From 4cd5132859b2d1ae7e4217bc890729ec749c7305 Mon Sep 17 00:00:00 2001 From: Translator Date: Sat, 8 Feb 2025 18:52:32 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/azure-security/az-basic-information/RE --- .../az-basic-information/README.md | 139 ++++++++++-------- 1 file changed, 79 insertions(+), 60 deletions(-) diff --git a/src/pentesting-cloud/azure-security/az-basic-information/README.md b/src/pentesting-cloud/azure-security/az-basic-information/README.md index b5f970f72..866a1190d 100644 --- a/src/pentesting-cloud/azure-security/az-basic-information/README.md +++ b/src/pentesting-cloud/azure-security/az-basic-information/README.md @@ -42,7 +42,7 @@ Bir Azure Kaynak Kimliğinin formatı şu şekildedir: - `/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}` -`12345678-1234-1234-1234-123456789012` abonelik kimliği altında `myResourceGroup` kaynak grubunda myVM adında bir sanal makine için Azure Kaynak Kimliği şöyle görünür: +`myResourceGroup` kaynak grubunda `12345678-1234-1234-1234-123456789012` abonelik kimliğine sahip `myVM` adlı bir sanal makine için Azure Kaynak Kimliği şu şekilde görünür: - `/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM` @@ -50,15 +50,15 @@ Bir Azure Kaynak Kimliğinin formatı şu şekildedir: ### Azure -Azure, Microsoft'un kapsamlı **bulut bilişim platformudur, geniş bir hizmet yelpazesi sunar**, sanal makineler, veritabanları, yapay zeka ve depolama dahil. Uygulamaları barındırmak ve yönetmek, ölçeklenebilir altyapılar oluşturmak ve bulutta modern iş yüklerini çalıştırmak için bir temel görevi görür. Azure, geliştiricilerin ve BT profesyonellerinin uygulamaları ve hizmetleri sorunsuz bir şekilde oluşturmasına, dağıtmasına ve yönetmesine olanak tanır ve başlangıçlardan büyük işletmelere kadar çeşitli ihtiyaçlara hitap eder. +Azure, Microsoft'un kapsamlı **bulut bilişim platformudur, geniş bir hizmet yelpazesi sunar**, sanal makineler, veritabanları, yapay zeka ve depolama dahil. Uygulamaları barındırmak ve yönetmek, ölçeklenebilir altyapılar oluşturmak ve bulutta modern iş yüklerini çalıştırmak için bir temel görevi görür. Azure, geliştiricilere ve BT profesyonellerine uygulamaları ve hizmetleri sorunsuz bir şekilde oluşturma, dağıtma ve yönetme araçları sunar ve başlangıçlardan büyük işletmelere kadar çeşitli ihtiyaçlara hitap eder. ### Entra ID (eski adıyla Azure Active Directory) -Entra ID, kimlik doğrulama, yetkilendirme ve kullanıcı erişim kontrolünü yönetmek için tasarlanmış bulut tabanlı bir **kimlik ve erişim yönetim hizmetidir**. Office 365, Azure ve birçok üçüncü taraf SaaS uygulaması gibi Microsoft hizmetlerine güvenli erişim sağlar. Tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim politikaları gibi özellikler sunar. +Entra ID, kimlik doğrulama, yetkilendirme ve kullanıcı erişim kontrolünü yönetmek için tasarlanmış bulut tabanlı bir **kimlik ve erişim yönetim hizmetidir**. Office 365, Azure ve birçok üçüncü taraf SaaS uygulaması gibi Microsoft hizmetlerine güvenli erişimi sağlar. Tek oturum açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim politikaları gibi özellikler sunar. ### Entra Alan Hizmetleri (eski adıyla Azure AD DS) -Entra Alan Hizmetleri, Entra ID'nin yeteneklerini, **geleneksel Windows Active Directory ortamlarıyla uyumlu yönetilen alan hizmetleri** sunarak genişletir. LDAP, Kerberos ve NTLM gibi eski protokolleri destekler, böylece kuruluşların bulutta eski uygulamaları çalıştırmasına veya taşınmasına olanak tanır. Bu hizmet ayrıca merkezi yönetim için Grup İlkesi'ni destekler, böylece eski veya AD tabanlı iş yüklerinin modern bulut ortamlarıyla bir arada var olması gereken senaryolar için uygundur. +Entra Alan Hizmetleri, Entra ID'nin yeteneklerini genişleterek **geleneksel Windows Active Directory ortamlarıyla uyumlu yönetilen alan hizmetleri** sunar. LDAP, Kerberos ve NTLM gibi eski protokolleri destekler, böylece kuruluşlar bulutta eski uygulamaları