gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 19:32:24 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-basic-information/RE

Browse Source
This commit is contained in:
Translator
2025-02-05 23:37:26 +00:00
parent b4c1ea53bf
commit 3c25d97c6c
1 changed files with 67 additions and 67 deletions
Download Patch File Download Diff File Expand all files Collapse all files

134
src/pentesting-cloud/azure-security/az-basic-information/README.md
View File

@@ -9,7 +9,7 @@
### Yönetim Grupları
- **Diğer yönetim gruplarını veya abonelikleri** içerebilir.
- Bu, yönetim grubu düzeyinde RBAC ve Azure Policy gibi **yönetim kontrollerinin uygulanmasına** olanak tanır ve bunların grup içindeki tüm abonelikler tarafından **devralınmasını** sağlar.
- Bu, yönetim grubu düzeyinde **yönetim kontrolleri** (RBAC ve Azure Policy gibi) uygulamayı ve bunların gruptaki tüm abonelikler tarafından **devralınmasını** sağlar.
- Tek bir dizinde **10.000 yönetim** grubu desteklenebilir.
- Bir yönetim grubu ağacı **altı seviyeye kadar derinliği** destekleyebilir. Bu sınır, kök düzeyini veya abonelik düzeyini içermez.
- Her yönetim grubu ve abonelik **sadece bir ebeveyn** destekleyebilir.
@@ -28,11 +28,11 @@
### Kaynak Grupları
[Belgelerden:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/manage-resource-groups-python?tabs=macos#what-is-a-resource-group) Bir kaynak grubu, bir Azure çözümü için **ilişkili kaynakları** tutan bir **konteynerdir**. Kaynak grubu, çözüm için tüm kaynakları veya yalnızca **bir grup olarak yönetmek istediğiniz kaynakları** içerebilir. Genel olarak, aynı yaşam döngüsünü paylaşan **kaynakları** aynı kaynak grubuna ekleyin, böylece bunları grup olarak kolayca dağıtabilir, güncelleyebilir ve silebilirsiniz.
[Belgelerden:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/manage-resource-groups-python?tabs=macos#what-is-a-resource-group) Bir kaynak grubu, bir Azure çözümü için **ilişkili kaynakları** tutan bir **konteynerdir**. Kaynak grubu, çözüm için tüm kaynakları veya yalnızca **bir grup olarak yönetmek istediğiniz kaynakları** içerebilir. Genel olarak, **aynı yaşam döngüsüne** sahip **kaynakları** aynı kaynak grubuna ekleyin, böylece bunları grup olarak kolayca dağıtabilir, güncelleyebilir ve silebilirsiniz.
Tüm **kaynaklar** **bir kaynak grubunun içinde** olmalı ve yalnızca bir gruba ait olabilir ve bir kaynak grubu silinirse, içindeki tüm kaynaklar da silinir.
Tüm **kaynaklar** **bir kaynak grubunun içinde** olmalı ve yalnızca bir gruba ait olabilir; eğer bir kaynak grubu silinirse, içindeki tüm kaynaklar da silinir.
<figure><img src="https://lh7-rt.googleusercontent.com/slidesz/AGV_vUfe8U30iP_vdZCvxX4g8nEPRLoo7v0kmCGkDn1frBPn3_GIoZ7VT2LkdsVQWCnrG_HSYNRRPM-1pSECUkbDAB-9YbUYLzpvKVLDETZS81CHWKYM4fDl3oMo5-yvTMnjdLTS2pz8U67xUTIzBhZ25MFMRkq5koKY=s2048?key=gSyKQr3HTyhvHa28Rf7LVA" alt=""><figcaption><p><a href="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&#x26;ssl=1">https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&#x26;ssl=1</a></p></figcaption></figure>
<figure><img src="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1" alt=""><figcaption><p><a href="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1">https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1</a></p></figcaption></figure>
### Azure Kaynak Kimlikleri
@@ -42,7 +42,7 @@ Bir Azure Kaynak Kimliğinin formatı şu şekildedir:
- `/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}`
`myResourceGroup` kaynak grubunda `myVM` adında bir sanal makine için, abonelik kimliği `12345678-1234-1234-1234-123456789012` altında, Azure Kaynak Kimliği şu şekilde görünür:
`12345678-1234-1234-1234-123456789012` abonelik kimliği altında `myResourceGroup` kaynak grubunda myVM adında bir sanal makine için Azure Kaynak Kimliği şöyle görünür:
- `/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM`
@@ -50,11 +50,11 @@ Bir Azure Kaynak Kimliğinin formatı şu şekildedir:
### Azure
Azure, Microsoft'un kapsamlı **bulut bilişim platformudur, geniş bir hizmet yelpazesi sunar**, sanal makineler, veritabanları, yapay zeka ve depolama dahil. Uygulamaları barındırmak ve yönetmek, ölçeklenebilir altyapılar oluşturmak ve bulutta modern iş yüklerini çalıştırmak için bir temel görevi görür. Azure, geliştiricilerin ve BT profesyonellerinin uygulamaları ve hizmetleri sorunsuz bir şekilde oluşturmasına, dağıtmasına ve yönetmesine olanak tanır ve ihtiyaçları startup'lardan büyük işletmelere kadar çeşitlilik gösterir.
