mirror of
https://github.com/HackTricks-wiki/hacktricks-cloud.git
synced 2026-01-09 11:44:59 -08:00
Translated ['src/pentesting-cloud/azure-security/az-basic-information/RE
This commit is contained in:
Translator
@@ -15,7 +15,7 @@
|
||||
- Kila kundi la usimamizi na usajili linaweza kuunga mkono **mzazi mmoja tu**.
|
||||
- Hata kama makundi kadhaa ya usimamizi yanaweza kuundwa **kuna kundi moja tu la usimamizi la mzizi**.
|
||||
- Kundi la usimamizi la mzizi **linashikilia** makundi yote **mengine ya usimamizi na usajili** na **halitaweza kuhamishwa au kufutwa**.
|
||||
- Usajili wote ndani ya kundi moja la usimamizi lazima uamini **tenant moja ya Entra ID.**
|
||||
- Usajili wote ndani ya kundi moja la usimamizi lazima uamini **tenant ya Entra ID sawa**.
|
||||
|
||||
<figure><img src="../../../images/image (147).png" alt=""><figcaption><p><a href="https://td-mainsite-cdn.tutorialsdojo.com/wp-content/uploads/2023/02/managementgroups-768x474.png">https://td-mainsite-cdn.tutorialsdojo.com/wp-content/uploads/2023/02/managementgroups-768x474.png</a></p></figcaption></figure>
|
||||
|
||||
@@ -23,20 +23,20 @@
|
||||
|
||||
- Ni **kikundi kingine cha mantiki ambacho rasilimali** (VMs, DBs…) zinaweza kuendeshwa na zitalipiwa.
|
||||
- **Mzazi** wake daima ni **kundi la usimamizi** (na inaweza kuwa kundi la usimamizi la mzizi) kwani usajili hauwezi kuwa na usajili mwingine.
|
||||
- Ina **aminika tu na directory moja ya Entra ID**
|
||||
- Ina **amini tu directory moja ya Entra ID**
|
||||
- **Ruhusa** zilizotumika kwenye kiwango cha usajili (au yoyote ya wazazi wake) zina **urithi** kwa rasilimali zote ndani ya usajili
|
||||
|
||||
### Makundi ya Rasilimali
|
||||
|
||||
[Kutoka kwenye hati:](https://learn.microsoft.com/en-us/azure/azure-resource-manager/management/manage-resource-groups-python?tabs=macos#what-is-a-resource-group) Kundi la rasilimali ni **kikundi** kinachoshikilia **rasilimali zinazohusiana** kwa suluhisho la Azure. Kundi la rasilimali linaweza kujumuisha rasilimali zote za suluhisho, au zile tu **rasilimali ambazo unataka kusimamia kama kundi**. Kwa ujumla, ongeza **rasilimali** zinazoshiriki **mzunguko sawa** kwenye kundi moja la rasilimali ili uweze kupeleka, kusasisha, na kufuta kwa urahisi kama kundi.
|
||||
|
||||
Rasilimali zote lazima ziwe **ndani ya kundi la rasilimali** na zinaweza kumilikiwa tu na kundi moja na ikiwa kundi la rasilimali litafutwa, rasilimali zote ndani yake pia zitafutwa.
|
||||
Rasilimali zote **lazima ziwe **ndani ya kundi la rasilimali** na zinaweza kumilikiwa tu na kundi moja na ikiwa kundi la rasilimali litafutwa, rasilimali zote ndani yake pia zitafutwa.
|
||||
|
||||
<figure><img src="https://lh7-rt.googleusercontent.com/slidesz/AGV_vUfe8U30iP_vdZCvxX4g8nEPRLoo7v0kmCGkDn1frBPn3_GIoZ7VT2LkdsVQWCnrG_HSYNRRPM-1pSECUkbDAB-9YbUYLzpvKVLDETZS81CHWKYM4fDl3oMo5-yvTMnjdLTS2pz8U67xUTIzBhZ25MFMRkq5koKY=s2048?key=gSyKQr3HTyhvHa28Rf7LVA" alt=""><figcaption><p><a href="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1">https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1</a></p></figcaption></figure>
|
||||
<figure><img src="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1" alt=""><figcaption><p><a href="https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1">https://i0.wp.com/azuredays.com/wp-content/uploads/2020/05/org.png?resize=748%2C601&ssl=1</a></p></figcaption></figure>
|
||||
|
||||
### Vitambulisho vya Rasilimali za Azure
|
||||
|
||||
Kila rasilimali katika Azure ina Vitambulisho vya Rasilimali za Azure ambavyo vinaitambulisha.
|
||||
Kila rasilimali katika Azure ina Vitambulisho vya Rasilimali za Azure vinavyoiweka.
|
||||
|
||||
Muundo wa Vitambulisho vya Rasilimali za Azure ni kama ifuatavyo:
|
||||
|
||||
@@ -54,11 +54,11 @@ Azure ni jukwaa la **kumbukumbu la kompyuta la Microsoft, linalotoa huduma mbali
|
||||
|
||||
### Entra ID (zamani Azure Active Directory)
|
||||
|
||||
Entra ID ni huduma ya **utambulisho na usimamizi wa ufikiaji** inayotegemea wingu iliyoundwa kushughulikia uthibitishaji, idhini, na udhibiti wa ufikiaji wa mtumiaji. Inatoa ufikiaji salama kwa huduma za Microsoft kama vile Office 365, Azure, na programu nyingi za SaaS za wahusika wengine. Ikiwa na vipengele kama vile uthibitishaji wa moja kwa moja (SSO), uthibitishaji wa hatua nyingi (MFA), na sera za ufikiaji wa masharti miongoni mwa zingine.
