronne** vir 'n Azure oplossing bevat. Die hulpbron groep kan al die hulpbronne vir die oplossing insluit, of slegs daardie **hulpbronne wat jy as 'n groep wil bestuur**. Oor die algemeen, voeg **hulpbronne** wat die **selfde lewensiklus** deel by die selfde hulpbron groep sodat jy dit maklik as 'n groep kan ontplooi, opdateer en verwyder. Alle **hulpbronne** moet **binne 'n hulpbron groep** wees en kan slegs aan een groep behoort, en as 'n hulpbron groep verwyder word, word al die hulpbronne daarin ook verwyder. -

https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1

+

https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1

### Azure Hulpbron ID's @@ -50,17 +50,17 @@ Vir 'n virtuele masjien genaamd myVM in 'n hulpbron groep `myResourceGroup` onde ### Azure -Azure is Microsoft se omvattende **cloud computing platform, wat 'n wye reeks dienste bied**, insluitend virtuele masjiene, databasisse, kunsmatige intelligensie, en stoor. Dit dien as die grondslag vir die gasheer en bestuur van toepassings, die bou van skaalbare infrastruktuur, en die uitvoering van moderne werklas in die wolk. Azure bied gereedskap vir ontwikkelaars en IT-professionals om toepassings en dienste naatloos te skep, te ontplooi, en te bestuur, wat voorsien in 'n verskeidenheid behoeftes van startups tot groot ondernemings. +Azure is Microsoft se omvattende **cloud computing platform, wat 'n wye reeks dienste bied**, insluitend virtuele masjiene, databasisse, kunsmatige intelligensie, en stoor. Dit dien as die grondslag vir die gasheer en bestuur van toepassings, die bou van skaalbare infrastruktuur, en die uitvoering van moderne werklas in die wolk. Azure bied gereedskap vir ontwikkelaars en IT-professionals om toepassings en dienste naatloos te skep, te ontplooi en te bestuur, wat aan 'n verskeidenheid behoeftes van startups tot groot ondernemings voldoen. -### Entra ID (voorheen Azure Aktiewe Gids) +### Entra ID (voorheen Azure Active Directory) Entra ID is 'n wolk-gebaseerde **identiteit en toegang bestuur diens** wat ontwerp is om autentisering, autorisasie, en gebruikers toegang beheer te hanteer. Dit bied veilige toegang tot Microsoft dienste soos Office 365, Azure, en baie derdeparty SaaS toepassings. Met funksies soos enkel teken-in (SSO), multi-faktor autentisering (MFA), en voorwaardelike toegang beleid onder andere. ### Entra Domein Dienste (voorheen Azure AD DS) -Entra Domein Dienste brei die vermoëns van Entra ID uit deur **bestuurde domein dienste aan te bied wat versoenbaar is met tradisionele Windows Aktiewe Gids omgewings**. Dit ondersteun ou protokolle soos LDAP, Kerberos, en NTLM, wat organisasies in staat stel om ou toepassings in die wolk te migreer of te laat loop sonder om plaaslike domein kontrollers te ontplooi. Hierdie diens ondersteun ook Groep Beleid vir gesentraliseerde bestuur, wat dit geskik maak vir scenario's waar ou of AD-gebaseerde werklas saam met moderne wolkomgewings moet bestaan. +Entra Domein Dienste brei die vermoëns van Entra ID uit deur **bestuurde domein dienste aan te bied wat versoenbaar is met tradisionele Windows Active Directory omgewings**. Dit ondersteun ou protokolle soos LDAP, Kerberos, en NTLM, wat organisasies in staat stel om ou toepassings in die wolk te migreer of te laat loop sonder om plaaslike domein kontrollers te ontplooi. Hierdie diens ondersteun ook Groep Beleid vir gesentraliseerde bestuur, wat dit geskik maak vir scenario's waar