Azure, Microsoft'un kapsamlı **bulut bilişim platformudur, geniş bir hizmet yelpazesi sunar**, sanal makineler, veritabanları, yapay zeka ve depolama dahil. Uygulamaları barındırmak ve yönetmek, ölçeklenebilir altyapılar oluşturmak ve bulutta modern iş yüklerini çalıştırmak için bir temel görevi görür. Azure, geliştiricilerin ve BT profesyonellerinin uygulamaları ve hizmetleri sorunsuz bir şekilde oluşturmasına, dağıtmasına ve yönetmesine olanak tanır ve başlangıçlardan büyük işletmelere kadar çeşitli ihtiyaçlara hitap eder.
### Entra ID (eski adıyla Azure Active Directory)
Entra ID, kimlik doğrulama, yetkilendirme ve kullanıcı erişim kontrolünü yönetmek için tasarlanmış bulut tabanlı bir **kimlik ve erişim yönetim hizmetidir**. Office 365, Azure ve birçok üçüncü taraf SaaS uygulaması gibi Microsoft hizmetlerine güvenli erişimi sağlar. Tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim politikaları gibi özellikler sunar.
Entra ID, kimlik doğrulama, yetkilendirme ve kullanıcı erişim kontrolünü yönetmek için tasarlanmış bulut tabanlı bir **kimlik ve erişim yönetim hizmetidir**. Office 365, Azure ve birçok üçüncü taraf SaaS uygulaması gibi Microsoft hizmetlerine güvenli erişim sağlar. Tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim politikaları gibi özellikler sunar.
### Entra Alan Hizmetleri (eski adıyla Azure AD DS)
@@ -67,8 +67,8 @@ Entra Alan Hizmetleri, Entra ID'nin yeteneklerini, **geleneksel Windows Active D
- **Yeni kullanıcılar**
- Seçilen kiracıdan e-posta adı ve alanı belirtin
- Görünen adı belirtin
- Şifre belirtin
- Özellikleri belirtin (isim, iş unvanı, iletişim bilgileri…)
- Parolayı belirtin
- Özellikleri belirtin (ad, unvan, iletişim bilgileri…)
- Varsayılan kullanıcı türü “**üye**”dir
- **Dış kullanıcılar**
- Davet edilecek e-posta ve görünen adı belirtin (Microsoft dışı bir e-posta olabilir)
@@ -77,9 +77,9 @@ Entra Alan Hizmetleri, Entra ID'nin yeteneklerini, **geleneksel Windows Active D
### Üyeler & Misafirlerin Varsayılan İzinleri
Bunları [https://learn.microsoft.com/en-us/entra/fundamentals/users-default-permissions](https://learn.microsoft.com/en-us/entra/fundamentals/users-default-permissions) adresinde kontrol edebilirsiniz, ancak diğer eylemler arasında bir üye şunları yapabilir:
Bunları [https://learn.microsoft.com/en-us/entra/fundamentals/users-default-permissions](https://learn.microsoft.com/en-us/entra/fundamentals/users-default-permissions) adresinde kontrol edebilirsiniz, ancak diğer eylemler arasında bir üye şunları yapabilecektir:
- Tüm kullanıcıları, Grupları, Uygulamaları, Cihazları, Rolleri, Abonelikleri ve bunların genel özelliklerini okuyabilir
- Tüm kullanıcıları, Grupları, Uygulamaları, Cihazları, Rolleri, Abonelikleri ve bunların genel özelliklerini görüntüleyebilir
- Misafirleri davet edebilir (_kapalı hale getirilebilir_)
- Güvenlik grupları oluşturabilir
- Gizli olmayan Grup üyeliklerini okuyabilir
@@ -88,7 +88,7 @@ Bunları [https://learn.microsoft.com/en-us/entra/fundamentals/users-default-per
- Azure'a 50'ye kadar cihaz ekleyebilir (_kapalı hale getirilebilir_)
> [!NOTE]
> Azure kaynaklarını listelemek için kullanıcının izin verilmiş bir yetkiye sahip olması gerektiğini unutmayın.
> Azure kaynaklarını listelemek için kullanıcının izinlerin açıkça verilmesi gerekir.
### Kullanıcıların Varsayılan Yapılandırılabilir İzinleri
@@ -103,41 +103,41 @@ Bunları [https://learn.microsoft.com/en-us/entra/fundamentals/users-default-per
- Kullanıcıların sahip oldukları cihazlar için BitLocker anahtarını kurtarmasını kısıtla: Varsayılan Hayır (Cihaz Ayarlarında kontrol edin)
- Diğer kullanıcıları oku: Varsayılan **Evet** (Microsoft Graph aracılığıyla)
- **Misafirler**
- **Misafir kullanıcı erişim kısıtlamaları**
- **Misafir kullanıcılar, üyelerle aynı erişime sahiptir** varsayılan olarak tüm üye kullanıcı izinlerini misafir kullanıcılara verir.
- **Misafir kullanıcılar, dizin nesnelerinin özelliklerine ve üyeliklerine sınırlı erişime sahiptir (varsayılan)** varsayılan olarak misafir erişimini yalnızca kendi kullanıcı profilleriyle sınırlıdır. Diğer kullanıcılar ve grup bilgilerine erişim artık izin verilmez.