çalıştırabilir veya geçirebilir, yerel alan denetleyicileri dağıtmadan. Bu hizmet ayrıca merkezi yönetim için Grup İlkesi'ni destekler, böylece eski veya AD tabanlı iş yüklerinin modern bulut ortamlarıyla bir arada var olması gereken senaryolar için uygundur. ## Entra ID Prensipleri @@ -71,7 +71,7 @@ Entra Alan Hizmetleri, Entra ID'nin yeteneklerini, **geleneksel Windows Active D - Özellikleri belirtin (ad, unvan, iletişim bilgileri…) - Varsayılan kullanıcı türü “**üye**”dir - **Dış kullanıcılar** -- Davet edilecek e-posta ve görünen adı belirtin (Microsoft dışı bir e-posta olabilir) +- Davet etmek için e-posta ve görünür adı belirtin (Microsoft dışı bir e-posta olabilir) - Özellikleri belirtin - Varsayılan kullanıcı türü “**Misafir**”dir @@ -109,14 +109,14 @@ Bunları [https://learn.microsoft.com/en-us/entra/fundamentals/users-default-per - **Misafir kullanıcı erişimi, kendi dizin nesnelerinin özelliklerine ve üyeliklerine kısıtlanmıştır** en kısıtlayıcı olanıdır. - **Misafirler davet edebilir** seçenekleri: - **Kuruluşta herhangi biri, misafir kullanıcıları davet edebilir, misafirler ve yönetici olmayanlar dahil (en kapsayıcı) - Varsayılan** -- **Üye kullanıcılar ve belirli yönetici rollerine atanmış kullanıcılar, misafir kullanıcıları davet edebilir, misafirler ile üye izinleriyle** +- **Üye kullanıcılar ve belirli yönetici rollerine atanmış kullanıcılar, misafir kullanıcıları davet edebilir, üyelik izinleri olan misafirler dahil** - **Sadece belirli yönetici rollerine atanmış kullanıcılar misafir kullanıcıları davet edebilir** - **Kuruluşta hiç kimse misafir kullanıcıları davet edemez, yöneticiler dahil (en kısıtlayıcı)** - **Dış kullanıcıların ayrılması**: Varsayılan **Doğru** - Dış kullanıcıların kuruluşu terk etmesine izin ver > [!TIP] -> Varsayılan olarak kısıtlanmış olsa da, izin verilen kullanıcılar (üyeler ve misafirler) önceki eylemleri gerçekleştirebilir. +> Varsayılan olarak kısıtlanmış olsa da, izin verilmiş kullanıcılar (üyeler ve misafirler) önceki eylemleri gerçekleştirebilir. ### **Gruplar** @@ -124,80 +124,80 @@ Bunları [https://learn.microsoft.com/en-us/entra/fundamentals/users-default-per - **Güvenlik**: Bu tür grup, üyelere uygulamalara, kaynaklara erişim vermek ve lisans atamak için kullanılır. Kullanıcılar, cihazlar, hizmet ilkeleri ve diğer gruplar üye olabilir. - **Microsoft 365**: Bu tür grup, işbirliği için kullanılır, üyelere paylaşılan bir posta kutusuna, takvime, dosyalara, SharePoint sitesine vb. erişim verir. Grup üyeleri yalnızca kullanıcılar olabilir. -- Bu, EntraID kiracısının alanıyla bir **e-posta adresine** sahip olacaktır. +- Bu, EntraID kiracısının alanına sahip bir **e-posta adresine** sahip olacaktır. **2 tür üyelik** vardır: - **Atanmış**: Belirli üyeleri bir gruba manuel olarak eklemeye izin verir. -- **Dinamik üyelik**: Kuralları kullanarak üyeliği otomatik olarak yönetir, üyelerin özellikleri değiştiğinde grup dahil edilmesini günceller. +- **Dinamik üyelik**: Üyelikleri kurallar kullanarak otomatik olarak yönetir, üyelerin özellikleri değiştiğinde grup dahil edilmesini günceller. ### **Hizmet İlkeleri** -Bir **Hizmet İlkesi**, **uygulamalar**, barındırılan hizmetler ve Azure kaynaklarına erişim için **kullanım** amacıyla oluşturulmuş bir **kimliktir**. Bu erişim, hizmet ilkesine atanan rollerle **kısıtlanır**, böylece **hangi kaynakların erişilebileceği** ve hangi düzeyde erişileceği üzerinde kontrol sağlar. Güvenlik nedenleriyle, **hizmet ilkelerini otomatik araçlarla kullanmak** her zaman önerilir, kullanıcı kimliği ile giriş yapmalarına izin vermektense. +Bir **Hizmet İlkesi**, **uygulamalar**, barındırılan hizmetler ve Azure kaynaklarına erişim için otomatik araçlarla **kullanım** için oluşturulmuş bir **kimliktir**. Bu erişim, hizmet ilkesine atanan rollerle **kısıtlanmıştır**, böylece **hangi kaynakların erişilebileceği** ve hangi düzeyde erişileceği üzerinde kontrol sağlar. Güvenlik