|
||||
Entra ID ni huduma ya **usimamizi wa utambulisho na ufikiaji** inayotegemea wingu iliyoundwa kushughulikia uthibitishaji, idhini, na udhibiti wa ufikiaji wa mtumiaji. Inatoa ufikiaji salama kwa huduma za Microsoft kama vile Office 365, Azure, na programu nyingi za SaaS za wahusika wengine. Ikiwa na vipengele kama vile uthibitishaji wa moja kwa moja (SSO), uthibitishaji wa hatua nyingi (MFA), na sera za ufikiaji wa masharti miongoni mwa wengine.
|
||||
|
||||
### Huduma za Kikoa za Entra (zamani Azure AD DS)
|
||||
|
||||
Huduma za Kikoa za Entra zinaongeza uwezo wa Entra ID kwa kutoa **huduma za kikoa zinazoweza kusimamiwa zinazofaa na mazingira ya jadi ya Windows Active Directory**. Inasaidia protokali za zamani kama vile LDAP, Kerberos, na NTLM, ikiruhusu mashirika kuhamasisha au kuendesha programu za zamani katika wingu bila kupeleka wakala wa kikoa wa ndani. Huduma hii pia inasaidia Sera za Kundi kwa usimamizi wa kati, na kuifanya iweze kutumika katika hali ambapo kazi za zamani au zinazotegemea AD zinahitaji kuwepo pamoja na mazingira ya kisasa ya wingu.
|
||||
Huduma za Kikoa za Entra zinaongeza uwezo wa Entra ID kwa kutoa **huduma za kikoa zinazoweza kusimamiwa zinazofaa na mazingira ya jadi ya Windows Active Directory**. Inasaidia protokali za zamani kama LDAP, Kerberos, na NTLM, ikiruhusu mashirika kuhamasisha au kuendesha programu za zamani katika wingu bila kupeleka wakala wa kikoa wa ndani. Huduma hii pia inasaidia Sera za Kundi kwa usimamizi wa kati, na kuifanya iweze kutumika katika hali ambapo kazi za zamani au zinazotegemea AD zinahitaji kuwepo pamoja na mazingira ya kisasa ya wingu.
|
||||
|
||||
## Misingi ya Entra ID
|
||||
|
||||
@@ -82,7 +82,7 @@ Unaweza kuangalia katika [https://learn.microsoft.com/en-us/entra/fundamentals/u
|
||||
- Kusoma watumiaji wote, Makundi, Programu, Vifaa, Majukumu, Usajili, na mali zao za umma
|
||||
- Kualika Wageni (_inaweza kuzuiwa_)
|
||||
- Kuunda makundi ya Usalama
|
||||
- Kusoma uanachama wa Kundi usiofichwa
|
||||
- Kusoma uanachama wa Kundi usiofichika
|
||||
- Kuongeza wageni kwenye makundi yaliyomilikiwa
|
||||
- Kuunda programu mpya (_inaweza kuzuiwa_)
|
||||
- Kuongeza vifaa hadi 50 kwenye Azure (_inaweza kuzuiwa_)
|
||||
@@ -100,30 +100,30 @@ Unaweza kuangalia katika [https://learn.microsoft.com/en-us/entra/fundamentals/u
|
||||
- Hii haisimamii ufikiaji wa API kwa lango (tu wavuti)
|
||||
- Ruhusu watumiaji kuunganisha akaunti za kazi au shule na LinkedIn: Kawaida **Ndio**
|
||||
- Onyesha kuweka mtumiaji alisainiwa: Kawaida **Ndio**
|
||||
- Zuiya watumiaji kutoka kupona funguo za BitLocker kwa vifaa vyao vilivyomilikiwa: Kawaida Hapana (angalia kwenye Mipangilio ya Kifaa)
|
||||
- Zuiya watumiaji kutoka kupona funguo za BitLocker kwa vifaa walivyomiliki: Kawaida Hapana (angalia kwenye Mipangilio ya Kifaa)
|
||||
- Kusoma watumiaji wengine: Kawaida **Ndio** (kupitia Microsoft Graph)
|
||||
- **Wageni**
|
||||
- **Vikwazo vya ufikiaji wa mtumiaji mgeni**
|
||||
- **Wageni wa mgeni wana ufikiaji sawa na wanachama** inatoa ruhusa zote za mtumiaji wa mwanachama kwa wageni kwa default.
|
||||
- **Wageni wa mgeni wana ufikiaji mdogo kwa mali na uanachama wa vitu vya directory (kawaida)** inazuiya ufikiaji wa wageni kwa wasifu wao wenyewe wa mtumiaji kwa default. Ufikiaji wa watumiaji wengine na taarifa za kundi haukubaliki tena.
|
||||
- **Ufikiaji wa mtumiaji mgeni unazuiwa kwa mali na uanachama wa vitu vya directory vyao wenyewe** ndio wa kukandamiza zaidi.
|
||||
- **Wageni wanaweza kuwalika**
|
||||
- **Mtu yeyote katika shirika anaweza kuwalika wageni ikiwa ni pamoja na wageni na wasimamizi wasio wa kawaida (inayoingiza zaidi) - Kawaida**
|
||||
- **Watumiaji wa wanachama na watumiaji waliotolewa majukumu maalum ya usimamizi wanaweza kuwalika wageni ikiwa ni pamoja na wageni wenye ruhusa za mwanachama**
|
||||
- **Ni watumiaji pekee waliotolewa majukumu maalum ya usimamizi wanaweza kuwalika wageni**
|
||||
- **Hakuna mtu katika shirika anaweza kuwalika wageni ikiwa ni pamoja na wasimamizi (inayoingiza zaidi)**
|
||||
- **Vikomo vya ufikiaji wa mtumiaji mgeni** chaguzi:
|
||||
- **Wageni wana ufikiaji sawa na wanachama**.
|
||||
- **Wageni wana ufikiaji mdogo kwa mali na uanachama wa vitu vya directory (kawaida)**. Hii inazuia ufikiaji wa wageni kwa wasifu wao wenyewe wa mtumiaji kwa kawaida. Ufikiaji wa watumiaji wengine na taarifa za kundi haukubaliwi tena.