- **Misafir kullanıcı erişimi, kendi dizin nesnelerinin özelliklerine ve üyeliklerine sınırlıdır** en kısıtlayıcı olanıdır.
- **Misafirler davet edebilir**
- **Kuruluşta herkes, misafir kullanıcıları davet edebilir, misafirler ve yönetici olmayanlar dahil (en kapsayıcı) - Varsayılan**
- **Misafir kullanıcı erişim kısıtlamaları** seçenekleri:
- **Misafir kullanıcılar, üyelerle aynı erişime sahiptir**.
- **Misafir kullanıcıların dizin nesnelerinin özelliklerine ve üyeliklerine sınırlı erişimi vardır (varsayılan)**. Bu, misafir erişimini varsayılan olarak yalnızca kendi kullanıcı profillerine kısıtlar. Diğer kullanıcılar ve grup bilgilerine erişim artık izin verilmez.
- **Misafir kullanıcı erişimi, kendi dizin nesnelerinin özelliklerine ve üyeliklerine kısıtlanmıştır** en kısıtlayıcı olanıdır.
- **Misafirler davet edebilir** seçenekleri:
- **Kuruluşta herhangi biri, misafir kullanıcıları davet edebilir, misafirler ve yönetici olmayanlar dahil (en kapsayıcı) - Varsayılan**
- **Üye kullanıcılar ve belirli yönetici rollerine atanmış kullanıcılar, misafir kullanıcıları davet edebilir, misafirler ile üye izinleriyle**
- **Sadece belirli yönetici rollerine atanmış kullanıcılar, misafir kullanıcıları davet edebilir**
- **Kuruluşta hiç kimse, misafir kullanıcıları davet edemez, yöneticiler dahil (en kısıtlayıcı)**
- **Sadece belirli yönetici rollerine atanmış kullanıcılar misafir kullanıcıları davet edebilir**
- **Kuruluşta hiç kimse misafir kullanıcıları davet edemez, yöneticiler dahil (en kısıtlayıcı)**
- **Dış kullanıcıların ayrılması**: Varsayılan **Doğru**
- Dış kullanıcıların kuruluşu terk etmesine izin ver
> [!TIP]
> Varsayılan olarak kısıtlanmış olsalar bile, izin verilmiş kullanıcılar (üyeler ve misafirler) önceki eylemleri gerçekleştirebilir.
> Varsayılan olarak kısıtlanmış olsa da, izin verilen kullanıcılar (üyeler ve misafirler) önceki eylemleri gerçekleştirebilir.
### **Gruplar**
**2 tür grup** vardır:
- **Güvenlik**: Bu tür grup, üyelere uygulamalara, kaynaklara erişim sağlamak ve lisans atamak için kullanılır. Kullanıcılar, cihazlar, hizmet ilkeleri ve diğer gruplar üye olabilir.
- **Microsoft 365**: Bu tür grup, işbirliği için kullanılır, üyelere paylaşılan bir posta kutusuna, takvime, dosyalara, SharePoint sitesine erişim sağlar. Grup üyeleri yalnızca kullanıcılar olabilir.
- **Güvenlik**: Bu tür grup, üyelere uygulamalara, kaynaklara erişim vermek ve lisans atamak için kullanılır. Kullanıcılar, cihazlar, hizmet ilkeleri ve diğer gruplar üye olabilir.
- **Microsoft 365**: Bu tür grup, işbirliği için kullanılır, üyelere paylaşılan bir posta kutusuna, takvime, dosyalara, SharePoint sitesine vb. erişim verir. Grup üyeleri yalnızca kullanıcılar olabilir.
- Bu, EntraID kiracısının alanıyla bir **e-posta adresine** sahip olacaktır.
**2 tür üyelik** vardır:
- **Atanmış**: Belirli üyeleri bir gruba manuel olarak eklemeye izin verir.
- **Dinamik üyelik**: Üyelikleri kurallar kullanarak otomatik olarak yönetir, üyelerin özellikleri değiştiğinde grup dahil edilmesini günceller.
- **Dinamik üyelik**: Kuralları kullanarak üyeliği otomatik olarak yönetir, üyelerin özellikleri değiştiğinde grup dahil edilmesini günceller.
### **Hizmet İlkeleri**
Bir **Hizmet İlkesi**, **uygulamalar**, barındırılan hizmetler ve Azure kaynaklarına erişim için otomatik araçlarla **kullanım** için oluşturulmuş bir **kimliktir**. Bu erişim, hizmet ilkesine atanan rollerle **kısıtlanır**, böylece **hangi kaynakların erişilebileceği** ve hangi düzeyde kontrol sağlanır. Güvenlik nedenleriyle, **hizmet ilkelerini otomatik araçlarla kullanmak** her zaman önerilir, kullanıcı kimliği ile giriş yapmalarına izin vermektense.
Bir **Hizmet İlkesi**, **uygulamalar**, barındırılan hizmetler ve Azure kaynaklarına erişim için **kullanım** amacıyla oluşturulmuş bir **kimliktir**. Bu erişim, hizmet ilkesine atanan rollerle **kısıtlanır**, böylece **hangi kaynakların erişilebileceği** ve hangi düzeyde erişileceği üzerinde kontrol sağlar. Güvenlik nedenleriyle, **hizmet ilkelerini otomatik araçlarla kullanmak** her zaman önerilir, kullanıcı kimliği ile giriş yapmalarına izin vermektense.