nedenleriyle, **hizmet ilkelerini otomatik araçlarla kullanmak** her zaman önerilir, kullanıcı kimliği ile giriş yapmalarına izin vermektense. -Bir hizmet ilkesine **doğrudan giriş yapmak** mümkündür; bunun için bir **gizli anahtar** (parola), bir **sertifika** oluşturabilir veya üçüncü taraf platformlara (örneğin, Github Actions) üzerinden **federasyon** erişimi verebilirsiniz. +Bir hizmet ilkesine **doğrudan giriş yapmak** mümkündür, bir **gizli anahtar** (parola), bir **sertifika** oluşturarak veya üçüncü taraf platformlara (örneğin, Github Actions) üzerinden **federasyon** erişimi vererek. - **Parola** kimlik doğrulamasını (varsayılan olarak) seçerseniz, **oluşturulan parolayı kaydedin** çünkü bir daha erişemezsiniz. -- Sertifika kimlik doğrulamasını seçerseniz, **uygulamanın özel anahtara erişimi olduğundan emin olun**. +- Sertifika kimlik doğrulamasını seçerseniz, **uygulamanın özel anahtara erişimi olmasını** sağlayın. ### Uygulama Kayıtları -Bir **Uygulama Kaydı**, bir uygulamanın Entra ID ile entegre olmasına ve eylemler gerçekleştirmesine olanak tanıyan bir yapılandırmadır. +Bir **Uygulama Kaydı**, bir uygulamanın Entra ID ile entegre olmasını ve eylemler gerçekleştirmesini sağlayan bir yapılandırmadır. #### Ana Bileşenler: 1. **Uygulama Kimliği (İstemci Kimliği):** Azure AD'deki uygulamanız için benzersiz bir tanımlayıcı. 2. **Yeniden Yönlendirme URI'leri:** Azure AD'nin kimlik doğrulama yanıtlarını gönderdiği URL'ler. -3. **Sertifikalar, Gizli Anahtarlar ve Federasyon Kimlik Bilgileri:** Uygulamanın hizmet ilkesi olarak giriş yapması için bir gizli anahtar veya sertifika oluşturmak veya ona federasyon erişimi vermek mümkündür (örneğin, Github Actions). -4. Eğer bir **sertifika** veya **gizli anahtar** oluşturulursa, bir kişi **hizmet ilkesi olarak giriş yapmak için** CLI araçlarıyla **uygulama kimliğini**, **gizli anahtarı** veya **sertifikayı** ve **kiracıyı** (alan veya kimlik) bilmesi gerekir. -5. **API İzinleri:** Uygulamanın erişebileceği kaynakları veya API'leri belirtir. -6. **Kimlik Doğrulama Ayarları:** Uygulamanın desteklediği kimlik doğrulama akışlarını tanımlar (örneğin, OAuth2, OpenID Connect). -7. **Hizmet İlkesi**: Bir Uygulama oluşturulduğunda (web konsolundan yapılırsa) veya yeni bir kiracıya yüklendiğinde bir hizmet ilkesi oluşturulur. -8. **Hizmet ilkesi**, yapılandırıldığı tüm istenen izinleri alır. +3. **Sertifikalar, Gizli Anahtarlar ve Federasyon Kimlik Bilgileri:** Uygulamanın hizmet ilkesine giriş yapmak için bir gizli anahtar veya sertifika oluşturmak veya ona federasyon erişimi vermek mümkündür (örneğin, Github Actions). +1. Eğer bir **sertifika** veya **gizli anahtar** oluşturulursa, bir kişi **CLI araçlarıyla hizmet ilkesine giriş yapabilir**; bunun için **uygulama kimliğini**, **gizli anahtarı** veya **sertifikayı** ve **kiracıyı** (alan veya kimlik) bilmesi gerekir. +4. **API İzinleri:** Uygulamanın erişebileceği kaynakları veya API'leri belirtir. +5. **Kimlik Doğrulama Ayarları:** Uygulamanın desteklediği kimlik doğrulama akışlarını tanımlar (örneğin, OAuth2, OpenID Connect). +6. **Hizmet İlkesi**: Bir Uygulama oluşturulduğunda (web konsolundan yapılırsa) veya yeni bir kiracıya yüklendiğinde bir hizmet ilkesi oluşturulur. +1. **Hizmet ilkesi**, yapılandırıldığı tüm istenen izinleri alır. -### Varsayılan Onay İzinleri +### Varsayılan Rıza İzinleri -**Uygulamalar için kullanıcı onayı** +**Uygulamalar için kullanıcı rızası** -- **Kullanıcı onayına izin verme** +- **Kullanıcı rızasına izin verme** - Tüm uygulamalar için bir yönetici gerekecektir. -- **Doğrulanmış yayıncılardan gelen uygulamalar için seçilen izinler için kullanıcı onayına izin ver (Tavsiye Edilir)** -- Tüm kullanıcılar, "düşük etki" olarak sınıflandırılan izinler için, doğrulanmış yayıncılardan gelen uygulamalar veya bu kuruluşta kayıtlı uygulamalar için onay verebilir. +- **Doğrulanmış yayıncılardan, seçilen izinler için uygulamalar