ou of AD-gebaseerde werklas saam met moderne wolkomgewings moet bestaan. -## Entra ID Principals +## Entra ID Beginsels ### Gebruikers @@ -94,29 +94,29 @@ Jy kan dit nagaan in [https://learn.microsoft.com/en-us/entra/fundamentals/users - **Lede (**[**dokumentasie**](https://learn.microsoft.com/en-gb/entra/fundamentals/users-default-permissions#restrict-member-users-default-permissions)**)** - Registreer Toepassings: Standaard **Ja** -- Beperk nie-admin gebruikers van die skep van tenants: Standaard **Nee** +- Beperk nie-administrateurs van die skep van tenants: Standaard **Nee** - Skep sekuriteitsgroepe: Standaard **Ja** - Beperk toegang tot Microsoft Entra administrasie portaal: Standaard **Nee** - Dit beperk nie API toegang tot die portaal nie (slegs web) - Laat gebruikers toe om werk of skool rekening met LinkedIn te verbind: Standaard **Ja** - Toon hou gebruiker ingelog: Standaard **Ja** -- Beperk gebruikers van die herstel van die BitLocker sleutel(s) vir hul besit toestelle: Standaard Nee (nagaan in Toestel Instellings) +- Beperk gebruikers van die herstel van die BitLocker sleutel(s) vir hul besit toestelle: Standaard Nee (kontroleer in Toestel Instellings) - Lees ander gebruikers: Standaard **Ja** (deur Microsoft Graph) - **Gaste** -- **Gaste gebruiker toegang beperkings** -- **Gaste gebruikers het dieselfde toegang as lede** gee alle lid gebruiker toestemmings aan gaste gebruikers standaard. -- **Gaste gebruikers het beperkte toegang tot eienskappe en lidmaatskappe van gids objekte (standaard)** beperk gaste toegang tot slegs hul eie gebruikersprofiel standaard. Toegang tot ander gebruikers en groep inligting is nie meer toegelaat nie. +- **Gaste gebruiker toegang beperkings** opsies: +- **Gaste gebruikers het dieselfde toegang as lede**. +- **Gaste gebruikers het beperkte toegang tot eienskappe en lidmaatskappe van gids objekte (standaard)**. Dit beperk gaste toegang tot slegs hul eie gebruikersprofiel per standaard. Toegang tot ander gebruikers en groep inligting is nie meer toegelaat nie. - **Gaste gebruiker toegang is beperk tot eienskappe en lidmaatskappe van hul eie gids objekte** is die mees beperkende een. -- **Gaste kan uitnooi** -- **Enige iemand in die organisasie kan gaste gebruikers uitnooi insluitend gaste en nie-admins (mees inklusief) - Standaard** -- **Lid gebruikers en gebruikers wat aan spesifieke admin rolle toegeken is kan gaste gebruikers uitnooi insluitend gaste met lid toestemmings** -- **Slegs gebruikers wat aan spesifieke admin rolle toegeken is kan gaste gebruikers uitnooi** -- **Niemand in die organisasie kan gaste gebruikers uitnooi insluitend admins (mees beperkende)** +- **Gaste kan uitnooi** opsies: +- **Enige iemand in die organisasie kan gaste gebruikers uitnooi insluitend gaste en nie-administrateurs (mees inklusief) - Standaard** +- **Lid gebruikers en gebruikers wat aan spesifieke administrateur rolle toegeken is, kan gaste gebruikers uitnooi insluitend gaste met lid toestemmings** +- **Slegs gebruikers wat aan spesifieke administrateur rolle toegeken is, kan gaste gebruikers uitnooi** +- **Niemand in die organisasie kan gaste gebruikers uitnooi insluitend administrateurs (mees beperkende)** - **Buitelandse gebruiker verlaat**: Standaard **Waar** - Laat buitelandse gebruikers toe om die organisasie te verlaat > [!TIP] -> Alhoewel dit standaard beperk is, kan gebruikers (lede en gaste) met toegekenne toestemmings die vorige aksies