gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 19:11:41 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/azure-security/az-basic-information/RE

Browse Source
This commit is contained in:
Translator
2025-02-05 23:37:32 +00:00
parent 64f0e79bd9
commit 724e01b681
1 changed files with 58 additions and 58 deletions
Download Patch File Download Diff File Expand all files Collapse all files

116
src/pentesting-cloud/azure-security/az-basic-information/README.md
View File

@@ -13,8 +13,8 @@
- **10.000 grupa za upravljanje** može biti podržano u jednoj direktoriji.
- Drvo grupa za upravljanje može podržati **do šest nivoa dubine**. Ova granica ne uključuje nivo korena ili nivo pretplate.
- Svaka grupa za upravljanje i pretplata mogu podržavati **samo jednog roditelja**.
- Čak i ako se može kreirati nekoliko grupa za upravljanje, **postoji samo 1 korenska grupa za upravljanje**.
- Korenska grupa za upravljanje **sadrži** sve **druge grupe za upravljanje i pretplate** i **ne može se premestiti ili obrisati**.
- Čak i ako se može kreirati nekoliko grupa za upravljanje, **postoji samo 1 grupa za upravljanje korenom**.
- Grupa za upravljanje korenom **sadrži** sve **druge grupe za upravljanje i pretplate** i **ne može se premestiti ili obrisati**.
- Sve pretplate unutar jedne grupe za upravljanje moraju verovati **istom Entra ID tenant-u.**
<figure><img src="../../../images/image (147).png" alt=""><figcaption><p><a href="https://td-mainsite-cdn.tutorialsdojo.com/wp-content/uploads/2023/02/managementgroups-768x474.png">https://td-mainsite-cdn.tutorialsdojo.com/wp-content/uploads/2023/02/managementgroups-768x474.png</a></p></figcaption></figure>
@@ -22,9 +22,9 @@
### Azure pretplate
- To je još jedan **logički kontejner u kojem se mogu pokretati resursi** (VM-ovi, DB-ovi…) i za koji će se naplaćivati.
- Njegov **roditelj** je uvek **grupa za upravljanje** (i može biti korenska grupa za upravljanje) jer pretplate ne mogu sadržavati druge pretplate.
- **Veruje samo jednoj Entra ID** direktoriji.
- **Dozvole** primenjene na nivou pretplate (ili bilo kojem od njenih roditelja) se **nasleđuju** svim resursima unutar pretplate.
- Njegov **roditelj** je uvek **grupa za upravljanje** (i može biti grupa za upravljanje korenom) jer pretplate ne mogu sadržati druge pretplate.
- **Veruje samo jednoj Entra ID** direktoriji
- **Dozvole** primenjene na nivou pretplate (ili bilo kojem od njegovih roditelja) se **nasleđuju** svim resursima unutar pretplate
### Grupe resursa
@@ -32,17 +32,17 @@
Svi **resursi** moraju biti **unutar grupe resursa** i mogu pripadati samo jednoj grupi, a ako se grupa resursa obriše, svi resursi unutar nje se takođe brišu.
<figure><img src="https://lh7-rt.googleusercontent.com/slidesz/AGV_vUfe8U30iP_vdZCvxX4g8nEPRLoo7v0kmCGkDn1frBPn3_GIoZ7VT2LkdsVQWCnrG_HSYNRRPM-1pSECUkbDAB-9YbUYLzpvKVLDETZS81CHWKYM4fDl3oMo5-yvTMnjdLTS2pz8U67xUTIzBhZ25MFMRkq5koKY=s2048?key=gSyKQr3HTyhvHa28Rf7LVA" alt=""><figcaption><p><a href="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&#x26;ssl=1">https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&#x26;ssl=1</a></p></figcaption></figure>
<figure><img src="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1" alt=""><figcaption><p><a href="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1">https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1</a></p></figcaption></figure>
### Azure ID resursa
### Azure Resource IDs
Svaki resurs u Azure-u ima Azure ID resursa koji ga identifikuje.