için kullanıcı rızasına izin ver (Tavsiye Edilir)** +- Tüm kullanıcılar, "düşük etki" olarak sınıflandırılan izinler için, doğrulanmış yayıncılardan veya bu kuruluşta kayıtlı uygulamalar için rıza verebilir. - **Varsayılan** düşük etki izinleri (bunları düşük olarak eklemek için kabul etmeniz gerekir): - User.Read - oturum açma ve kullanıcı profilini okuma - offline_access - kullanıcının erişim verdiği verilere erişimi sürdürme - openid - kullanıcıları oturum açtırma - profile - kullanıcının temel profilini görüntüleme - email - kullanıcının e-posta adresini görüntüleme -- **Uygulamalar için kullanıcı onayına izin ver (Varsayılan)** -- Tüm kullanıcılar, herhangi bir uygulamanın kuruluşun verilerine erişmesi için onay verebilir. +- **Uygulamalar için kullanıcı rızasına izin ver (Varsayılan)** +- Tüm kullanıcılar, herhangi bir uygulamanın kuruluşun verilerine erişmesi için rıza verebilir. -**Yönetici onay talepleri**: Varsayılan **Hayır** +**Yönetici rıza talepleri**: Varsayılan **Hayır** -- Kullanıcılar, onay veremedikleri uygulamalar için yönetici onayı talep edebilir -- Eğer **Evet**: Onay taleplerine onay verebilecek Kullanıcılar, Gruplar ve Roller belirtmek mümkündür -- Kullanıcıların e-posta bildirimleri ve son kullanma hatırlatmaları alıp almayacağını da yapılandırın +- Kullanıcılar, rıza veremedikleri uygulamalar için yönetici rızası talep edebilir +- Eğer **Evet**: Rıza taleplerini verebilecek kullanıcılar, Gruplar ve Roller belirtilebilir +- Kullanıcıların e-posta bildirimleri ve son kullanma hatırlatmaları alıp almayacaklarını da yapılandırın ### **Yönetilen Kimlik (Meta Veriler)** -Azure Active Directory'deki yönetilen kimlikler, uygulamaların kimliğini **otomatik olarak yönetme** çözümü sunar. Bu kimlikler, uygulamaların Azure Active Directory (**Azure AD**) kimlik doğrulaması ile uyumlu **kaynaklara** **bağlanması** amacıyla kullanılır. Bu, uygulamanın **meta veri** hizmeti ile iletişim kurarak Azure'daki belirtilen yönetilen kimlik olarak **hareket etmek** için geçerli bir token almasını sağlar; böylece bulut kimlik bilgilerini kodda sabit kodlama ihtiyacını **ortadan kaldırır**. +Azure Active Directory'deki yönetilen kimlikler, uygulamaların kimliğini **otomatik olarak yönetme** çözümü sunar. Bu kimlikler, uygulamaların Azure Active Directory (**Azure AD**) kimlik doğrulaması ile uyumlu **kaynaklara** **bağlanması** amacıyla kullanılır. Bu, uygulamanın **meta veri** hizmetine erişerek Azure'daki belirtilen yönetilen kimlik olarak **hareket etmek için** geçerli bir token almasını sağlar, böylece bulut kimlik bilgilerini kodda sabitleme ihtiyacını **ortadan kaldırır**. İki tür yönetilen kimlik vardır: -- **Sistem atamalı**. Bazı Azure hizmetleri, bir hizmet örneği üzerinde **yönetilen kimliği doğrudan etkinleştirmenize** olanak tanır. Sistem atamalı bir yönetilen kimlik etkinleştirildiğinde, **hizmet ilkesi**, kaynağın bulunduğu abonluğa güvenilen Entra ID kiracısında oluşturulur. **Kaynak** **silindiğinde**, Azure otomatik olarak **kimliği** sizin için **silmiştir**. -- **Kullanıcı atamalı**. Kullanıcıların yönetilen kimlikler oluşturması da mümkündür. Bunlar, bir abonelik içindeki bir kaynak grubunun içinde oluşturulur ve EntraID'ye güvenen bir hizmet ilkesi oluşturulur. Daha sonra, yönetilen kimliği bir veya **daha fazla Azure hizmeti örneğine** (birden fazla kaynak) atayabilirsiniz. Kullanıcı atamalı yönetilen kimlikler için, **kimlik, onu kullanan kaynaklardan ayrı olarak yönetilir**. +- **Sistem atamalı**. Bazı Azure hizmetleri, bir hizmet örneği üzerinde **yönetilen bir kimliği doğrudan etkinleştirmenize** izin verir. Sistem atamalı bir yönetilen kimliği etkinleştirdiğinizde, **hizmet ilkesi**, kaynağın bulunduğu abonluğa güvenen Entra ID kiracısında oluşturulur. **Kaynak** **silindiğinde**, Azure otomatik olarak sizin için **kimliği siler**. +- **Kullanıcı atamalı**. Kullanıcıların yönetilen kimlikler oluşturması