Bir hizmet ilkesine **doğrudan giriş yapmak** mümkündür, bir **gizli anahtar** (şifre), bir **sertifika** oluşturarak veya üçüncü taraf platformlara (örneğin, Github Actions) **federasyon** erişimi vererek.
Bir hizmet ilkesine **doğrudan giriş yapmak** mümkündür; bunun için bir **gizli anahtar** (parola), bir **sertifika** oluşturabilir veya üçüncü taraf platformlara (örneğin, Github Actions) üzerinden **federasyon** erişimi verebilirsiniz.
- **Şifre** kimlik doğrulamasını (varsayılan olarak) seçerseniz, **oluşturulan şifreyi kaydedin** çünkü bir daha erişemezsiniz.
- **Parola** kimlik doğrulamasını (varsayılan olarak) seçerseniz, **oluşturulan parolayı kaydedin** çünkü bir daha erişemezsiniz.
- Sertifika kimlik doğrulamasını seçerseniz, **uygulamanın özel anahtara erişimi olduğundan emin olun**.
### Uygulama Kayıtları
@@ -148,21 +148,21 @@ Bir **Uygulama Kaydı**, bir uygulamanın Entra ID ile entegre olmasına ve eyle
1. **Uygulama Kimliği (İstemci Kimliği):** Azure AD'deki uygulamanız için benzersiz bir tanımlayıcı.
2. **Yeniden Yönlendirme URI'leri:** Azure AD'nin kimlik doğrulama yanıtlarını gönderdiği URL'ler.
3. **Sertifikalar, Gizli Anahtarlar ve Federasyon Kimlik Bilgileri:** Uygulamanın hizmet ilkesine giriş yapmak için bir gizli anahtar veya sertifika oluşturmak veya ona federasyon erişimi vermek mümkündür (örneğin, Github Actions).
1. Eğer bir **sertifika** veya **gizli anahtar** oluşturulursa, bir kişi **hizmet ilkesi olarak giriş yapmak için** CLI araçlarıyla **uygulama kimliğini**, **gizli anahtarı** veya **sertifikayı** ve **kiracıyı** (alan veya kimlik) bilmesi gerekir.
4. **API İzinleri:** Uygulamanın erişebileceği kaynakları veya API'leri belirtir.
5. **Kimlik Doğrulama Ayarları:** Uygulamanın desteklediği kimlik doğrulama akışlarını tanımlar (örneğin, OAuth2, OpenID Connect).
6. **Hizmet İlkesi**: Bir Uygulama oluşturulduğunda (web konsolundan yapılırsa) veya yeni bir kiracıya yüklendiğinde bir hizmet ilkesi oluşturulur.
1. **Hizmet ilkesi**, yapılandırıldığı tüm istenen izinleri alır.
3. **Sertifikalar, Gizli Anahtarlar ve Federasyon Kimlik Bilgileri:** Uygulamanın hizmet ilkesi olarak giriş yapması için bir gizli anahtar veya sertifika oluşturmak veya ona federasyon erişimi vermek mümkündür (örneğin, Github Actions).
4. Eğer bir **sertifika** veya **gizli anahtar** oluşturulursa, bir kişi **hizmet ilkesi olarak giriş yapmak için** CLI araçlarıyla **uygulama kimliğini**, **gizli anahtarı** veya **sertifikayı** ve **kiracıyı** (alan veya kimlik) bilmesi gerekir.
5. **API İzinleri:** Uygulamanın erişebileceği kaynakları veya API'leri belirtir.
6. **Kimlik Doğrulama Ayarları:** Uygulamanın desteklediği kimlik doğrulama akışlarını tanımlar (örneğin, OAuth2, OpenID Connect).
7. **Hizmet İlkesi**: Bir Uygulama oluşturulduğunda (web konsolundan yapılırsa) veya yeni bir kiracıya yüklendiğinde bir hizmet ilkesi oluşturulur.
8. **Hizmet ilkesi**, yapılandırıldığı tüm istenen izinleri alır.
### Varsayılan Onay İzinleri
**Uygulamalar için kullanıcı onayı**
- **Kullanıcı onayını izin vermeyin**
- **Kullanıcı onayına izin verme**
- Tüm uygulamalar için bir yönetici gerekecektir.
- **Doğrulanmış yayıncılardan, seçilen izinler için kullanıcı onayına izin verin (Tavsiye Edilir)**
- Tüm kullanıcılar, "düşük etki" olarak sınıflandırılan izinler için, doğrulanmış yayıncılardan veya bu kuruluşta kayıtlı uygulamalar için onay verebilir.
- **Doğrulanmış yayıncılardan gelen uygulamalar için seçilen izinler için kullanıcı onayına izin ver (Tavsiye Edilir)**
- Tüm kullanıcılar, "düşük etki" olarak sınıflandırılan izinler için, doğrulanmış yayıncılardan gelen uygulamalar veya bu kuruluşta kayıtlı uygulamalar için onay verebilir.