Svaki resurs u Azure-u ima Azure Resource ID koji ga identifikuje.
Format Azure ID resursa je sledeći:
Format Azure Resource ID-a je sledeći:
- `/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/{resourceProviderNamespace}/{resourceType}/{resourceName}`
Za virtuelnu mašinu nazvanu myVM u grupi resursa `myResourceGroup` pod ID-jem pretplate `12345678-1234-1234-1234-123456789012`, Azure ID resursa izgleda ovako:
Za virtuelnu mašinu nazvanu myVM u grupi resursa `myResourceGroup` pod ID-jem pretplate `12345678-1234-1234-1234-123456789012`, Azure Resource ID izgleda ovako:
- `/subscriptions/12345678-1234-1234-1234-123456789012/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM`
@@ -50,15 +50,15 @@ Za virtuelnu mašinu nazvanu myVM u grupi resursa `myResourceGroup` pod ID-jem p
### Azure
Azure je Microsoftova sveobuhvatna **platforma za cloud računarstvo, koja nudi širok spektar usluga**, uključujući virtuelne mašine, baze podataka, veštačku inteligenciju i skladištenje. Ona služi kao osnova za hostovanje i upravljanje aplikacijama, izgradnju skalabilnih infrastruktura i pokretanje modernih radnih opterećenja u cloudu. Azure pruža alate za programere i IT profesionalce da kreiraju, implementiraju i upravljaju aplikacijama i uslugama bez problema, zadovoljavajući razne potrebe od startapa do velikih preduzeća.
Azure je Microsoftova sveobuhvatna **platforma za cloud računarstvo, koja nudi širok spektar usluga**, uključujući virtuelne mašine, baze podataka, veštačku inteligenciju i skladištenje. Deluje kao osnova za hostovanje i upravljanje aplikacijama, izgradnju skalabilnih infrastruktura i pokretanje modernih radnih opterećenja u oblaku. Azure pruža alate za programere i IT profesionalce da kreiraju, implementiraju i upravljaju aplikacijama i uslugama bez problema, zadovoljavajući razne potrebe od startapa do velikih preduzeća.
### Entra ID (ranije Azure Active Directory)
Entra ID je cloud-bazirana **usluga upravljanja identitetom i pristupom** dizajnirana da upravlja autentifikacijom, autorizacijom i kontrolom pristupa korisnika. Ona omogućava siguran pristup Microsoftovim uslugama kao što su Office 365, Azure i mnoge treće strane SaaS aplikacije. Sa funkcijama kao što su jedinstveno prijavljivanje (SSO), višefaktorska autentifikacija (MFA) i politike uslovnog pristupa, između ostalog.
Entra ID je cloud-bazirana **usluga upravljanja identitetom i pristupom** dizajnirana da se bavi autentifikacijom, autorizacijom i kontrolom pristupa korisnika. Omogućava siguran pristup Microsoftovim uslugama kao što su Office 365, Azure i mnoge aplikacije trećih strana. Sa funkcijama kao što su jedinstveno prijavljivanje (SSO), višefaktorska autentifikacija (MFA) i politike uslovnog pristupa, između ostalog.
### Entra Domain Services (ranije Azure AD DS)
Entra Domain Services proširuje mogućnosti Entra ID nudeći **upravljane usluge domena kompatibilne sa tradicionalnim Windows Active Directory okruženjima**. Podržava nasleđene protokole kao što su LDAP, Kerberos i NTLM, omogućavajući organizacijama da migriraju ili pokreću starije aplikacije u cloudu bez implementacije lokalnih kontrolera domena. Ova usluga takođe podržava grupne politike za centralizovano upravljanje, što je čini pogodnom za scenarije u kojima nasleđena ili AD-bazirana radna opterećenja treba da koegzistiraju sa modernim cloud okruženjima.