uitvoer. +> Alhoewel dit per standaard beperk is, kan gebruikers (lede en gaste) met toegekenne toestemmings die vorige aksies uitvoer. ### **Groepe** @@ -129,7 +129,7 @@ Daar is **2 tipes groepe**: Daar is **2 tipes lidmaatskappe**: - **Toegewyse**: Laat toe om spesifieke lede handmatig aan 'n groep toe te voeg. -- **Dinamiese lidmaatskap**: Bestuur lidmaatskap outomaties met behulp van reëls, wat groep insluiting opdateer wanneer lede eienskappe verander. +- **Dinamiese lidmaatskap**: Bestuur lidmaatskap outomaties met behulp van reëls, wat die groep insluiting opdateer wanneer lede se eienskappe verander. ### **Diens Prinsipale** @@ -137,7 +137,7 @@ Daar is **2 tipes lidmaatskappe**: Dit is moontlik om **direk as 'n diens prinsipaal aan te meld** deur 'n **geheim** (wagwoord), 'n **sertifikaat**, of deur **federale** toegang aan derdeparty platforms (bv. Github Actions) oor dit te verleen. -- As jy **wagwoord** autentisering kies (standaard), **stoor die gegenereerde wagwoord** aangesien jy dit nie weer kan toegang nie. +- As jy **wagwoord** autentisering kies (per standaard), **stoor die gegenereerde wagwoord** aangesien jy dit nie weer sal kan toegang nie. - As jy sertifikaat autentisering kies, maak seker dat die **toepassing toegang sal hê oor die private sleutel**. ### App Registrasies @@ -148,7 +148,7 @@ Dit is moontlik om **direk as 'n diens prinsipaal aan te meld** deur 'n **geheim 1. **Toepassing ID (Kliënt ID):** 'n Unieke identifiseerder vir jou app in Azure AD. 2. **Herlei URIs:** URL's waar Azure AD autentisering antwoorde stuur. -3. **Sertifikate, Geheimen & Federale Kredite:** Dit is moontlik om 'n geheim of 'n sertifikaat te genereer om as die diens prinsipaal van die toepassing aan te meld, of om federale toegang aan dit te verleen (bv. Github Actions). +3. **Sertifikate, Geheimen & Federale Krediete:** Dit is moontlik om 'n geheim of 'n sertifikaat te genereer om as die diens prinsipaal van die toepassing aan te meld, of om federale toegang aan dit te verleen (bv. Github Actions). 1. As 'n **sertifikaat** of **geheim** gegenereer word, is dit moontlik vir 'n persoon om **as die diens prinsipaal** met CLI gereedskap aan te meld deur die **toepassing ID**, die **geheim** of **sertifikaat** en die **tenant** (domein of ID) te ken. 4. **API Toestemmings:** Spesifiseer watter hulpbronne of API's die app toegang kan verkry. 5. **Autentisering Instellings:** Definieer die app se ondersteunde autentisering vloei (bv., OAuth2, OpenID Connect). @@ -176,24 +176,24 @@ Dit is moontlik om **direk as 'n diens prinsipaal aan te meld** deur 'n **geheim - Gebruikers kan admin toestemming versoek vir apps waartoe hulle nie toestemming kan gee nie - As **Ja**: Dit is moontlik om Gebruikers, Groepe en Rolle aan te dui wat toestemming versoeke kan gee -- Konfigureer ook of gebruikers e-pos kennisgewings en vervaldatums herinneringe sal ontvang +- Konfigureer ook of gebruikers e-pos kennisgewings en vervaldatums herinneringe sal ontvang ### **Bestuurde Identiteit (Metadata)** -Bestuurde identiteite in Azure Aktiewe Gids bied 'n oplossing vir **outomatiese bestuur van die identiteit** van toepassings. Hierdie identiteite word deur toepassings gebruik met die doel om **verbinding te maak** met **hulpbronne** wat versoenbaar is met Azure Aktiewe Gids (**Azure AD**) autentisering. Dit stel in staat om die behoefte aan hardkoding van wolk kredensiale in die kode te **verwyder** aangesien