- **Varsayılan** düşük etki izinleri (bunları düşük olarak eklemek için kabul etmeniz gerekir):
- User.Read - oturum açma ve kullanıcı profilini okuma
- offline_access - kullanıcının erişim verdiği verilere erişimi sürdürme
@@ -175,29 +175,29 @@ Bir **Uygulama Kaydı**, bir uygulamanın Entra ID ile entegre olmasına ve eyle
**Yönetici onay talepleri**: Varsayılan **Hayır**
- Kullanıcılar, onay veremedikleri uygulamalar için yönetici onayı talep edebilir
- Eğer **Evet**: Onay taleplerini onaylayabilecek kullanıcılar, Gruplar ve Roller belirtilebilir
- Kullanıcıların e-posta bildirimleri ve son kullanma hatırlatmaları alıp almayacaklarını da yapılandırın
- Eğer **Evet**: Onay taleplerine onay verebilecek Kullanıcılar, Gruplar ve Roller belirtmek mümkündür
- Kullanıcıların e-posta bildirimleri ve son kullanma hatırlatmaları alıp almayacağını da yapılandırın
### **Yönetilen Kimlik (Meta Veriler)**
Azure Active Directory'deki yönetilen kimlikler, uygulamaların kimliğini **otomatik olarak yönetme** çözümü sunar. Bu kimlikler, uygulamaların Azure Active Directory (**Azure AD**) kimlik doğrulaması ile uyumlu **kaynaklara** **bağlanmak** amacıyla kullanılır. Bu, uygulamanın **meta veri** hizmeti ile iletişim kurarak Azure'daki belirtilen yönetilen kimlik olarak **hareket etmek** için geçerli bir token almasını sağlar, böylece bulut kimlik bilgilerini kodda sabitleme ihtiyacını **ortadan kaldırır**.
Azure Active Directory'deki yönetilen kimlikler, uygulamaların kimliğini **otomatik olarak yönetme** çözümü sunar. Bu kimlikler, uygulamaların Azure Active Directory (**Azure AD**) kimlik doğrulaması ile uyumlu **kaynaklara** **bağlanması** amacıyla kullanılır. Bu, uygulamanın **meta veri** hizmeti ile iletişim kurarak Azure'daki belirtilen yönetilen kimlik olarak **hareket etmek** için geçerli bir token almasını sağlar; böylece bulut kimlik bilgilerini kodda sabit kodlama ihtiyacını **ortadan kaldırır**.
İki tür yönetilen kimlik vardır:
- **Sistem atamalı**. Bazı Azure hizmetleri, bir hizmet örneği üzerinde **yönetilen bir kimliği doğrudan etkinleştirmenize** olanak tanır. Sistem atamalı bir yönetilen kimliği etkinleştirdiğinizde, **hizmet ilkesi**, kaynağın bulunduğu abonluğa güvenilen Entra ID kiracısında oluşturulur. **Kaynak** silindiğinde, Azure otomatik olarak **kimliği** sizin için **silmiştir**.
- **Kullanıcı atamalı**. Kullanıcıların yönetilen kimlikler oluşturması da mümkündür. Bunlar, bir abonelik içindeki bir kaynak grubunun içinde oluşturulur ve EntraID'ye güvenilen bir hizmet ilkesi oluşturulur. Daha sonra, yönetilen kimliği bir veya **daha fazla Azure hizmeti örneğine** (birden fazla kaynak) atayabilirsiniz. Kullanıcı atamalı yönetilen kimlikler için, **kimlik, onu kullanan kaynaklardan ayrı olarak yönetilir**.
- **Sistem atamalı**. Bazı Azure hizmetleri, bir hizmet örneği üzerinde **yönetilen kimliği doğrudan etkinleştirmenize** olanak tanır. Sistem atamalı bir yönetilen kimlik etkinleştirildiğinde, **hizmet ilkesi**, kaynağın bulunduğu abonluğa güvenilen Entra ID kiracısında oluşturulur. **Kaynak** **silindiğinde**, Azure otomatik olarak **kimliği** sizin için **silmiştir**.
- **Kullanıcı atamalı**. Kullanıcıların yönetilen kimlikler oluşturması da mümkündür. Bunlar, bir abonelik içindeki bir kaynak grubunun içinde oluşturulur ve EntraID'ye güvenen bir hizmet ilkesi oluşturulur. Daha sonra, yönetilen kimliği bir veya **daha fazla Azure hizmeti örneğine** (birden fazla kaynak) atayabilirsiniz. Kullanıcı atamalı yönetilen kimlikler için, **kimlik, onu kullanan kaynaklardan ayrı olarak yönetilir**.
Yönetilen Kimlikler, ona bağlı hizmet ilkesine erişmek için **sonsuz kimlik bilgileri** (şifreler veya sertifikalar gibi) oluşturmaz.
Yönetilen Kimlikler, ona bağlı hizmet ilkesine erişmek için **sonsuz kimlik bilgileri** (parolalar veya sertifikalar gibi) oluşturmaz.
### Kurumsal Uygulamalar
Bu, yalnızca **hizmet ilkelerini filtrelemek ve atanmış uygulamaları kontrol etmek için Azure'da bir tablodur**.
Bu, hizmet ilkelerini filtrelemek ve atanan uygulamaları kontrol etmek için Azure'da bir **tablodur**.