da mümkündür. Bunlar, bir abonluk içindeki bir kaynak grubunun içinde oluşturulur ve EntraID'de abonluğa güvenen bir hizmet ilkesi oluşturulur. Daha sonra, yönetilen kimliği bir veya **daha fazla Azure hizmeti örneğine** (birden fazla kaynak) atayabilirsiniz. Kullanıcı atamalı yönetilen kimlikler için, **kimlik, onu kullanan kaynaklardan ayrı olarak yönetilir**. Yönetilen Kimlikler, ona bağlı hizmet ilkesine erişmek için **sonsuz kimlik bilgileri** (parolalar veya sertifikalar gibi) oluşturmaz. ### Kurumsal Uygulamalar -Bu, hizmet ilkelerini filtrelemek ve atanan uygulamaları kontrol etmek için Azure'da bir **tablodur**. +Bu, yalnızca **hizmet ilkelerini filtrelemek ve atanmış uygulamaları kontrol etmek için Azure'da bir tablodur**. -**Bu, başka bir "uygulama" türü değildir,** Azure'da "Kurumsal Uygulama" olan herhangi bir nesne yoktur, bu sadece Hizmet ilkelerini, Uygulama kayıtlarını ve yönetilen kimlikleri kontrol etmek için bir soyutlamadır. +**Bu, başka bir "uygulama" türü değildir**, Azure'da "Kurumsal Uygulama" olarak adlandırılan herhangi bir nesne yoktur, bu sadece Hizmet ilkelerini, Uygulama kayıtlarını ve yönetilen kimlikleri kontrol etmek için bir soyutlamadır. ### İdari Birimler -İdari birimler, bir rol üzerinden bir organizasyonun belirli bir bölümüne **izin vermeye** olanak tanır. +İdari birimler, **bir rol üzerinden bir organizasyonun belirli bir bölümüne izinler vermeyi** sağlar. Örnek: @@ -209,12 +209,12 @@ Bu, hizmet ilkelerini filtrelemek ve atanan uygulamaları kontrol etmek için Az - AU'lar **dinamik üyelikleri** destekler. - AU'lar **AU içeremez**. - Yönetici Rolleri Atayın: -- "Kullanıcı Yöneticisi" rolünü bölgesel BT personeline, kendi bölgesinin AU'suna göre atayın. +- "Kullanıcı Yöneticisi" rolünü bölgesel BT personeline, kendi bölgelerinin AU'suna göre verin. - Sonuç: Bölgesel BT yöneticileri, diğer bölgeleri etkilemeden kendi bölgelerindeki kullanıcı hesaplarını yönetebilir. ### Entra ID Rolleri -- Entra ID'yi yönetmek için Entra ID'yi yönetmek üzere atanabilecek bazı **yerleşik roller** vardır. +- Entra ID'yi yönetmek için Entra ID prensiplerine atanabilecek bazı **yerleşik roller** vardır. - Rolleri [https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference) adresinde kontrol edin. - En yüksek ayrıcalıklı rol **Küresel Yönetici**dir. - Rolün Tanımında, **ayrıntılı izinlerini** görebilirsiniz. @@ -225,15 +225,15 @@ Bu, hizmet ilkelerini filtrelemek ve atanan uygulamaları kontrol etmek için Az **Gruplara** atanan **roller**, grubun tüm **üyeleri** tarafından **devralınır**. -Rolün atandığı kapsama bağlı olarak, **rol**, kapsama dahil olan **diğer kaynaklara** **devralınabilir**. Örneğin, bir A kullanıcısının bir **abonelikte rolü** varsa, o **rolü, abonelik içindeki tüm kaynak gruplarında** ve **kaynak grubundaki tüm kaynaklarda** alacaktır. +Rolün atandığı kapsamına bağlı olarak, **rol**, kapsam konteyneri içindeki **diğer kaynaklara** **devralınabilir**. Örneğin, bir A kullanıcısının bir **abonelikte rolü** varsa, o **rolü, abonelik içindeki tüm kaynak gruplarında** ve **kaynak grubundaki tüm kaynaklarda** olacaktır. -### **Klasik Roller** +### Klasik Roller | **Sahip** | | Tüm kaynak türleri | -| ----------------------------- | ------------------------------------------------------------------------------------------ | ------------------ | -| **Katkıda Bulunan** | | Tüm kaynak türleri | -| **Okuyucu** | • Tüm kaynakları görüntüleyebilir | Tüm kaynak türleri | -| **Kullanıcı Erişim Yöneticisi** | | Tüm kaynak türleri | +| ----------------------------- | ---------------------------------------------------------------------------------------- | ------------------ | +| **Katkıda Bulunan** | | Tüm kaynak türleri | +| **Okuyucu** | • Tüm kaynakları görüntüleyebilir | Tüm kaynak türleri | +| **Kullanıcı Erişimi Yöneticisi** | | Tüm kaynak türleri | ### Yerleşik roller @@ -245,7 +245,7 @@ Rolün atandığı