die toepassing in staat sal wees om die **metadata** diens te kontak om 'n geldige token te **verkry** om aksies uit te voer as die aangeduide bestuurde identiteit in Azure. +Bestuurde identiteite in Azure Active Directory bied 'n oplossing vir **outomatiese bestuur van die identiteit** van toepassings. Hierdie identiteite word deur toepassings gebruik met die doel om **verbinding te maak** met **hulpbronne** wat versoenbaar is met Azure Active Directory (**Azure AD**) autentisering. Dit maak dit moontlik om **die behoefte aan hardkoding van wolk akrediteer** in die kode te verwyder aangesien die toepassing in staat sal wees om die **metadata** diens te kontak om 'n geldige token te verkry om **aksies** uit te voer as die aangeduide bestuurde identiteit in Azure. Daar is twee tipes bestuurde identiteite: - **Stelsel-toegewyse**. Sommige Azure dienste laat jou toe om 'n **bestuurde identiteit direk op 'n diens instansie** in te skakel. Wanneer jy 'n stelsel-toegewyse bestuurde identiteit inskakel, word 'n **diens prinsipaal** geskep in die Entra ID tenant wat deur die subskripsie vertrou word waar die hulpbron geleë is. Wanneer die **hulpbron** verwyder word, verwyder Azure outomaties die **identiteit** vir jou. - **Gebruiker-toegewyse**. Dit is ook moontlik vir gebruikers om bestuurde identiteite te genereer. Hierdie word binne 'n hulpbron groep binne 'n subskripsie geskep en 'n diens prinsipaal sal in die EntraID geskep word wat deur die subskripsie vertrou word. Dan kan jy die bestuurde identiteit aan een of **meer instansies** van 'n Azure diens toewys (meerdere hulpbronne). Vir gebruiker-toegewyse bestuurde identiteite, word die **identiteit apart bestuur van die hulpbronne wat dit gebruik**. -Bestuurde Identiteite **genereer nie ewige kredensiale** (soos wagwoorde of sertifikate) om toegang te verkry as die diens prinsipaal wat aan dit geheg is. +Bestuurde Identiteite **genereer nie ewige akrediteer** (soos wagwoorde of sertifikate) om toegang te verkry as die diens prinsipaal wat aan dit geheg is. -### Onderneming Toepassings +### Enterprise Toepassings -Dit is net 'n **tafel in Azure om diens prinsipale te filter** en die toepassings wat aan hulle toegeken is, te kontroleer. +Dit is net 'n **tabel in Azure om diens prinsipale te filter** en die toepassings wat aan hulle toegeken is, te kontroleer. -**Dit is nie 'n ander tipe "toepassing" nie,** daar is nie enige objek in Azure wat 'n "Onderneming Toepassing" is nie, dit is net 'n abstraksie om die Diens prinsipale, App registrasies en bestuurde identiteite te kontroleer. +**Dit is nie 'n ander tipe "toepassing" nie,** daar is nie enige objek in Azure wat 'n "Enterprise Toepassing" is nie, dit is net 'n abstraksie om die Diens prinsipale, App registrasies en bestuurde identiteite te kontroleer. ### Administratiewe Eenhede @@ -201,51 +201,51 @@ Administratiewe eenhede laat toe om **toestemmings van 'n rol oor 'n spesifieke Voorbeeld: -- Scenario: 'n Maatskappy wil regionale IT admins toelaat om slegs die gebruikers in hul eie streek te bestuur. +- Scenario: 'n Maatskappy wil regionale IT administrateurs toelaat om slegs die gebruikers in hul eie streek te bestuur. - Implementering: - Skep Administratiewe Eenhede vir elke streek (bv., "Noord-Amerika AU", "Europa AU"). -- Vul AU's met gebruikers van hul onderskeie streke. +- Vul AU's met gebruikers uit hul onderskeie streke. - AU's kan **gebruikers, groepe, of