**Bu, başka bir "uygulama" türü değildir**, Azure'da "Kurumsal Uygulama" olarak adlandırılan herhangi bir nesne yoktur, bu sadece Hizmet ilkelerini, Uygulama kayıtlarını ve yönetilen kimlikleri kontrol etmek için bir soyutlamadır.
**Bu, başka bir "uygulama" türü değildir,** Azure'da "Kurumsal Uygulama" olan herhangi bir nesne yoktur, bu sadece Hizmet ilkelerini, Uygulama kayıtlarını ve yönetilen kimlikleri kontrol etmek için bir soyutlamadır.
### İdari Birimler
İdari birimler, **bir rol üzerinden bir organizasyonun belirli bir bölümüne izin vermeye** olanak tanır.
İdari birimler, bir rol üzerinden bir organizasyonun belirli bir bölümüne **izin vermeye** olanak tanır.
Örnek:
@@ -209,14 +209,14 @@ Bu, yalnızca **hizmet ilkelerini filtrelemek ve atanmış uygulamaları kontrol
- AU'lar **dinamik üyelikleri** destekler.
- AU'lar **AU içeremez**.
- Yönetici Rolleri Atayın:
- Bölgesel BT personeline, kendi bölgesinin AU'suna kapsamlı "Kullanıcı Yöneticisi" rolünü verin.
- "Kullanıcı Yöneticisi" rolünü bölgesel BT personeline, kendi bölgesinin AU'suna göre atayın.
- Sonuç: Bölgesel BT yöneticileri, diğer bölgeleri etkilemeden kendi bölgelerindeki kullanıcı hesaplarını yönetebilir.
### Entra ID Rolleri
- Entra ID'yi yönetmek için, Entra ID'yi yönetmek üzere Entra ID prensiplerine atanabilecek bazı **yerleşik roller** vardır.
- Entra ID'yi yönetmek için Entra ID'yi yönetmek üzere atanabilecek bazı **yerleşik roller** vardır.
- Rolleri [https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference) adresinde kontrol edin.
- En yetkili rol **Küresel Yönetici**dir.
- En yüksek ayrıcalıklı rol **Küresel Yönetici**dir.
- Rolün Tanımında, **ayrıntılı izinlerini** görebilirsiniz.
## Roller & İzinler
@@ -225,27 +225,27 @@ Bu, yalnızca **hizmet ilkelerini filtrelemek ve atanmış uygulamaları kontrol
**Gruplara** atanan **roller**, grubun tüm **üyeleri** tarafından **devralınır**.
Rolün atandığı kapsamına bağlı olarak, **rol** kapsam konteyneri içindeki **diğer kaynaklara** **devralınabilir**. Örneğin, bir kullanıcı A'nın bir **abonelikte rolü** varsa, o **rolü, abonelik içindeki tüm kaynak gruplarında** ve **kaynak grubundaki tüm kaynaklarda** olacaktır.
Rolün atandığı kapsama bağlı olarak, **rol**, kapsama dahil olan **diğer kaynaklara** **devralınabilir**. Örneğin, bir A kullanıcısının bir **abonelikte rolü** varsa, o **rolü, abonelik içindeki tüm kaynak gruplarında** ve **kaynak grubundaki tüm kaynaklarda** alacaktır.
### **Klasik Roller**
| **Sahip** | <ul><li>Tüm kaynaklara tam erişim</li><li>Diğer kullanıcılar için erişimi yönetebilir</li></ul> | Tüm kaynak türleri |
| ----------------------------- | ---------------------------------------------------------------------------------------- | ------------------ |
| **Katkıda Bulunan** | <ul><li>Tüm kaynaklara tam erişim</li><li>Erişimi yönetemez</li></ul> | Tüm kaynak türleri |
| **Okuyucu** | • Tüm kaynakları görüntüleyin | Tüm kaynak türleri |
| **Kullanıcı Erişim Yöneticisi** | <ul><li>Tüm kaynakları görüntüleyin</li><li>Diğer kullanıcılar için erişimi yönetebilir</li></ul> | Tüm kaynak türleri |
| ----------------------------- | ------------------------------------------------------------------------------------------ | ------------------ |
| **Katkıda Bulunan** | <ul><li>Tüm kaynaklara tam erişim</li><li>Erişimi yönetemez</li></ul> | Tüm kaynak türleri |
| **Okuyucu** | • Tüm kaynakları görüntüleyebilir | Tüm kaynak türleri |
| **Kullanıcı Erişim Yöneticisi** | <ul><li>Tüm kaynakları görüntüleyebilir</li><li>Diğer kullanıcılar için erişimi yönetebilir</li></ul> | Tüm kaynak türleri |
### Yerleşik roller
[Belgelerden: ](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles)[Azure rol tabanlı erişim kontrolü (Azure RBAC)](https://learn.microsoft.com/en-us/azure/role-based-access-control/overview) birçok Azure **yerleşik rolü** vardır ve bunları **kullanıcılara, gruplara, hizmet ilkelerine ve yönetilen kimliklere** **atanabilir**. Rol atamaları, **Azure kaynaklarına erişimi kontrol etmenin** yoludur. Yerleşik roller, kuruluşunuzun özel ihtiyaçlarını karşılamıyorsa, kendi [**Azure özel rollerinizi**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)** oluşturabilirsiniz.**
[Belgelerden: ](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles)[Azure rol tabanlı erişim kontrolü (Azure RBAC)](https://learn.microsoft.com/en-us/azure/role-based-access-control/overview), **kullanıcılara, gruplara, hizmet ilkelerine ve yönetilen kimliklere** atayabileceğiniz birkaç Azure **yerleşik rolü** vardır. Rol atamaları, **Azure kaynaklarına erişimi kontrol etmenin** yoludur. Yerleşik roller, kuruluşunuzun özel ihtiyaçlarını karşılamıyorsa, kendi [**Azure özel rollerinizi**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)** oluşturabilirsiniz.**