kapsama bağlı olarak, **rol**, kapsama dahil olan **diğer | ----------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ------------------------------------ | | [Sanal Makine Kullanıcı Girişi](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Portaldaki Sanal Makineleri görüntüleyebilir ve normal bir kullanıcı olarak giriş yapabilir. | fb879df8-f326-4884-b1cf-06f3ad86be52 | -Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kaynak grupları gibi) üzerinde de atanabilir ve etkilenen ilkeler, **bu konteynerlerin içindeki kaynaklar üzerinde** geçerli olacaktır. +Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kaynak grupları gibi) üzerinde de atanabilir ve etkilenen prensipler, **bu konteynerler içindeki kaynaklar üzerinde** bu rollere sahip olacaktır. - Burada [**tüm Azure yerleşik rollerinin**](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles) bir listesini bulabilirsiniz. - Burada [**tüm Entra ID yerleşik rollerinin**](https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference) bir listesini bulabilirsiniz. @@ -259,8 +259,10 @@ Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kayna - Hariç tutulan bir izne sahip bir prensip, izin başka bir yerde verilse bile onu kullanamaz. - Joker karakterler kullanmak mümkündür. - Kullanılan format bir JSON'dur. -- `actions`, kaynak üzerindeki kontrol eylemleri içindir. -- `dataActions`, nesne içindeki verilere yönelik izinlerdir. +- `actions`, kaynaklar üzerindeki yönetim işlemleri için izinleri ifade eder; örneğin, kaynak tanımlarını ve ayarlarını oluşturma, güncelleme veya silme. +- `dataActions`, kaynak içindeki veri işlemleri için izinlerdir; bu, kaynakta bulunan gerçek verileri okuma, yazma veya silme izni verir. +- `notActions` ve `notDataActions`, rolün belirli izinlerini hariç tutmak için kullanılır. Ancak, **bunları reddetmezler**, eğer farklı bir rol bunları veriyorsa, prensip bunlara sahip olacaktır. +- `assignableScopes`, rolün atanabileceği kapsamların bir dizisidir (yönetim grupları, abonelikler veya kaynak grupları gibi). Özel bir rol için izinlerin JSON örneği: ```json @@ -294,8 +296,8 @@ Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kayna ``` ### İzinler Sırası -- Bir **prensibin bir kaynağa erişim hakkı elde etmesi için** ona açık bir rol verilmesi gerekir (herhangi bir şekilde) **bu izni vermektedir**. -- Açık bir **reddetme rol ataması, izni veren rolün önceliğine sahiptir**. +- Bir **prensipin bir kaynağa erişim hakkı olması için** ona açık bir rol verilmesi gerekir (herhangi bir şekilde) **ona bu izni vermektedir**. +- Açık bir **reddetme ataması, izni veren rolün önceliğine sahiptir**.

https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10

@@ -303,16 +305,33 @@ Bu roller, **mantıksal konteynerler** (yönetim grupları, abonelikler ve kayna Küresel Yöneticisi, **Entra ID kiracısı üzerinde tam kontrol sağlayan** bir Entra ID rolüdür. Ancak, varsayılan olarak Azure kaynakları üzerinde herhangi bir izin vermez. -Küresel Yöneticisi rolüne sahip kullanıcılar, **Kök Yönetim Grubunda Kullanıcı Erişim Yöneticisi Azure rolüne 'yükseltme' yapma** yeteneğine sahiptir. Böylece Küresel Yöneticiler, **tüm Azure aboneliklerinde ve yönetim gruplarında erişimi yönetebilir.**\ +Küresel Yöneticisi rolüne sahip kullanıcılar, **Root Yönetim Grubunda Kullanıcı Erişim Yöneticisi Azure rolüne 'yükseltme' yapma** yeteneğine sahiptir. Bu nedenle, Küresel Yöneticiler **tüm Azure aboneliklerinde ve yönetim gruplarında erişimi yönetebilir.**\ Bu yükseltme sayfanın sonunda yapılabilir: [https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/\~/Properties](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties)