|
||||
- **Ufikiaji wa mtumiaji mgeni unazuiwa kwa mali na uanachama wa vitu vya directory vyao wenyewe** ni wa kikomo zaidi.
|
||||
- **Wageni wanaweza kuwalika** chaguzi:
|
||||
- **Mtu yeyote katika shirika anaweza kuwalika watumiaji wageni ikiwa ni pamoja na wageni na wasimamizi wasio (inayoeleweka zaidi) - Kawaida**
|
||||
- **Watumiaji wanachama na watumiaji waliotolewa majukumu maalum ya usimamizi wanaweza kuwalika watumiaji wageni ikiwa ni pamoja na wageni wenye ruhusa za mwanachama**
|
||||
- **Watumiaji pekee waliotolewa majukumu maalum ya usimamizi wanaweza kuwalika watumiaji wageni**
|
||||
- **Hakuna mtu katika shirika anaweza kuwalika watumiaji wageni ikiwa ni pamoja na wasimamizi (inayoeleweka zaidi)**
|
||||
- **Mtumiaji wa nje aondoke**: Kawaida **Kweli**
|
||||
- Ruhusu watumiaji wa nje kuondoka katika shirika
|
||||
|
||||
> [!TIP]
|
||||
> Hata kama zimezuiwa kwa default, watumiaji (wanachama na wageni) wenye ruhusa zilizotolewa wanaweza kufanya vitendo vya awali.
|
||||
> Hata kama imezuiwa kwa kawaida, watumiaji (wanachama na wageni) wenye ruhusa zilizotolewa wanaweza kufanya vitendo vya awali.
|
||||
|
||||
### **Makundi**
|
||||
|
||||
Kuna **aina 2 za makundi**:
|
||||
|
||||
- **Usalama**: Aina hii ya kundi inatumika kutoa wanachama ufikiaji wa programu, rasilimali na kupeana leseni. Watumiaji, vifaa, wakala wa huduma na makundi mengine wanaweza kuwa wanachama.
|
||||
- **Microsoft 365**: Aina hii ya kundi inatumika kwa ushirikiano, ikitoa wanachama ufikiaji wa sanduku la barua lililotolewa, kalenda, faili, tovuti ya SharePoint, na kadhalika. Wanachama wa kundi wanaweza kuwa watumiaji pekee.
|
||||
- **Usalama**: Aina hii ya kundi inatumika kuwapa wanachama ufikiaji wa programu, rasilimali na kupeana leseni. Watumiaji, vifaa, wakala wa huduma na makundi mengine wanaweza kuwa wanachama.
|
||||
- **Microsoft 365**: Aina hii ya kundi inatumika kwa ushirikiano, ikiwapa wanachama ufikiaji wa sanduku la barua lililotolewa, kalenda, faili, tovuti ya SharePoint, na kadhalika. Wanachama wa kundi wanaweza kuwa watumiaji pekee.
|
||||
- Hii itakuwa na **anwani ya barua pepe** yenye kikoa cha tenant ya EntraID.
|
||||
|
||||
Kuna **aina 2 za uanachama**:
|
||||
@@ -133,11 +133,11 @@ Kuna **aina 2 za uanachama**:
|
||||
|
||||
### **Wakala wa Huduma**
|
||||
|
||||
**Wakala wa Huduma** ni **utambulisho** ulioanzishwa kwa **matumizi** na **programu**, huduma zinazohudumiwa, na zana za kiotomatiki kupata rasilimali za Azure. Ufikiaji huu ume **zuiwa na majukumu yaliyotolewa** kwa wakala wa huduma, na kukupa udhibiti juu ya **rasilimali zipi zinaweza kufikiwa** na kwa kiwango gani. Kwa sababu za usalama, kila wakati inapendekezwa **kutumia wakala wa huduma na zana za kiotomatiki** badala ya kuruhusu kuingia kwa utambulisho wa mtumiaji.
|
||||
**Wakala wa Huduma** ni **utambulisho** ulioanzishwa kwa **matumizi** na **programu**, huduma zinazohudumiwa, na zana za kiotomatiki kufikia rasilimali za Azure. Ufikiaji huu ni **wa kikomo na majukumu yaliyotolewa** kwa wakala wa huduma, na kukupa udhibiti juu ya **rasilimali zipi zinaweza kufikiwa** na kwa kiwango gani. Kwa sababu za usalama, kila wakati inapendekezwa **kutumia wakala wa huduma na zana za kiotomatiki** badala ya kuruhusu kuingia kwa utambulisho wa mtumiaji.
|
||||
|
||||
Inawezekana **kuingia moja kwa moja kama wakala wa huduma** kwa kuunda **siri** (nenosiri), **cheti**, au kutoa **ufikiaji wa shirikisho** kwa majukwaa ya wahusika wengine (kwa mfano, Github Actions) juu yake.
|
||||
|
||||
- Ikiwa unachagua uthibitishaji wa **nenosiri** (kwa default), **hifadhi nenosiri lililotengenezwa** kwani huwezi kulifikia tena.
|
||||
- Ikiwa unachagua uthibitishaji wa **nenosiri** (kwa kawaida), **hifadhi nenosiri lililotengenezwa** kwani huwezi kulifikia tena.
|
||||
- Ikiwa unachagua uthibitishaji wa cheti, hakikisha **programu itakuwa na ufikiaji wa funguo za faragha**.
|
||||
|
||||
### Usajili wa Programu
|
||||
@@ -146,54 +146,54 @@ Inawezekana **kuingia moja kwa moja kama wakala wa huduma** kwa kuunda **siri**
|
||||
|
||||
#### Vipengele Muhimu:
|
||||
|
||||
1. **Kitambulisho cha Programu (Kitambulisho cha Mteja):** Kitambulisho cha kipekee kwa programu yako katika Azure AD.