Entra Domain Services proširuje mogućnosti Entra ID-a nudeći **upravljane usluge domena kompatibilne sa tradicionalnim Windows Active Directory okruženjima**. Podržava nasleđene protokole kao što su LDAP, Kerberos i NTLM, omogućavajući organizacijama da migriraju ili pokreću starije aplikacije u oblaku bez implementacije lokalnih kontrolera domena. Ova usluga takođe podržava grupne politike za centralizovano upravljanje, što je čini pogodnom za scenarije u kojima nasleđena ili AD-bazirana radna opterećenja treba da koegzistiraju sa modernim cloud okruženjima.
## Entra ID Principali
@@ -88,7 +88,7 @@ Možete ih proveriti na [https://learn.microsoft.com/en-us/entra/fundamentals/us
- Dodaje do 50 uređaja u Azure (_može se isključiti_)
> [!NOTE]
> Zapamtite da da biste enumerisali Azure resurse, korisnik treba da ima eksplicitno odobrenje za dozvolu.
> Zapamtite da da bi se enumerisali Azure resursi, korisnik treba da ima eksplicitno odobrenje za dozvolu.
### Podrazumevane konfigurabilne dozvole korisnika
@@ -99,15 +99,15 @@ Možete ih proveriti na [https://learn.microsoft.com/en-us/entra/fundamentals/us
- Ograničavanje pristupa Microsoft Entra administrativnom portalu: Podrazumevano **Ne**
- Ovo ne ograničava API pristup portalu (samo web)
- Dozvolite korisnicima da povežu radni ili školski nalog sa LinkedIn-om: Podrazumevano **Da**
- Prikaži zadrži korisnika prijavljenim: Podrazumevano **Da**
- Ograničite korisnike od oporavka BitLocker ključeva za njihove vlasničke uređaje: Podrazumevano Ne (proverite u podešavanjima uređaja)
- Čita druge korisnike: Podrazumevano **Da** (putem Microsoft Graph)
- Prikazivanje zadržavanja korisnika prijavljenim: Podrazumevano **Da**
- Ograničavanje korisnika od oporavka BitLocker ključeva za njihove vlasničke uređaje: Podrazumevano Ne (proverite u podešavanjima uređaja)
- Čitanje drugih korisnika: Podrazumevano **Da** (putem Microsoft Graph)
- **Gosti**
- **Ograničenja pristupa gostujućim korisnicima**
- **Gosti imaju isti pristup kao članovi** dodeljuje sve dozvole korisnika članova gostujućim korisnicima podrazumevano.
- **Gosti imaju ograničen pristup svojstvima i članstvima objekata direktorijuma (podrazumevano)** ograničava pristup gostiju samo na njihov vlastiti korisnički profil podrazumevano. Pristup informacijama o drugim korisnicima i grupama više nije dozvoljen.
- **Pristup gostujućim korisnicima je ograničen na svojstva i članstva njihovih vlastitih objekata direktorijuma** je najrestriktivniji.
- **Gosti mogu pozivati**
- **Ograničenja pristupa gostujućih korisnika** opcije:
- **Gosti imaju iste pristupe kao članovi**.
- **Gosti imaju ograničen pristup svojstvima i članstvima objekata direktorijuma (podrazumevano)**. Ovo ograničava pristup gostiju samo na njihov profil korisnika po default-u. Pristup informacijama o drugim korisnicima i grupama više nije dozvoljen.
- **Pristup gostujućih korisnika je ograničen na svojstva i članstva njihovih vlastitih objekata direktorijuma** je najrestriktivniji.
- **Gosti mogu pozivati** opcije:
- **Svako u organizaciji može pozvati gostujuće korisnike uključujući goste i ne-administratore (najinkluzivnije) - Podrazumevano**
- **Korisnici članovi i korisnici dodeljeni specifičnim administrativnim ulogama mogu pozvati gostujuće korisnike uključujući goste sa članovskim dozvolama**
- **Samo korisnici dodeljeni specifičnim administrativnim ulogama mogu pozvati gostujuće korisnike**
@@ -116,17 +116,17 @@ Možete ih proveriti na [https://learn.microsoft.com/en-us/entra/fundamentals/us
- Dozvolite spoljnim korisnicima da napuste organizaciju
> [!TIP]
> Čak i ako su podrazumevano ograničeni, korisnici (članovi i gosti) sa dodeljenim dozvolama mogli bi izvršiti prethodne radnje.