toestelle** bevat - AU's ondersteun **dinamiese lidmaatskappe** - AU's **kan nie AU's bevat nie** - Ken Admin Rolle toe: - Gee die "Gebruiker Administrateur" rol aan regionale IT personeel, geskaal na hul streek se AU. -- Uitkoms: Regionale IT admins kan gebruikersrekeninge binne hul streek bestuur sonder om ander streke te beïnvloed. +- Uitkoms: Regionale IT administrateurs kan gebruikersrekeninge binne hul streek bestuur sonder om ander streke te beïnvloed. ### Entra ID Rolle -- Ten einde Entra ID te bestuur, is daar 'n paar **ingeboude rolle** wat aan Entra ID prinsipale toegeken kan word om Entra ID te bestuur -- Kyk na die rolle in [https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference) +- Ten einde Entra ID te bestuur, is daar 'n paar **ingeboude rolle** wat aan Entra ID beginsels toegeken kan word om Entra ID te bestuur +- Kontroleer die rolle in [https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference) - Die mees bevoorregte rol is **Globale Administrateur** - In die Beskrywing van die rol is dit moontlik om sy **fynere toestemmings** te sien ## Rolle & Toestemmings -**Rolle** word **toegeken** aan **prinsipale** op 'n **skaal**: `principal -[HAS ROLE]->(scope)` +**Rolle** word **toegeken** aan **beginsels** op 'n **skaal**: `beginsel -[HEE ROLE]->(skaal)` **Rolle** wat aan **groepe** toegeken word, word **geërf** deur al die **lede** van die groep. -Afhangende van die skaal waaraan die rol toegeken is, kan die **rol** **geërf** word na **ander hulpbronne** binne die skaal houer. Byvoorbeeld, as 'n gebruiker A 'n **rol op die subskripsie** het, sal hy daardie **rol op al die hulpbron groepe** binne die subskripsie hê en op **alle hulpbronne** binne die hulpbron groep. +Afhangende van die skaal waaraan die rol toegeken is, kan die **rol** **geërf** word na **ander hulpbronne** binne die skaal houer. Byvoorbeeld, as 'n gebruiker A 'n **rol op die subskripsie** het, sal hy daardie **rol op al die hulpbron groepe** binne die subskripsie hê en op **al die hulpbronne** binne die hulpbron groep. ### **Klassieke Rolle** -| **Eienaar** | | Alle hulpbron tipes | -| ------------------------------- | ------------------------------------------------------------------------------------------ | ------------------ | -| **Bydraer** | | Alle hulpbron tipes | -| **Leser** | • Sien alle hulpbronne | Alle hulpbron tipes | -| **Gebruiker Toegang Administrateur** | | Alle hulpbron tipes | +| **Eienaar** | | Alle hulpbron tipes | +| ------------------------------- | ---------------------------------------------------------------------------------------- | ------------------ | +| **Bydraer** | | Alle hulpbron tipes | +| **Leser** | • Sien alle hulpbronne | Alle hulpbron tipes | +| **Gebruiker Toegang Administrateur** | | Alle hulpbron tipes | ### Gebou-in rolle -[Van die dokumentasie: ](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles)[Azure rol-gebaseerde toegangbeheer (Azure RBAC)](https://learn.microsoft.com/en-us/azure/role-based-access-control/overview) het verskeie Azure **gebou-in rolle** wat jy kan **toekenn** aan **gebruikers, groepe, diens prinsipale, en bestuurde identiteite**. Rol toekennings is die manier waarop jy **toegang tot Azure hulpbronne** beheer. As die gebou-in rolle nie aan die spesifieke behoeftes van jou organisasie voldoen nie, kan jy jou eie [**Azure pasgemaakte rolle**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)** skep.