**Yerleşik** roller yalnızca **amaçlandıkları kaynaklara** uygulanır, örneğin, **Hesaplama** kaynakları üzerindeki bu 2 yerleşik rol örneğine bakın:
| [Disk Yedekleme Okuyucusu](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Disk yedeklemesi gerçekleştirmek için yedekleme kasasına izin verir. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| ----------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ------------------------------------ |
| [Sanal Makine Kullanıcı Girişi](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Portaldaki Sanal Makineleri görüntüleyin ve normal bir kullanıcı olarak oturum açın. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| [Sanal Makine Kullanıcı Girişi](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Portaldaki Sanal Makineleri görüntüleyebilir ve normal bir kullanıcı olarak giriş yapabilir. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kaynak grupları gibi) üzerinde de atanabilir ve etkilenen prensipler, **bu konteynerler içindeki kaynaklar üzerinde** bu rollere sahip olacaktır.
Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kaynak grupları gibi) üzerinde de atanabilir ve etkilenen ilkeler, **bu konteynerlerin içindeki kaynaklar üzerinde** geçerli olacaktır.
- Burada [**tüm Azure yerleşik rollerinin**](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles) bir listesini bulabilirsiniz.
- Burada [**tüm Entra ID yerleşik rollerinin**](https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference) bir listesini bulabilirsiniz.
@@ -292,9 +292,9 @@ Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kayna
}
}
```
### İzinler sırası
### İzinler Sırası
- Bir **prensibin bir kaynağa erişim hakkı olması için** ona açık bir rol verilmesi gerekir (herhangi bir şekilde) **ona bu izni veren**.
- Bir **prensibin bir kaynağa erişim hakkı elde etmesi için** ona açık bir rol verilmesi gerekir (herhangi bir şekilde) **bu izni vermektedir**.
-ık bir **reddetme rol ataması, izni veren rolün önceliğine sahiptir**.
<figure><img src="../../../images/image (191).png" alt=""><figcaption><p><a href="https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10">https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10</a></p></figcaption></figure>
@@ -303,7 +303,7 @@ Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kayna
Küresel Yöneticisi, **Entra ID kiracısı üzerinde tam kontrol sağlayan** bir Entra ID rolüdür. Ancak, varsayılan olarak Azure kaynakları üzerinde herhangi bir izin vermez.
Küresel Yöneticisi rolüne sahip kullanıcılar, **Kök Yönetim Grubu'nda Kullanıcı Erişim Yöneticisi Azure rolüne 'yükseltme'** yeteneğine sahiptir. Böylece Küresel Yöneticiler, **tüm Azure aboneliklerinde ve yönetim gruplarında erişimi yönetebilir.**\
Küresel Yöneticisi rolüne sahip kullanıcılar, **Kök Yönetim Grubunda Kullanıcı Erişim Yöneticisi Azure rolüne 'yükseltme' yapma** yeteneğine sahiptir. Böylece Küresel Yöneticiler, **tüm Azure aboneliklerinde ve yönetim gruplarında erişimi yönetebilir.**\
Bu yükseltme sayfanın sonunda yapılabilir: [https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/\~/Properties](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties)
<figure><img src="../../../images/image (349).png" alt=""><figcaption></figcaption></figure>
@@ -323,14 +323,14 @@ Azure Politikaları **proaktiftir**: uyumsuz kaynakların oluşturulmasını vey
**Bazı örnekler:**
1. **Belirli Azure Bölgeleri ile Uyum Sağlama**: Bu politika, tüm kaynakların belirli Azure bölgelerinde dağıtılmasını sağlar. Örneğin, bir şirket tüm verilerinin GDPR uyumluluğu için Avrupa'da saklanmasını isteyebilir.
2. **İsimlendirme Standartlarını Uygulama**: Politikalar, Azure kaynakları için isimlendirme kurallarını uygulayabilir. Bu, büyük ortamlarda kaynakları düzenlemeye ve isimlerine göre kolayca tanımlamaya yardımcı olur.
1. **Belirli Azure Bölgeleri ile Uyum Sağlama**: Bu politika, tüm kaynakların belirli Azure bölgelerinde dağıtılmasını sağlar. Örneğin, bir şirket tüm verilerinin GDPR uyumluluğu için Avrupa'da saklandığından emin olmak isteyebilir.
2. **İsimlendirme Standartlarını Uygulama**: Politikalar, Azure kaynakları için isimlendirme kurallarını uygulayabilir. Bu, büyük ortamlarda kaynakları isimlerine göre düzenlemeye ve kolayca tanımlamaya yardımcı olur.