> Čak i ako su po default-u ograničeni, korisnici (članovi i gosti) sa dodeljenim dozvolama mogli bi izvršiti prethodne radnje.
### **Grupe**
Postoje **2 tipa grupa**:
- **Sigurnosne**: Ova vrsta grupe se koristi za davanje članovima pristupa aplikacijama, resursima i dodeljivanje licenci. Korisnici, uređaji, servisni principi i druge grupe mogu biti članovi.
- **Microsoft 365**: Ova vrsta grupe se koristi za saradnju, dajući članovima pristup zajedničkoj pošti, kalendaru, datotekama, SharePoint lokaciji itd. Članovi grupe mogu biti samo korisnici.
- **Microsoft 365**: Ova vrsta grupe se koristi za saradnju, dajući članovima pristup zajedničkoj pošti, kalendaru, datotekama, SharePoint sajtu, itd. Članovi grupe mogu biti samo korisnici.
- Ovo će imati **adresu e-pošte** sa domenom EntraID tenant-a.
Postoje **2 tipa članstva**:
Postoje **2 tipa članstava**:
- **Dodeljeno**: Omogućava ručno dodavanje specifičnih članova u grupu.
- **Dinamičko članstvo**: Automatski upravlja članstvom koristeći pravila, ažurirajući uključivanje grupe kada se atributi članova promene.
@@ -135,10 +135,10 @@ Postoje **2 tipa članstva**:
**Servisni princip** je **identitet** kreiran za **upotrebu** sa **aplikacijama**, hostovanim uslugama i automatizovanim alatima za pristup Azure resursima. Ovaj pristup je **ograničen ulogama dodeljenim** servisnom principu, dajući vam kontrolu nad **koji resursi mogu biti pristupljeni** i na kojem nivou. Iz bezbednosnih razloga, uvek se preporučuje da **koristite servisne principe sa automatizovanim alatima** umesto da im dozvolite prijavu sa korisničkim identitetom.
Moguće je **direktno se prijaviti kao servisni princip** generišući mu **tajnu** (lozinku), **sertifikat**, ili dodeljujući **federisani** pristup trećim platformama (npr. Github Actions) preko njega.
Moguće je **direktno se prijaviti kao servisni princip** generišući mu **tajnu** (lozinku), **sertifikat**, ili dodeljujući **federisani** pristup platformama trećih strana (npr. Github Actions) preko njega.
- Ako izaberete **lozinku** kao autentifikaciju (podrazumevano), **sačuvajte generisanu lozinku** jer je nećete moći ponovo pristupiti.
- Ako izaberete autentifikaciju sertifikatom, uverite se da **aplikacija ima pristup privatnom ključu**.
- Ako izaberete **lozinku** za autentifikaciju (podrazumevano), **sačuvajte generisanu lozinku** jer je nećete moći ponovo pristupiti.
- Ako izaberete autentifikaciju sertifikatom, uverite se da će **aplikacija imati pristup privatnom ključu**.
### Registracije aplikacija
@@ -147,8 +147,8 @@ Moguće je **direktno se prijaviti kao servisni princip** generišući mu **tajn
#### Ključne komponente:
1. **ID aplikacije (Client ID):** Jedinstveni identifikator za vašu aplikaciju u Azure AD.
2. **URI-ovi za preusmeravanje:** URL-ovi na koje Azure AD šalje odgovore na autentifikaciju.