+### Atama Koşulları & MFA + +Bir role bir prensipe atandığında **bazı koşullar belirlemek mümkündür**. Eklenebilecek yaygın bir koşul, bazı rol izinlerine erişim için MFA gerektirmektir: +```bash +az role assignment create \ +--assignee \ +--role \ +--scope "/subscriptions/9291ff6e-6afb-430e-82a4-6f04b2d05c7f" \ +--condition "PrincipalClaims['amr'] contains 'mfa'" \ +--condition-version 2.0 +``` +### Reddi Atamaları + +Rol atamaları gibi, **reddi atamaları** da **Azure kaynaklarına erişimi kontrol etmek** için kullanılır. Ancak, **reddi atamaları** bir kaynağa erişimi **açıkça reddetmek** için kullanılır; bu, bir kullanıcının bir rol ataması aracılığıyla erişim verilmiş olsa bile geçerlidir. **Reddin atamaları**, **rol atamalarının** önceliğine sahiptir; bu, bir kullanıcıya bir rol ataması aracılığıyla erişim verilmişse ancak aynı zamanda bir reddi ataması aracılığıyla açıkça erişimi reddedilmişse, reddi atamasının öncelikli olacağı anlamına gelir. + +Rol atamaları gibi, **reddi atamaları** etkilenen ilkeleri ve reddedilen izinleri belirten bir kapsam üzerinde uygulanır. Ayrıca, reddi atamaları durumunda, **reddin çocuk kaynaklar tarafından miras alınmasını önlemek** mümkündür. + ### Azure Politikaları -**Azure Politikaları**, organizasyonların kaynaklarının belirli standartlara ve uyumluluk gereksinimlerine uygun olmasını sağlamaya yardımcı olan kurallardır. Bu politikalar, **Azure'daki kaynaklar üzerinde ayarları uygulamanıza veya denetlemenize** olanak tanır. Örneğin, yetkisiz bir bölgede sanal makinelerin oluşturulmasını engelleyebilir veya tüm kaynakların izleme için belirli etiketlere sahip olmasını sağlayabilirsiniz. +**Azure Politikaları**, organizasyonların kaynaklarının belirli standartlara ve uyumluluk gereksinimlerine uygun olmasını sağlamalarına yardımcı olan kurallardır. Bu, Azure'daki kaynaklar üzerinde **ayarları uygulamanıza veya denetlemenize** olanak tanır. Örneğin, yetkisiz bir bölgede sanal makinelerin oluşturulmasını engelleyebilir veya tüm kaynakların izleme için belirli etiketlere sahip olmasını sağlayabilirsiniz. -Azure Politikaları **proaktiftir**: uyumsuz kaynakların oluşturulmasını veya değiştirilmesini durdurabilir. Ayrıca **reaktif** olup, mevcut uyumsuz kaynakları bulmanıza ve düzeltmenize olanak tanır. +Azure Politikaları **proaktiftir**: uyumsuz kaynakların oluşturulmasını veya değiştirilmesini durdurabilirler. Ayrıca, mevcut uyumsuz kaynakları bulmanıza ve düzeltmenize olanak tanıyan **reaktif** özelliklere de sahiptirler. #### **Anahtar Kavramlar** @@ -325,12 +344,12 @@ Azure Politikaları **proaktiftir**: uyumsuz kaynakların oluşturulmasını vey 1. **Belirli Azure Bölgeleri ile Uyum Sağlama**: Bu politika, tüm kaynakların belirli Azure bölgelerinde dağıtılmasını sağlar. Örneğin, bir şirket tüm verilerinin GDPR uyumluluğu için Avrupa'da saklandığından emin olmak isteyebilir. 2. **İsimlendirme Standartlarını Uygulama**: Politikalar, Azure kaynakları için isimlendirme kurallarını uygulayabilir. Bu, büyük ortamlarda kaynakları isimlerine göre düzenlemeye ve kolayca tanımlamaya yardımcı olur. -3. **Belirli Kaynak Türlerini Kısıtlama**: Bu politika, belirli türde kaynakların oluşturulmasını kısıtlayabilir. Örneğin, maliyetleri kontrol etmek için belirli VM boyutları gibi pahalı kaynak türlerinin oluşturulmasını engelleyen bir politika ayarlanabilir. -4. **Etiketleme Politikalarını Uygulama**: Etiketler, kaynak yönetimi için kullanılan Azure kaynaklarıyla ilişkili anahtar-değer çiftleridir. Politikalar, belirli etiketlerin mevcut olmasını veya tüm kaynaklar için belirli değerlere sahip olmasını zorunlu kılabilir. Bu, maliyet takibi, sahiplik veya kaynakların kategorize edilmesi için faydalıdır. -5. **Kaynaklara Kamu Erişimini Sınırlama**: Politikalar, belirli kaynakların, örneğin depolama hesapları veya veritabanlarının, kamu uç noktalarına sahip olmamasını zorunlu kılabilir, böylece yalnızca organizasyonun ağı içinde erişilebilir olmalarını sağlar. -6. **Güvenlik Ayarlarını Otomatik Olarak Uygulama**: Politikalar, tüm VM'lere belirli bir ağ güvenlik grubunu uygulamak veya tüm depolama hesaplarının şifreleme kullanmasını sağlamak gibi güvenlik ayarlarını