|
||||
2. **URIs za Kurudisha:** URL ambapo Azure AD inatuma majibu ya uthibitishaji.
|
||||
3. **Vyeti, Siri & Ruhusa za Shirikisho:** Inawezekana kuunda siri au cheti kuingia kama wakala wa huduma wa programu, au kutoa ufikiaji wa shirikisho kwake (kwa mfano, Github Actions). 
|
||||
1. Ikiwa **cheti** au **siri** inaundwa, inawezekana kwa mtu **kuingia kama wakala wa huduma** kwa kutumia zana za CLI kwa kujua **kitambulisho cha programu**, **siri** au **cheti** na **tenant** (kikoa au ID).
|
||||
4. **Ruhusa za API:** Inabainisha rasilimali au API zipi programu inaweza kufikia.
|
||||
1. **Vitambulisho vya Programu (Client ID):** Kitambulisho cha kipekee kwa programu yako katika Azure AD.
|
||||
2. **URIs za Kurudi:** URL ambapo Azure AD inatuma majibu ya uthibitishaji.
|
||||
3. **Vyeti, Siri & Ruhusa za Shirikisho:** Inawezekana kuunda siri au cheti kuingia kama wakala wa huduma wa programu, au kutoa ufikiaji wa shirikisho kwake (kwa mfano, Github Actions).
|
||||
1. Ikiwa **cheti** au **siri** inaundwa, mtu anaweza **kuingia kama wakala wa huduma** kwa kutumia zana za CLI kwa kujua **vitambulisho vya programu**, **siri** au **cheti** na **tenant** (kikoa au ID).
|
||||
4. **Ruhusa za API:** Inabainisha rasilimali au API ambazo programu inaweza kufikia.
|
||||
5. **Mipangilio ya Uthibitishaji:** Inafafanua mchakato wa uthibitishaji unaounga mkono wa programu (kwa mfano, OAuth2, OpenID Connect).
|
||||
6. **Wakala wa Huduma**: Wakala wa huduma huundwa wakati Programu inaundwa (ikiwa inafanywa kutoka kwenye konsole ya wavuti) au wakati inasakinishwa katika tenant mpya.
|
||||
6. **Wakala wa Huduma**: Wakala wa huduma huundwa wakati programu inaundwa (ikiwa inafanywa kutoka kwenye konso ya wavuti) au wakati inasakinishwa katika tenant mpya.
|
||||
1. **Wakala wa huduma** utapata ruhusa zote zilizotolewa ambazo umeziunda.
|
||||
|
||||
### Ruhusa za Kibali za Kawaida
|
||||
### Ruhusa za Kawaida za Kukubali
|
||||
|
||||
**Ruhusa za mtumiaji kwa programu**
|
||||
|
||||
- **Usiruhusu ruhusa za mtumiaji**
|
||||
- Msimamizi atahitajika kwa programu zote.
|
||||
- **Ruhusu ruhusa za mtumiaji kwa programu kutoka kwa wachapishaji waliothibitishwa, kwa ruhusa zilizochaguliwa (Inapendekezwa)**
|
||||
- Watumiaji wote wanaweza kutoa ruhusa kwa ruhusa zinazohesabiwa kama "athari ndogo", kwa programu kutoka kwa wachapishaji waliothibitishwa au programu zilizojisajili katika shirika hili.
|
||||
- **Kawaida** ruhusa za athari ndogo (ingawa unahitaji kukubali kuziongeza kama ndogo):
|
||||
- User.Read - ingia na kusoma wasifu wa mtumiaji
|
||||
- Watumiaji wote wanaweza kukubali ruhusa zilizoorodheshwa kama "athari ndogo", kwa programu kutoka kwa wachapishaji waliothibitishwa au programu zilizojisajili katika shirika hili.
|
||||
- **Kawaida** ruhusa za athari ndogo (ingawa unahitaji kukubali kuziongeza kama athari ndogo):
|
||||
- User.Read - ingia na soma wasifu wa mtumiaji
|
||||
- offline_access - kudumisha ufikiaji wa data ambayo watumiaji wameipa ufikiaji
|
||||
- openid - ingiza watumiaji
|
||||
- profile - ona wasifu wa msingi wa mtumiaji
|
||||
- email - ona anwani ya barua pepe ya mtumiaji
|
||||
- **Ruhusu ruhusa za mtumiaji kwa programu (Kawaida)**
|
||||
- Watumiaji wote wanaweza kutoa ruhusa kwa programu yoyote kufikia data ya shirika.
|
||||
- Watumiaji wote wanaweza kukubali kwa programu yoyote kufikia data za shirika.
|
||||
|
||||
**Maombi ya ruhusa za msimamizi**: Kawaida **Hapana**
|
||||
|
||||
- Watumiaji wanaweza kuomba ruhusa za msimamizi kwa programu ambazo hawawezi kutoa ruhusa
|
||||
- Ikiwa **Ndio**: Inawezekana kuonyesha Watumiaji, Makundi na Majukumu ambayo yanaweza kutoa maombi
|
||||
- Sanidi pia ikiwa watumiaji watapata arifa za barua pepe na ukumbusho wa muda wa mwisho 
|
||||
- Watumiaji wanaweza kuomba ruhusa za msimamizi kwa programu ambazo hawawezi kukubali
|
||||
- Ikiwa **Ndio**: Inawezekana kuonyesha Watumiaji, Makundi na Majukumu ambayo yanaweza kukubali maombi
|
||||
- Sanidi pia ikiwa watumiaji watapokea arifa za barua pepe na ukumbusho wa muda wa mwisho
|
||||
|
||||
### **Utambulisho wa Kusimamiwa (Metadata)**
|
||||
|
||||
Utambulisho wa kusimamiwa katika Azure Active Directory unatoa suluhisho la **kusimamia kiotomatiki utambulisho** wa programu. Utambulisho huu unatumika na programu kwa lengo la **kuunganisha** na **rasilimali** zinazofaa na uthibitishaji wa Azure Active Directory (**Azure AD**). Hii inaruhusu **kuondoa hitaji la kuweka akiba ya akiba ya wingu** katika msimbo kwani programu itakuwa na uwezo wa kuwasiliana na huduma ya **metadata** ili kupata token halali ya **kufanya vitendo** kama utambulisho wa kusimamiwa ulioonyeshwa katika Azure.