3. **Belirli Kaynak Türlerini Kısıtlama**: Bu politika, belirli türde kaynakların oluşturulmasını kısıtlayabilir. Örneğin, maliyetleri kontrol etmek için belirli VM boyutları gibi pahalı kaynak türlerinin oluşturulmasını engelleyen bir politika ayarlanabilir.
4. **Etiketleme Politikalarını Uygulama**: Etiketler, kaynak yönetimi için kullanılan Azure kaynakları ile ilişkili anahtar-değer çiftleridir. Politikalar, belirli etiketlerin mevcut olmasını veya tüm kaynaklar için belirli değerlere sahip olmasını zorunlu kılabilir. Bu, maliyet takibi, sahiplik veya kaynakların kategorize edilmesi için faydalıdır.
4. **Etiketleme Politikalarını Uygulama**: Etiketler, kaynak yönetimi için kullanılan Azure kaynaklarıyla ilişkili anahtar-değer çiftleridir. Politikalar, belirli etiketlerin mevcut olmasını veya tüm kaynaklar için belirli değerlere sahip olmasını zorunlu kılabilir. Bu, maliyet takibi, sahiplik veya kaynakların kategorize edilmesi için faydalıdır.
5. **Kaynaklara Kamu Erişimini Sınırlama**: Politikalar, belirli kaynakların, örneğin depolama hesapları veya veritabanlarının, kamu uç noktalarına sahip olmamasını zorunlu kılabilir, böylece yalnızca organizasyonun ağı içinde erişilebilir olmalarını sağlar.
6. **Güvenlik Ayarlarını Otomatik Olarak Uygulama**: Politikalar, tüm VM'lere belirli bir ağ güvenlik grubunu uygulamak veya tüm depolama hesaplarının şifreleme kullanmasını sağlamak gibi kaynaklara güvenlik ayarlarını otomatik olarak uygulamak için kullanılabilir.
6. **Güvenlik Ayarlarını Otomatik Olarak Uygulama**: Politikalar, tüm VM'lere belirli bir ağ güvenlik grubunu uygulamak veya tüm depolama hesaplarının şifreleme kullanmasını sağlamak gibi güvenlik ayarlarını kaynaklara otomatik olarak uygulamak için kullanılabilir.
Azure Politikalarının Azure hiyerarşisinin herhangi bir seviyesine eklenebileceğini, ancak genellikle **kök yönetim grubunda** veya diğer yönetim gruplarında kullanıldığını unutmayın.
Azure Politikalarının Azure hiyerarşisinin herhangi bir seviyesine eklenebileceğini unutmayın, ancak genellikle **kök yönetim grubunda** veya diğer yönetim gruplarında kullanılır.
Azure politika json örneği:
```json
@@ -352,7 +352,7 @@ Azure politika json örneği:
```
### İzin Mirası
Azure'da **izinler hiyerarşinin herhangi bir parçasına atanabilir**. Bu, yönetim gruplarını, abonelikleri, kaynak gruplarını ve bireysel kaynakları içerir. İzinler, atandıkları varlığın **içindeki kaynaklar** tarafından **miras alınır**.
Azure'da **izinler hiyerarşinin herhangi bir parçasına atanabilir**. Bu, yönetim gruplarını, abonelikleri, kaynak gruplarını ve bireysel kaynakları içerir. İzinler, atandıkları varlığın içerdiği **kaynaklar** tarafından **miras alınır**.
Bu hiyerarşik yapı, erişim izinlerinin verimli ve ölçeklenebilir bir şekilde yönetilmesini sağlar.
@@ -360,11 +360,11 @@ Bu hiyerarşik yapı, erişim izinlerinin verimli ve ölçeklenebilir bir şekil
### Azure RBAC vs ABAC
**RBAC** (rol tabanlı erişim kontrolü), önceki bölümlerde gördüğümüz şeydir: **Bir kaynağa erişim sağlamak için bir ilkeye rol atamak**.\
**RBAC** (rol tabanlı erişim kontrolü), önceki bölümlerde gördüğümüz şeydir: **Bir kaynağa erişim vermek için bir ilkeye rol atamak**.\
Ancak, bazı durumlarda **daha ince ayrıntılı erişim yönetimi** sağlamak veya **yüzlerce** rol **atanmasını** yönetimini **basitleştirmek** isteyebilirsiniz.
Azure **ABAC** (özellik tabanlı erişim kontrolü), belirli eylemler bağlamında **özelliklere dayalı rol atama koşulları** ekleyerek Azure RBAC üzerine inşa edilmiştir. Bir _rol atama koşulu_, **rol atamanıza ekleyebileceğiniz isteğe bağlı bir ek kontrol** olup daha ince ayrıntılı erişim kontrolü sağlar. Bir koşul, rol tanımı ve rol ataması parçası olarak verilen izinleri filtreler. Örneğin, **bir nesneyi okumak için nesnenin belirli bir etikete sahip olmasını gerektiren bir koşul ekleyebilirsiniz**.\
Belirli kaynaklara **koşullar kullanarak** **erişimi**ıkça **reddedemezsiniz**.
Belirli kaynaklara **koşullar** kullanarakıkça **erişimi reddedemezsiniz**.
## Referanslar