** +[Van die dokumentasie: ](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles)[Azure rol-gebaseerde toegangbeheer (Azure RBAC)](https://learn.microsoft.com/en-us/azure/role-based-access-control/overview) het verskeie Azure **gebou-in rolle** wat jy kan **toeken** aan **gebruikers, groepe, diens prinsipale, en bestuurde identiteite**. Rol toekenning is die manier waarop jy **toegang tot Azure hulpbronne** beheer. As die gebou-in rolle nie aan die spesifieke behoeftes van jou organisasie voldoen nie, kan jy jou eie [**Azure pasgemaakte rolle**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)** skep.** **Gebou-in** rolle geld slegs vir die **hulpbronne** waarvoor hulle **bedoel** is, byvoorbeeld kyk na hierdie 2 voorbeelde van **Gebou-in rolle oor Compute** hulpbronne: | [Disk Backup Reader](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Bied toestemming aan om rugsteun kluise te laat rugsteun. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 | | ----------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ------------------------------------ | -| [Virtuele Masjien Gebruiker Aanmelding](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Sien Virtuele Masjiene in die portaal en teken in as 'n gewone gebruiker. | fb879df8-f326-4884-b1cf-06f3ad86be52 | +| [Virtuele Masjien Gebruiker Aanmelding](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Sien Virtuele Masjiene in die portaal en meld aan as 'n gewone gebruiker. | fb879df8-f326-4884-b1cf-06f3ad86be52 | -Hierdie rolle kan **ook oor logiese houers** (soos bestuur groepe, subskripsies en hulpbron groepe) toegeken word en die prinsipale wat geraak word, sal dit **oor die hulpbronne binne daardie houers** hê. +Hierdie rolle kan **ook toegeken word oor logiese houers** (soos bestuur groepe, subskripsies en hulpbron groepe) en die beginsels wat geraak word, sal dit **oor die hulpbronne binne daardie houers** hê. - Vind hier 'n lys met [**alle Azure gebou-in rolle**](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles). - Vind hier 'n lys met [**alle Entra ID gebou-in rolle**](https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference). @@ -256,7 +256,7 @@ Hierdie rolle kan **ook oor logiese houers** (soos bestuur groepe, subskripsies - Hulle word binne 'n skaal geskep, alhoewel 'n rol in verskeie skale kan wees (bestuur groepe, subskripsie en hulpbron groepe) - Dit is moontlik om al die fynere toestemmings wat die pasgemaakte rol sal hê, te konfigureer - Dit is moontlik om toestemmings uit te sluit -- 'n prinsipaal met 'n uitgeslote toestemming sal dit nie kan gebruik nie, selfs al word die toestemming elders toegeken +- 'n Beginsels met 'n uitgeslote toestemming sal dit nie kan gebruik nie, selfs al word die toestemming elders toegeken - Dit is moontlik om wildcard te gebruik - Die gebruikte formaat is 'n JSON - `actions` is vir beheer aksies oor die hulpbron @@ -292,18 +292,18 @@ Voorbeeld van toestemmings JSON vir 'n pasgemaakte rol: } } ``` -### Permissies volgorde +### Toestemmingsorde -- Om 'n **hoofpersoon toegang tot 'n hulpbron te hê**, moet daar 'n eksplisiete rol aan hom toegeken word (op enige manier) **wat hom daardie toestemming gee**. +- Ten einde vir 'n **hoofpersoon om toegang tot 'n hulpbron te hê** moet 'n eksplisiete rol aan hom toegeken word (op enige manier) **wat hom daardie toestemming gee**. - 'n Eksplisiete **weier roltoewysing het voorrang** bo die rol wat die toestemming gee.