|
||||
Utambulisho wa kusimamiwa katika Azure Active Directory unatoa suluhisho la **kusimamia kiotomatiki utambulisho** wa programu. Utambulisho huu unatumika na programu kwa lengo la **kuunganisha** na **rasilimali** zinazofaa na uthibitishaji wa Azure Active Directory (**Azure AD**). Hii inaruhusu **kuondoa hitaji la kuweka akiba ya maelezo ya wingu** katika msimbo kwani programu itakuwa na uwezo wa kuwasiliana na huduma ya **metadata** ili kupata token halali ya **kufanya vitendo** kama utambulisho wa kusimamiwa ulioonyeshwa katika Azure.
|
||||
|
||||
Kuna aina mbili za utambulisho wa kusimamiwa:
|
||||
|
||||
- **Iliyotolewa na Mfumo**. Huduma zingine za Azure zinakuruhusu **kuwezesha utambulisho wa kusimamiwa moja kwa moja kwenye mfano wa huduma**. Unapowezesha utambulisho wa kusimamiwa wa mfumo, **wakala wa huduma** huundwa katika tenant ya Entra ID inayotegemewa na usajili ambapo rasilimali iko. Wakati **rasilimali** inafutwa, Azure kiotomatiki **inafuta** **utambulisho** kwa ajili yako.
|
||||
- **Iliyotolewa na Mtumiaji**. Pia inawezekana kwa watumiaji kuunda utambulisho wa kusimamiwa. Hizi zinaundwa ndani ya kundi la rasilimali ndani ya usajili na wakala wa huduma utaundwa katika EntraID inayotegemewa na usajili. Kisha, unaweza kupeana utambulisho wa kusimamiwa kwa mfano mmoja au **zaidi** ya huduma ya Azure (rasilimali nyingi). Kwa utambulisho wa kusimamiwa wa mtumiaji, **utambulisho unasimamiwa tofauti na rasilimali zinazoutumia**.
|
||||
- **Iliyotolewa na mfumo**. Huduma zingine za Azure zinakuruhusu **kuwezesha utambulisho wa kusimamiwa moja kwa moja kwenye mfano wa huduma**. Unapowezesha utambulisho wa kusimamiwa wa mfumo, **wakala wa huduma** huundwa katika tenant ya Entra ID inayotegemewa na usajili ambapo rasilimali iko. Wakati **rasilimali** inafutwa, Azure kiotomatiki **inafuta** **utambulisho** kwa ajili yako.
|
||||
- **Iliyotolewa na mtumiaji**. Pia inawezekana kwa watumiaji kuunda utambulisho wa kusimamiwa. Hizi zinaundwa ndani ya kundi la rasilimali ndani ya usajili na wakala wa huduma utaundwa katika EntraID inayotegemewa na usajili. Kisha, unaweza kupeana utambulisho wa kusimamiwa kwa mfano mmoja au **zaidi** ya huduma ya Azure (rasilimali nyingi). Kwa utambulisho wa kusimamiwa wa mtumiaji, **utambulisho unasimamiwa tofauti na rasilimali zinazoutumia**.
|
||||
|
||||
Utambulisho wa Kusimamiwa **hauzuii akiba ya milele** (kama nenosiri au vyeti) kupata kama wakala wa huduma ulioambatanishwa nayo.
|
||||
Utambulisho wa Kusimamiwa **hauzali akiba ya milele** (kama nenosiri au vyeti) kufikia kama wakala wa huduma ulioambatanishwa nayo.
|
||||
|
||||
### Programu za Kijamii
|
||||
|
||||
Ni **meza tu katika Azure kuchuja wakala wa huduma** na kuangalia programu ambazo zimepewa.
|
||||
Ni tu **meza katika Azure kuchuja wakala wa huduma** na kuangalia programu ambazo zimepewa.
|
||||
|
||||
**Sio aina nyingine ya "programu",** hakuna kitu katika Azure ambacho ni "Programu ya Kijamii", ni tu muundo wa kuangalia Wakala wa huduma, Usajili wa Programu na utambulisho wa kusimamiwa.
|
||||
**Sio aina nyingine ya "programu",** hakuna kitu katika Azure ambacho ni "Programu ya Kijamii", ni tu muundo wa kuangalia Wakala wa huduma, Usajili wa programu na utambulisho wa kusimamiwa.
|
||||
|
||||
### Vitengo vya Utawala
|
||||
|
||||
@@ -207,7 +207,7 @@ Mfano:
|
||||
- Jaza AUs na watumiaji kutoka maeneo yao.
|
||||
- AUs zinaweza **kuhifadhi watumiaji, makundi, au vifaa**
|
||||
- AUs zinasaidia **uanachama wa kijamii**
|
||||
- AUs **haziwezi kuhifadhi AUs**
|
||||
- AUs **haziwezi kuwa na AUs**
|
||||
- Peana Majukumu ya Usimamizi:
|
||||
- Peana jukumu la "Msimamizi wa Watumiaji" kwa wafanyakazi wa IT wa kikanda, lililowekwa kwenye AU ya eneo lao.
|
||||
- Matokeo: Wasimamizi wa IT wa kikanda wanaweza kusimamia akaunti za watumiaji ndani ya eneo lao bila kuathiri maeneo mengine.