3. **Sertifikati, tajne i federisani kredencijali:** Moguće je generisati tajnu ili sertifikat za prijavu kao servisni princip aplikacije, ili dodeliti federisani pristup (npr. Github Actions).&#x20;
2. **Redirect URIs:** URL-ovi na koje Azure AD šalje odgovore na autentifikaciju.
3. **Sertifikati, tajne i federisani kredencijali:** Moguće je generisati tajnu ili sertifikat za prijavu kao servisni princip aplikacije, ili dodeliti federisani pristup njemu (npr. Github Actions).
1. Ako je **sertifikat** ili **tajna** generisana, moguće je da osoba **prijavi kao servisni princip** koristeći CLI alate znajući **ID aplikacije**, **tajnu** ili **sertifikat** i **tenant** (domen ili ID).
4. **API dozvole:** Specifikuje koje resurse ili API-je aplikacija može pristupiti.
5. **Podešavanja autentifikacije:** Definiše podržane tokove autentifikacije aplikacije (npr., OAuth2, OpenID Connect).
@@ -161,22 +161,22 @@ Moguće je **direktno se prijaviti kao servisni princip** generišući mu **tajn
- **Ne dozvoliti korisnički pristanak**
- Administrator će biti potreban za sve aplikacije.
- **Dozvoliti korisnički pristanak za aplikacije od verifikovanih izdavača, za odabrane dozvole (Preporučeno)**
- **Dozvoliti korisnički pristanak za aplikacije od verifikovanih izdavača, za odabrane dozvole (preporučeno)**
- Svi korisnici mogu dati pristanak za dozvole klasifikovane kao "niskog uticaja", za aplikacije od verifikovanih izdavača ili aplikacije registrovane u ovoj organizaciji.
- **Podrazumevane** dozvole niskog uticaja (iako ih treba prihvatiti da bi se dodale kao niske):
- User.Read - prijava i čitanje korisničkog profila
- offline_access - održavanje pristupa podacima kojima su korisnici dali pristup
- openid - prijava korisnika
- profile - pregled osnovnog profila korisnika
- email - pregled adrese e-pošte korisnika
- **Dozvoliti korisnički pristanak za aplikacije (Podrazumevano)**
- **Podrazumevane** dozvole niskog uticaja (iako morate prihvatiti da ih dodate kao niske):
- User.Read - prijavite se i pročitajte korisnički profil
- offline_access - održava pristup podacima kojima su korisnici dali pristup
- openid - prijavite korisnike
- profile - prikažite osnovni profil korisnika
- email - prikažite adresu e-pošte korisnika
- **Dozvoliti korisnički pristanak za aplikacije (podrazumevano)**
- Svi korisnici mogu dati pristanak za bilo koju aplikaciju da pristupi podacima organizacije.
**Zahtevi za pristanak administratora**: Podrazumevano **Ne**
- Korisnici mogu zatražiti pristanak administratora za aplikacije za koje ne mogu dati pristanak
- Ako je **Da**: Moguće je naznačiti korisnike, grupe i uloge koje mogu odobriti zahteve
- Takođe konfigurišite da li će korisnici primati obaveštenja putem e-pošte i podsetnike o isteku&#x20;
- Ako je **Da**: Moguće je naznačiti korisnike, grupe i uloge koje mogu dati zahteve za pristanak
- Takođe konfigurišite da li će korisnici primati obaveštenja putem e-pošte i podsetnike o isteku
### **Upravljani identitet (metapodaci)**
@@ -184,16 +184,16 @@ Upravljani identiteti u Azure Active Directory nude rešenje za **automatsko upr
Postoje dva tipa upravljanih identiteta:
- **Sistemom dodeljeni**. Neke Azure usluge omogućavaju vam da **omogućite upravljani identitet direktno na instanci usluge**. Kada omogućite sistemom dodeljeni upravljani identitet, **servisni princip** se kreira u Entra ID tenant-u kojem veruje pretplata u kojoj se resurs nalazi. Kada se **resurs** **obriše**, Azure automatski **briše** **identitet** za vas.