https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10

### Globale Administrateur -Globale Administrateur is 'n rol van Entra ID wat **volledige beheer oor die Entra ID huurder** gee. Dit gee egter nie standaard enige toestemming oor Azure hulpbronne nie. +Globale Administrateur is 'n rol van Entra ID wat **volledige beheer oor die Entra ID-huurder** toeken. Dit gee egter nie standaard enige toestemmings oor Azure-hulpbronne nie. -Gebruikers met die Globale Administrateur rol het die vermoë om te '**verhoog' na die Gebruikerstoegang Administrateur Azure rol in die Wortelbestuursgroep**. So kan Globale Administrateurs toegang in **alle Azure subskripsies en bestuursgroepe bestuur.**\ +Gebruikers met die Globale Administrateur rol het die vermoë om '**te verhoog' na die Gebruikerstoegang Administrateur Azure rol in die Wortelbestuursgroep**. So kan Globale Administrateurs toegang in **alle Azure-subskripsies en bestuursgroepe bestuur.**\ Hierdie verhoging kan aan die einde van die bladsy gedoen word: [https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/\~/Properties](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties)
@@ -312,7 +312,7 @@ Hierdie verhoging kan aan die einde van die bladsy gedoen word: [https://portal. **Azure Beleide** is reëls wat organisasies help om te verseker dat hul hulpbronne aan spesifieke standaarde en nakomingsvereistes voldoen. Hulle stel jou in staat om **instellings op hulpbronne in Azure af te dwing of te oudit**. Byvoorbeeld, jy kan die skepping van virtuele masjiene in 'n nie-geautoriseerde streek voorkom of verseker dat alle hulpbronne spesifieke etikette het vir opsporing. -Azure Beleide is **proaktief**: hulle kan nie-nakomende hulpbronne keer om geskep of verander te word. Hulle is ook **reaktief**, wat jou toelaat om bestaande nie-nakomende hulpbronne te vind en reg te stel. +Azure Beleide is **proaktief**: hulle kan nie-nakomende hulpbronne stop om geskep of verander te word. Hulle is ook **reaktief**, wat jou toelaat om bestaande nie-nakomende hulpbronne te vind en reg te stel. #### **Belangrike Konsepte** @@ -324,11 +324,11 @@ Azure Beleide is **proaktief**: hulle kan nie-nakomende hulpbronne keer om geske **Sommige voorbeelde:** 1. **Verseker Nakoming met Spesifieke Azure Streke**: Hierdie beleid verseker dat alle hulpbronne in spesifieke Azure streke ontplooi word. Byvoorbeeld, 'n maatskappy mag wil verseker dat al sy data in Europa gestoor word vir GDPR-nakoming. -2. **Afgedwonge Naamstandaarde**: Beleide kan naamkonvensies vir Azure hulpbronne afdwing. Dit help om hulpbronne te organiseer en maklik te identifiseer op grond van hul name, wat nuttig is in groot omgewings. +2. **Afgedwonge Naamstandaarde**: Beleide kan naamkonvensies vir Azure-hulpbronne afdwing. Dit help om hulpbronne te organiseer en maklik te identifiseer op grond van hul name, wat nuttig is in groot omgewings. 3. **Beperking van Sekere Hulpbron Tipes**: Hierdie beleid kan die skepping van sekere tipes hulpbronne beperk. Byvoorbeeld, 'n beleid kan ingestel word om die skepping van duur hulpbron tipes, soos sekere VM-groottes, te voorkom om koste te beheer. -4. **Afgedwonge Etikettering Beleide**: Etikette is sleutel-waarde pare wat met Azure hulpbronne geassosieer word en gebruik word vir hulpbronbestuur. Beleide kan afdwing dat sekere etikette teenwoordig moet wees, of spesifieke waardes moet hê, vir alle hulpbronne. Dit is nuttig vir kostebestuur, eienaarskap, of kategorisering van hulpbronne. +4. **Afgedwonge Etikettering Beleide**: Etikette is sleutel-waarde pare wat met Azure-hulpbronne geassosieer word en gebruik word vir hulpbronbestuur. Beleide kan afdwing dat sekere etikette teenwoordig moet wees, of spesifieke waardes moet hê, vir alle hulpbronne. Dit is nuttig vir kostesporing, eienaarskap, of kategorisering van hulpbronne. 