|
||||
@@ -216,7 +216,7 @@ Mfano:
|
||||
|
||||
- Ili kusimamia Entra ID kuna **majukumu yaliyojengwa ndani** ambayo yanaweza kutolewa kwa wakala wa Entra ID kusimamia Entra ID
|
||||
- Angalia majukumu katika [https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference](https://learn.microsoft.com/en-us/entra/identity/role-based-access-control/permissions-reference)
|
||||
- Jukumu lenye mamlaka zaidi ni **Msimamizi wa Ulimwengu**
|
||||
- Jukumu lenye mamlaka zaidi ni **Msimamizi wa Global**
|
||||
- Katika Maelezo ya jukumu inawezekana kuona **ruhusa zake za kina**
|
||||
|
||||
## Majukumu & Ruhusa
|
||||
@@ -225,35 +225,35 @@ Mfano:
|
||||
|
||||
**Majukumu** yaliyotolewa kwa **makundi** yanarithiwa na **wanachama wote** wa kundi.
|
||||
|
||||
Kulingana na kikomo ambacho jukumu lilitolewa, **jukumu** linaweza **kurithiwa** kwa **rasilimali nyingine** ndani ya kikomo. Kwa mfano, ikiwa mtumiaji A ana **jukumu kwenye usajili**, atakuwa na **jukumu hilo kwenye makundi yote ya rasilimali** ndani ya usajili na kwenye **rasilimali zote** ndani ya kundi la rasilimali.
|
||||
Kulingana na kikomo ambacho jukumu lilitolewa, **jukumu** linaweza **kurithiwa** kwa **rasilimali nyingine** ndani ya kontena la kikomo. Kwa mfano, ikiwa mtumiaji A ana **jukumu kwenye usajili**, atakuwa na **jukumu hilo kwenye makundi yote ya rasilimali** ndani ya usajili na kwenye **rasilimali zote** ndani ya kundi la rasilimali.
|
||||
|
||||
### **Majukumu ya K klasiki**
|
||||
### **Majukumu ya Klasiki**
|
||||
|
||||
| **Mmiliki** | <ul><li>Ufikiaji kamili kwa rasilimali zote</li><li>Anaweza kusimamia ufikiaji kwa watumiaji wengine</li></ul> | Aina zote za rasilimali |
|
||||
| ----------------------------- | ---------------------------------------------------------------------------------------- | ------------------ |
|
||||
| **Mchangiaji** | <ul><li>Ufikiaji kamili kwa rasilimali zote</li><li>Haiwezi kusimamia ufikiaji</li></ul> | Aina zote za rasilimali |
|
||||
| **Msomaji** | • Ona rasilimali zote | Aina zote za rasilimali |
|
||||
| **Msimamizi wa Ufikiaji wa Watumiaji** | <ul><li>Ona rasilimali zote</li><li>Anaweza kusimamia ufikiaji kwa watumiaji wengine</li></ul> | Aina zote za rasilimali |
|
||||
| **Msimamizi wa Ufikiaji wa Mtumiaji** | <ul><li>Ona rasilimali zote</li><li>Anaweza kusimamia ufikiaji kwa watumiaji wengine</li></ul> | Aina zote za rasilimali |
|
||||
|
||||
### Majukumu Yaliyojengwa Ndani
|
||||
|
||||
[Kutoka kwenye hati: ](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles)[Udhibiti wa ufikiaji wa Azure unaotegemea jukumu (Azure RBAC)](https://learn.microsoft.com/en-us/azure/role-based-access-control/overview) una majukumu kadhaa ya Azure **yaliyojengwa ndani** ambayo unaweza **kutoa** kwa **watumiaji, makundi, wakala wa huduma, na utambulisho wa kusimamiwa**. Uteuzi wa jukumu ndio njia unayodhibiti **ufikiaji wa rasilimali za Azure**. Ikiwa majukumu yaliyojengwa ndani hayakidhi mahitaji maalum ya shirika lako, unaweza kuunda [**majukumu ya kawaida ya Azure**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)**.**
|
||||
[Kutoka kwenye hati: ](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles)[Udhibiti wa ufikiaji wa Azure unaotegemea jukumu (Azure RBAC)](https://learn.microsoft.com/en-us/azure/role-based-access-control/overview) una majukumu kadhaa ya Azure **yaliyojengwa ndani** ambayo unaweza **kutoa** kwa **watumiaji, makundi, wakala wa huduma, na utambulisho wa kusimamiwa**. Utoaji wa jukumu ndio njia unayodhibiti **ufikiaji wa rasilimali za Azure**. Ikiwa majukumu yaliyojengwa ndani hayakidhi mahitaji maalum ya shirika lako, unaweza kuunda [**majukumu ya kawaida ya Azure**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)**.**
|
||||
|
||||
**Majukumu Yaliyojengwa Ndani** yanatumika tu kwa **rasilimali** ambazo zime **kusudiwa**, kwa mfano angalia mifano hii 2 ya **Majukumu Yaliyojengwa Ndani** juu ya rasilimali za **Kuhifadhi**:
|
||||
|
||||
| [Msomaji wa Nakala ya Disk](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Inatoa ruhusa kwa vault ya nakala kufanya nakala ya disk. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
|
||||
| [Msomaji wa Nakala ya Disk](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#disk-backup-reader) | Inatoa ruhusa kwa vault ya nakala ili kufanya nakala ya disk. | 3e5e47e6-65f7-47ef-90b5-e5dd4d455f24 |
|
||||
| ----------------------------------------------------------------------------------------------------------------------------------------- | ---------------------------------------------------------------- | ------------------------------------ |
|
||||
| [Kuingia kwa Mtumiaji wa Mashine ya Virtual](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Ona Mashine za Virtual kwenye lango na kuingia kama mtumiaji wa kawaida. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
|
||||
| [Mtumiaji wa Kuingia kwa Mashine ya Virtual](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles#virtual-machine-user-login) | Ona Mashine za Virtual kwenye lango na kuingia kama mtumiaji wa kawaida. | fb879df8-f326-4884-b1cf-06f3ad86be52 |
|
||||
|
||||
Majukumu haya yanaweza **pia kutolewa juu ya vyombo vya mantiki** (kama vile makundi ya usimamizi, usajili na makundi ya rasilimali) na wakala walioathiriwa watakuwa nayo **juu ya rasilimali ndani ya vyombo hivyo**.