- **Korisnikom dodeljeni**. Takođe je moguće da korisnici generišu upravljane identitete. Ovi se kreiraju unutar grupe resursa unutar pretplate i servisni princip će biti kreiran u EntraID kojem veruje pretplata. Zatim, možete dodeliti upravljani identitet jednoj ili **više instanci** Azure usluge (više resursa). Za korisnikom dodeljene upravljane identitete, **identitet se upravlja odvojeno od resursa koji ga koriste**.
- **Sistemom dodeljeni**. Neke Azure usluge omogućavaju da **omogućite upravljani identitet direktno na instanci usluge**. Kada omogućite sistemom dodeljeni upravljani identitet, **servisni princip** se kreira u Entra ID tenant-u kojem veruje pretplata u kojoj se resurs nalazi. Kada se **resurs** **obriše**, Azure automatski **briše** **identitet** za vas.
- **Korisnikom dodeljeni**. Takođe je moguće da korisnici generišu upravljane identitete. Ovi se kreiraju unutar grupe resursa unutar pretplate i servisni princip će biti kreiran u EntraID kojem veruje pretplata. Zatim, možete dodeliti upravljeni identitet jednoj ili **više instanci** Azure usluge (više resursa). Za korisnikom dodeljene upravljane identitete, **identitet se upravlja odvojeno od resursa koji ga koriste**.
Upravljani identiteti **ne generišu večne kredencijale** (kao što su lozinke ili sertifikati) za pristup kao servisni princip koji je povezan sa njima.
### Preduzeća aplikacije
### Preduzetničke aplikacije
To je samo **tabela u Azure-u za filtriranje servisnih principa** i proveru aplikacija koje su dodeljene.
**To nije još jedan tip "aplikacije",** ne postoji nijedan objekat u Azure-u koji je "Preduzeće aplikacija", to je samo apstrakcija za proveru servisnih principa, registracija aplikacija i upravljanih identiteta.
**To nije još jedan tip "aplikacije",** ne postoji nijedan objekat u Azure-u koji je "Preduzetnička aplikacija", to je samo apstrakcija za proveru servisnih principa, registracija aplikacija i upravljanih identiteta.
### Administrativne jedinice
@@ -205,11 +205,11 @@ Primer:
- Implementacija:
- Kreirajte administrativne jedinice za svaku regiju (npr., "Severna Amerika AU", "Evropa AU").
- Popunite AU sa korisnicima iz njihovih odgovarajućih regija.
- AU mogu **sadržati korisnike, grupe ili uređaje**
- AU može **sadržati korisnike, grupe ili uređaje**
- AU podržavaju **dinamička članstva**
- AU **ne mogu sadržati AU**
- Dodelite administrativne uloge:
- Dodelite ulogu "Administrator korisnika" regionalnom IT osoblju, ograničenu na AU njihove regije.
- Dodelite ulogu "Administrator korisnika" regionalnom IT osoblju, ograničeno na AU njihove regije.
- Ishod: Regionalni IT administratori mogu upravljati korisničkim nalozima unutar svoje regije bez uticaja na druge regije.
### Entra ID uloge
@@ -223,7 +223,7 @@ Primer:
**Uloge** se **dodeljuju** **principima** na **opsegu**: `principal -[HAS ROLE]->(scope)`
**Uloge** dodeljene **grupama** se **nasleđuju** svim **članovima** grupe.
**Uloge** dodeljene **grupama** se **nasleđuju** od svih **članova** grupe.
U zavisnosti od opsega na koji je uloga dodeljena, **uloga** se može **naslediti** na **druge resurse** unutar kontejnera opsega. Na primer, ako korisnik A ima **ulogu na pretplati**, on će imati tu **ulogu na svim grupama resursa** unutar pretplate i na **svim resursima** unutar grupe resursa.