kaynaklara otomatik olarak uygulamak için kullanılabilir. +3. **Belirli Kaynak Türlerini Kısıtlama**: Bu politika, belirli türde kaynakların oluşturulmasını kısıtlayabilir. Örneğin, maliyetleri kontrol etmek için belirli VM boyutları gibi pahalı kaynak türlerinin oluşturulmasını engellemek için bir politika ayarlanabilir. +4. **Etiketleme Politikalarını Uygulama**: Etiketler, kaynak yönetimi için kullanılan Azure kaynaklarıyla ilişkili anahtar-değer çiftleridir. Politikalar, belirli etiketlerin tüm kaynaklar için mevcut olması veya belirli değerlere sahip olması gerektiğini zorunlu kılabilir. Bu, maliyet takibi, sahiplik veya kaynakların kategorize edilmesi için faydalıdır. +5. **Kaynaklara Kamu Erişimini Sınırlama**: Politikalar, belirli kaynakların, örneğin depolama hesapları veya veritabanları, kamu uç noktalarına sahip olmamasını zorunlu kılabilir; bu, yalnızca organizasyonun ağı içinde erişilebilir olmalarını sağlar. +6. **Güvenlik Ayarlarını Otomatik Olarak Uygulama**: Politikalar, tüm VM'lere belirli bir ağ güvenlik grubunun uygulanması veya tüm depolama hesaplarının şifreleme kullanmasını sağlamak gibi kaynaklara güvenlik ayarlarını otomatik olarak uygulamak için kullanılabilir. -Azure Politikalarının Azure hiyerarşisinin herhangi bir seviyesine eklenebileceğini unutmayın, ancak genellikle **kök yönetim grubunda** veya diğer yönetim gruplarında kullanılır. +Azure Politikalarının Azure hiyerarşisinin herhangi bir seviyesine eklenebileceğini unutmayın, ancak genellikle **kök yönetim grubunda** veya diğer yönetim gruplarında kullanılırlar. Azure politika json örneği: ```json @@ -352,7 +371,7 @@ Azure politika json örneği: ``` ### İzin Mirası -Azure'da **izinler hiyerarşinin herhangi bir parçasına atanabilir**. Bu, yönetim gruplarını, abonelikleri, kaynak gruplarını ve bireysel kaynakları içerir. İzinler, atandıkları varlığın içerdiği **kaynaklar** tarafından **miras alınır**. +Azure'da **izinler hiyerarşinin herhangi bir parçasına atanabilir**. Bu, yönetim gruplarını, abonelikleri, kaynak gruplarını ve bireysel kaynakları içerir. İzinler, atandıkları varlığın **içindeki** **kaynaklar** tarafından **miras alınır**. Bu hiyerarşik yapı, erişim izinlerinin verimli ve ölçeklenebilir bir şekilde yönetilmesini sağlar. @@ -360,10 +379,10 @@ Bu hiyerarşik yapı, erişim izinlerinin verimli ve ölçeklenebilir bir şekil ### Azure RBAC vs ABAC -**RBAC** (rol tabanlı erişim kontrolü), önceki bölümlerde gördüğümüz şeydir: **Bir kaynağa erişim vermek için bir ilkeye rol atamak**.\ +**RBAC** (rol tabanlı erişim kontrolü), önceki bölümlerde gördüğümüz şeydir: **Bir kaynağa erişim sağlamak için bir ilkeye rol atamak**.\ Ancak, bazı durumlarda **daha ince ayrıntılı erişim yönetimi** sağlamak veya **yüzlerce** rol **atanmasını** yönetimini **basitleştirmek** isteyebilirsiniz. -Azure **ABAC** (özellik tabanlı erişim kontrolü), belirli eylemler bağlamında **özelliklere dayalı rol atama koşulları** ekleyerek Azure RBAC üzerine inşa edilmiştir. Bir _rol atama koşulu_, **rol atamanıza ekleyebileceğiniz isteğe bağlı bir ek kontrol** olup daha ince ayrıntılı erişim kontrolü sağlar. Bir koşul, rol tanımı ve rol ataması parçası olarak verilen izinleri filtreler. Örneğin, **bir nesneyi okumak için nesnenin belirli bir etikete sahip olmasını gerektiren bir koşul ekleyebilirsiniz**.\ +Azure **ABAC** (özellik tabanlı erişim kontrolü), belirli eylemler bağlamında **özelliklere dayalı rol atama koşulları** ekleyerek Azure RBAC üzerine inşa edilmiştir. Bir _rol atama koşulu_, **rol atamanıza ekleyebileceğiniz isteğe bağlı bir ek kontrol** olup daha ince ayrıntılı erişim kontrolü sağlar. Bir koşul, rol tanımı ve rol ataması kapsamında verilen izinleri filtreler. Örneğin, **bir nesneyi okumak için nesnenin belirli bir etikete sahip olmasını gerektiren bir koşul ekleyebilirsiniz**.\ Belirli kaynaklara **koşullar** kullanarak açıkça **erişimi reddedemezsiniz**. ## Referanslar