|
||||
Majukumu haya yanaweza **pia kutolewa juu ya kontena za mantiki** (kama vile makundi ya usimamizi, usajili na makundi ya rasilimali) na wakala walioathiriwa watakuwa nao **juu ya rasilimali ndani ya kontena hizo**.
|
||||
|
||||
- Pata hapa orodha ya [**majukumu yote ya Azure yaliyojengwa ndani**](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles).
|
||||
- Pata hapa orodha ya [**majukumu yote ya Entra ID yaliyojengwa ndani**](https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference).
|
||||
- Pata hapa orodha yenye [**majukumu yote ya Azure yaliyojengwa ndani**](https://learn.microsoft.com/en-us/azure/role-based-access-control/built-in-roles).
|
||||
- Pata hapa orodha yenye [**majukumu yote ya Entra ID yaliyojengwa ndani**](https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference).
|
||||
|
||||
### Majukumu ya Kawaida
|
||||
|
||||
- Pia inawezekana kuunda [**majukumu ya kawaida**](https://learn.microsoft.com/en-us/azure/role-based-access-control/custom-roles)
|
||||
- Yanaundwa ndani ya kikomo, ingawa jukumu linaweza kuwa katika maeneo kadhaa (makundi ya usimamizi, usajili na makundi ya rasilimali)
|
||||
- Yanaundwa ndani ya kikomo, ingawa jukumu linaweza kuwa katika viwango kadhaa (makundi ya usimamizi, usajili na makundi ya rasilimali)
|
||||
- Inawezekana kusanidi ruhusa zote za kina ambazo jukumu la kawaida litakuwa nazo
|
||||
- Inawezekana kuondoa ruhusa
|
||||
- Wakala mwenye ruhusa iliyondolewa hataweza kuitumia hata kama ruhusa hiyo inatolewa mahali pengine
|
||||
@@ -294,8 +294,8 @@ Mfano wa ruhusa JSON kwa jukumu la kawaida:
|
||||
```
|
||||
### Permissions order
|
||||
|
||||
- Ili **principal kuwa na ufikiaji wa rasilimali** anahitaji jukumu lililo wazi kumwagiwa (kwa njia yoyote) **linalompa ruhusa hiyo**.
|
||||
- Jukumu la wazi la **kukataa linachukua kipaumbele** juu ya jukumu linalotoa ruhusa.
|
||||
- Ili **mwanzo kuwa na ufikiaji wa rasilimali**, anahitaji jukumu lililo wazi kumwidhinisha (kwa njia yoyote) **lililompa ruhusa hiyo**.
|
||||
- Uteuzi wa **kukataa jukumu una kipaumbele** juu ya jukumu linalotoa ruhusa.
|
||||
|
||||
<figure><img src="../../../images/image (191).png" alt=""><figcaption><p><a href="https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10">https://link.springer.com/chapter/10.1007/978-1-4842-7325-8_10</a></p></figcaption></figure>
|
||||
|
||||
@@ -304,29 +304,29 @@ Mfano wa ruhusa JSON kwa jukumu la kawaida:
|
||||
Global Administrator ni jukumu kutoka Entra ID linalotoa **udhibiti kamili juu ya mpangilio wa Entra ID**. Hata hivyo, halitoi ruhusa yoyote juu ya rasilimali za Azure kwa default.
|
||||
|
||||
Watumiaji wenye jukumu la Global Administrator wana uwezo wa '**kuinua' hadi Jukumu la Msimamizi wa Ufikiaji wa Mtumiaji wa Azure katika Kundi la Usimamizi wa Mizizi**. Hivyo, Wasimamizi wa Global wanaweza kusimamia ufikiaji katika **mikataba yote ya Azure na makundi ya usimamizi.**\
|
||||
Kuinua hii kunaweza kufanywa mwishoni mwa ukurasa: [https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/\~/Properties](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties)
|
||||
Kuinua hii inaweza kufanywa mwishoni mwa ukurasa: [https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/\~/Properties](https://portal.azure.com/#view/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/~/Properties)
|
||||
|
||||
<figure><img src="../../../images/image (349).png" alt=""><figcaption></figcaption></figure>
|
||||
|
||||
### Azure Policies
|
||||
|
||||
**Azure Policies** ni sheria zinazosaidia mashirika kuhakikisha rasilimali zao zinakidhi viwango maalum na mahitaji ya ufuatiliaji. Zinakuwezesha **kulazimisha au kukagua mipangilio kwenye rasilimali katika Azure**. Kwa mfano, unaweza kuzuia uundaji wa mashine za virtual katika eneo lisiloidhinishwa au kuhakikisha kwamba rasilimali zote zina lebo maalum za kufuatilia.
|
||||
**Azure Policies** ni sheria zinazosaidia mashirika kuhakikisha rasilimali zao zinakidhi viwango maalum na mahitaji ya kufuata. Zinakuwezesha **kulazimisha au kukagua mipangilio kwenye rasilimali za Azure**. Kwa mfano, unaweza kuzuia uundaji wa mashine za virtual katika eneo lisiloidhinishwa au kuhakikisha kwamba rasilimali zote zina lebo maalum za kufuatilia.
|
||||
|
||||
Azure Policies ni **za awali**: zinaweza kuzuia rasilimali zisizokidhi viwango zisizoundwa au kubadilishwa. Pia ni **za majibu**, zikikuruhusu kupata na kurekebisha rasilimali zisizokidhi viwango zilizopo.
|
||||
Azure Policies ni **za awali**: zinaweza kuzuia rasilimali zisizofuata sheria zisizoundwa au kubadilishwa. Pia ni **za majibu**, zikikuruhusu kupata na kurekebisha rasilimali zisizofuata sheria zilizopo.