5. **Beperking van Publieke Toegang tot Hulpbronne**: Beleide kan afdwing dat sekere hulpbronne, soos stoor rekeninge of databasisse, nie publieke eindpunte het nie, wat verseker dat hulle slegs binne die organisasie se netwerk toeganklik is. -6. **Outomatiese Toepassing van Sekuriteitsinstellings**: Beleide kan gebruik word om outomaties sekuriteitsinstellings op hulpbronne toe te pas, soos om 'n spesifieke netwerk sekuriteitsgroep op alle VM's toe te pas of om te verseker dat alle stoor rekeninge versleuteling gebruik. +6. **Outomatiese Toepassing van Sekuriteitsinstellings**: Beleide kan gebruik word om outomaties sekuriteitsinstellings op hulpbronne toe te pas, soos om 'n spesifieke netwerk sekuriteitsgroep op alle VM's toe te pas of te verseker dat alle stoor rekeninge versleuteling gebruik. Let daarop dat Azure Beleide aan enige vlak van die Azure hiërargie geheg kan word, maar hulle word **gewoonlik in die wortelbestuursgroep** of in ander bestuursgroepe gebruik. @@ -350,20 +350,20 @@ Azure beleid json voorbeeld: "mode": "All" } ``` -### Toestemmings Erf +### Toestemmingsoorname In Azure **kan toestemmings aan enige deel van die hiërargie toegeken word**. Dit sluit bestuursgroepe, subskripsies, hulpbron groepe, en individuele hulpbronne in. Toestemmings word **geërf** deur die ingeslote **hulpbronne** van die entiteit waar hulle toegeken is. -Hierdie hiërargiese struktuur stel in staat vir doeltreffende en skaalbare bestuur van toegangstoestemmings. +Hierdie hiërargiese struktuur stel in staat tot doeltreffende en skaalbare bestuur van toegangstoestemmings.
### Azure RBAC vs ABAC -**RBAC** (rol-gebaseerde toegangbeheer) is wat ons reeds in die vorige afdelings gesien het: **'n rol aan 'n prinsiep toe te ken om hom toegang** tot 'n hulpbron te gee.\ -E however, in sommige gevalle wil jy dalk **meer fyn-granulêre toegangsbewaking** bied of **die bestuur** van **honderde** rol **toekennings** vereenvoudig. +**RBAC** (rolgebaseerde toegangbeheer) is wat ons reeds in die vorige afdelings gesien het: **'n rol aan 'n prinsiep toe te ken om hom toegang** tot 'n hulpbron te gee.\ +E however, in sommige gevalle wil jy dalk **meer fyn-gegradeerde toegangsbewaking** bied of **die bestuur van **honderde** rol **toekennings** vereenvoudig. -Azure **ABAC** (attribuut-gebaseerde toegangbeheer) bou op Azure RBAC deur **roltoekenningsvoorwaardes gebaseer op attribuute** in die konteks van spesifieke aksies by te voeg. 'n _roltoekenningsvoorwaarde_ is 'n **addisionele kontrole wat jy opsioneel aan jou roltoekenning kan voeg** om meer fyn-granulêre toegangbeheer te bied. 'n voorwaarde filter die toestemmings wat as deel van die roldefinisie en roltoekenning toegeken word. Byvoorbeeld, jy kan **'n voorwaarde byvoeg wat vereis dat 'n objek 'n spesifieke etiket moet hê om die objek te lees**.\ +Azure **ABAC** (attribuut-gebaseerde toegangbeheer) bou op Azure RBAC deur **roltoekenningsvoorwaardes gebaseer op attribiete** in die konteks van spesifieke aksies by te voeg. 'n _roltoekenningsvoorwaarde_ is 'n **addisionele kontrole wat jy opsioneel aan jou roltoekenning kan voeg** om meer fyn-gegradeerde toegangbeheer te bied. 'n voorwaarde filter die toestemmings wat as deel van die roldefinisie en roltoekenning toegeken word. Byvoorbeeld, jy kan **'n voorwaarde byvoeg wat vereis dat 'n objek 'n spesifieke etiket moet hê om die objek te lees**.\ Jy **kan nie** eksplisiet **toegang** tot spesifieke hulpbronne **weier** **met behulp van voorwaardes** nie. ## Verwysings