@@ -232,8 +232,8 @@ U zavisnosti od opsega na koji je uloga dodeljena, **uloga** se može **nasledit
| **Vlasnik** | <ul><li>Puni pristup svim resursima</li><li>Može upravljati pristupom za druge korisnike</li></ul> | Svi tipovi resursa |
| ----------------------------- | ---------------------------------------------------------------------------------------- | ------------------ |
| **Doprinosilac** | <ul><li>Puni pristup svim resursima</li><li>Ne može upravljati pristupom</li></ul> | Svi tipovi resursa |
| **Čitač** | • Pregled svih resursa | Svi tipovi resursa |
| **Administrator pristupa korisnika** | <ul><li>Pregled svih resursa</li><li>Može upravljati pristupom za druge korisnike</li></ul> | Svi tipovi resursa |
| **Čitač** | • Prikaz svih resursa | Svi tipovi resursa |
| **Administrator pristupa korisnicima** | <ul><li>Prikaz svih resursa</li><li>Može upravljati pristupom za druge korisnike</li></ul> | Svi tipovi resursa |
### Ugrađene uloge
@@ -241,11 +241,11 @@ U zavisnosti od opsega na koji je uloga dodeljena, **uloga** se može **nasledit
**Ugrađene** uloge se primenjuju samo na **resurse** za koje su **namenjene**, na primer, proverite ova 2 primera **ugrađenih uloga** nad Compute resursima:
| [Disk Backup Reader](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Pruža dozvolu za backup vault za izvođenje backup-a diska. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| [Disk Backup Reader](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Omogućava dozvolu za backup vault za izvršavanje backup-a diska. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
| ----------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ------------------------------------ |
| [Virtual Machine User Login](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Pregledajte virtuelne mašine u portalu i prijavite se kao običan korisnik. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
| [Virtual Machine User Login](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Prikaz virtuelnih mašina u portalu i prijava kao običan korisnik. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
Ove uloge se **takođe mogu dodeliti nad logičkim kontejnerima** (kao što su grupe za upravljanje, pretplate i grupe resursa) i principi na koje se to odnosi će ih imati **nad resursima unutar tih kontejnera**.
Ove uloge se **takođe mogu dodeliti nad logičkim kontejnerima** (kao što su grupe za upravljanje, pretplate i grupe resursa) i principi na koje utiču će ih imati **nad resursima unutar tih kontejnera**.
- Pronađite ovde listu sa [**svim ugrađenim ulogama Azure-a**](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles).
- Pronađite ovde listu sa [**svim ugrađenim ulogama Entra ID**](https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference).
@@ -262,7 +262,7 @@ Ove uloge se **takođe mogu dodeliti nad logičkim kontejnerima** (kao što su g
- `actions` su za kontrolu radnji nad resursom
- `dataActions` su dozvole nad podacima unutar objekta
Primer JSON-a dozvola za prilagođenu ulogu:
Primer dozvola JSON za prilagođenu ulogu:
```json
{
"properties": {
@@ -318,16 +318,16 @@ Azure Policies su **proaktivne**: mogu sprečiti kreiranje ili promenu neusklađ
1. **Policy Definition**: Pravilo, napisano u JSON-u, koje specificira šta je dozvoljeno ili zahtevano.
2. **Policy Assignment**: Primena politike na specifičan opseg (npr. pretplata, grupa resursa).
3. **Initiatives**: Kolekcija politika grupisanih zajedno za širu primenu.
3. **Initiatives**: Skup politika grupisanih zajedno za širu primenu.
4. **Effect**: Specificira šta se dešava kada se politika aktivira (npr. "Deny," "Audit," ili "Append").
**Neki primeri:**
1. **Osiguranje usklađenosti sa specifičnim Azure regijama**: Ova politika osigurava da su svi resursi raspoređeni u specifičnim Azure regijama. Na primer, kompanija može želeti da osigura da su svi njeni podaci smešteni u Evropi radi usklađenosti sa GDPR-om.
2. **Sprovođenje standarda imenovanja**: Politike mogu sprovoditi konvencije imenovanja za Azure resurse. Ovo pomaže u organizaciji i lakom identifikovanju resursa na osnovu njihovih imena, što je korisno u velikim okruženjima.