|
||||
|
||||
#### **Key Concepts**
|
||||
|
||||
1. **Policy Definition**: Sheria, iliyoandikwa kwa JSON, inayobainisha kinachoruhusiwa au kinachohitajika.
|
||||
1. **Policy Definition**: Sheria, iliyoandikwa kwa JSON, inayobainisha kile kinachoruhusiwa au kinachohitajika.
|
||||
2. **Policy Assignment**: Utumiaji wa sera kwa kiwango maalum (mfano, usajili, kundi la rasilimali).
|
||||
3. **Initiatives**: Mkusanyiko wa sera zilizopangwa pamoja kwa ajili ya utekelezaji mpana.
|
||||
4. **Effect**: Inabainisha kinachotokea wakati sera inapoanzishwa (mfano, "Deny," "Audit," au "Append").
|
||||
|
||||
**Mifano kadhaa:**
|
||||
|
||||
1. **Kuhakikisha Ufuatiliaji na Mikoa Maalum ya Azure**: Sera hii inahakikisha kwamba rasilimali zote zinapelekwa katika mikoa maalum ya Azure. Kwa mfano, kampuni inaweza kutaka kuhakikisha kwamba data yake yote inahifadhiwa barani Ulaya kwa ajili ya ufuatiliaji wa GDPR.
|
||||
1. **Kuhakikisha Ufuataji wa Mikoa Maalum ya Azure**: Sera hii inahakikisha kwamba rasilimali zote zinapelekwa katika mikoa maalum ya Azure. Kwa mfano, kampuni inaweza kutaka kuhakikisha kwamba data yake yote inahifadhiwa barani Ulaya kwa ajili ya ufuataji wa GDPR.
|
||||
2. **Kulazimisha Viwango vya Ujumuishaji**: Sera zinaweza kulazimisha kanuni za majina kwa rasilimali za Azure. Hii inasaidia katika kuandaa na kutambua kwa urahisi rasilimali kulingana na majina yao, ambayo ni muhimu katika mazingira makubwa.
|
||||
3. **Kuzuia Aina Fulani za Rasilimali**: Sera hii inaweza kuzuia uundaji wa aina fulani za rasilimali. Kwa mfano, sera inaweza kuwekwa kuzuia uundaji wa aina za rasilimali zenye gharama kubwa, kama vile ukubwa fulani wa VM, ili kudhibiti gharama.
|
||||
4. **Kulazimisha Sera za Uwekaji Lebo**: Lebo ni jozi za funguo-thamani zinazohusishwa na rasilimali za Azure zinazotumika kwa usimamizi wa rasilimali. Sera zinaweza kulazimisha kwamba lebo fulani lazima ziwepo, au ziwe na thamani maalum, kwa rasilimali zote. Hii ni muhimu kwa ufuatiliaji wa gharama, umiliki, au upangaji wa rasilimali.
|
||||
4. **Kulazimisha Sera za Uwekaji Lebo**: Lebo ni jozi za funguo-thamani zinazohusishwa na rasilimali za Azure zinazotumika kwa usimamizi wa rasilimali. Sera zinaweza kulazimisha kwamba lebo fulani lazima ziwepo, au ziwe na thamani maalum, kwa rasilimali zote. Hii ni muhimu kwa kufuatilia gharama, umiliki, au upangaji wa rasilimali.
|
||||
5. **Kuzuia Ufikiaji wa Umma kwa Rasilimali**: Sera zinaweza kulazimisha kwamba rasilimali fulani, kama akaunti za hifadhi au hifadhidata, hazina maeneo ya umma, kuhakikisha kwamba zinapatikana tu ndani ya mtandao wa shirika.
|
||||
6. **Kuweka Mipangilio ya Usalama Kiotomatiki**: Sera zinaweza kutumika kuweka mipangilio ya usalama kiotomatiki kwa rasilimali, kama vile kuweka kundi maalum la usalama wa mtandao kwa VMs zote au kuhakikisha kwamba akaunti zote za hifadhi zinatumia usimbaji.
|
||||
|
||||
@@ -360,7 +360,7 @@ Muundo huu wa hiyerarhii unaruhusu usimamizi mzuri na wa kupanuka wa ruhusa za u
|
||||
|
||||
### Azure RBAC vs ABAC
|
||||
|
||||
**RBAC** (udhibiti wa ufikiaji kulingana na majukumu) ni kile tulichokiona tayari katika sehemu zilizopita: **Kutoa jukumu kwa msingi ili kumpa ufikiaji** juu ya rasilimali.\
|
||||
**RBAC** (udhibiti wa ufikiaji kulingana na jukumu) ni kile tulichokiona tayari katika sehemu zilizopita: **Kutoa jukumu kwa mtu ili kumpa ufikiaji** juu ya rasilimali.\
|
||||
Hata hivyo, katika baadhi ya matukio unaweza kutaka kutoa **usimamizi wa ufikiaji wa kiwango cha juu zaidi** au **rahisisha** usimamizi wa **mamia** ya **mikataba ya jukumu**.
|
||||
|
||||
Azure **ABAC** (udhibiti wa ufikiaji kulingana na sifa) inajengwa juu ya Azure RBAC kwa kuongeza **masharti ya ugawaji wa jukumu kulingana na sifa** katika muktadha wa vitendo maalum. _Sharti la ugawaji wa jukumu_ ni **ukaguzi wa ziada ambao unaweza kuongeza kwa hiari kwenye ugawaji wako wa jukumu** ili kutoa udhibiti wa ufikiaji wa kiwango cha juu zaidi. Sharti linafanya uchujaji wa ruhusa zinazotolewa kama sehemu ya ufafanuzi wa jukumu na ugawaji wa jukumu. Kwa mfano, unaweza **kuongeza sharti linalohitaji kitu kuwa na lebo maalum ili kusoma kitu hicho**.\
|
||||
|
||||
Reference in New Issue
Block a user