3. **Ograničavanje određenih tipova resursa**: Ova politika može ograničiti kreiranje određenih tipova resursa. Na primer, politika može biti postavljena da spreči kreiranje skupih tipova resursa, kao što su određene veličine VM-a, kako bi se kontrolisali troškovi.
3. **Ograničavanje određenih tipova resursa**: Ova politika može ograničiti kreiranje određenih tipova resursa. Na primer, politika može biti postavljena da spreči kreiranje skupih tipova resursa, poput određenih veličina VM-a, kako bi se kontrolisali troškovi.
4. **Sprovođenje politika označavanja**: Oznake su parovi ključ-vrednost povezani sa Azure resursima koji se koriste za upravljanje resursima. Politike mogu sprovoditi da određene oznake moraju biti prisutne, ili imati specifične vrednosti, za sve resurse. Ovo je korisno za praćenje troškova, vlasništvo ili kategorizaciju resursa.
5. **Ograničavanje javnog pristupa resursima**: Politike mogu sprovoditi da određeni resursi, kao što su skladišni nalozi ili baze podataka, nemaju javne krajnje tačke, osiguravajući da su dostupni samo unutar mreže organizacije.
5. **Ograničavanje javnog pristupa resursima**: Politike mogu sprovoditi da određeni resursi, poput skladišnih naloga ili baza podataka, nemaju javne krajnje tačke, osiguravajući da su dostupni samo unutar mreže organizacije.
6. **Automatsko primenjivanje bezbednosnih podešavanja**: Politike se mogu koristiti za automatsko primenjivanje bezbednosnih podešavanja na resurse, kao što je primena specifične grupe bezbednosti mreže na sve VM-ove ili osiguranje da svi skladišni nalozi koriste enkripciju.
Napomena da se Azure Policies mogu prikačiti na bilo koji nivo Azure hijerarhije, ali se **najčešće koriste u root management group** ili u drugim upravljačkim grupama.
@@ -354,13 +354,13 @@ Azure policy json example:
U Azure **dozvole se mogu dodeliti bilo kojem delu hijerarhije**. To uključuje upravljačke grupe, pretplate, grupe resursa i pojedinačne resurse. Dozvole se **nasleđuju** od sadržanih **resursa** entiteta gde su dodeljene.
Ova hijerarhijska struktura omogućava efikasno i skalabilno upravljanje dozvolama za pristup.
Ova hijerarhijska struktura omogućava efikasno i skalabilno upravljanje dozvolama pristupa.
<figure><img src="../../../images/image (26).png" alt=""><figcaption></figcaption></figure>
### Azure RBAC vs ABAC
**RBAC** (kontrola pristupa zasnovana na ulozi) je ono što smo već videli u prethodnim sekcijama: **Dodeljivanje uloge principalu kako bi mu se omogućio pristup** resursu.\
**RBAC** (kontrola pristupa zasnovana na rolama) je ono što smo već videli u prethodnim sekcijama: **Dodeljivanje uloge principalu kako bi mu se omogućio pristup** resursu.\
Međutim, u nekim slučajevima možda ćete želeti da obezbedite **fino podešeno upravljanje pristupom** ili **pojednostavite** upravljanje **stotinama** dodela uloga.
Azure **ABAC** (kontrola pristupa zasnovana na atributima) se oslanja na Azure RBAC dodavanjem **uslova dodele uloga zasnovanih na atributima** u kontekstu specifičnih akcija. _Uslov dodele uloge_ je **dodatna provera koju možete opcionalno dodati svojoj dodeli uloge** kako biste obezbedili fino podešenu kontrolu pristupa. Uslov filtrira dozvole dodeljene kao deo definicije uloge i dodele uloge. Na primer, možete **dodati uslov koji zahteva da objekat ima specifičnu oznaku da bi se pročitao objekat**.\