• Buradasın

    Azure'da Erişim Kontrolü ve Rol Yönetimi Eğitimi

    youtube.com/watch?v=_Qt7B8nzcj4

    Yapay zekadan makale özeti

    • Bu video, bir eğitmen tarafından sunulan ve Esra adlı bir katılımcının da yer aldığı Azure'da erişim kontrolü ve rol yönetimi konulu kapsamlı bir eğitim içeriğidir.
    • Video, access control kavramının tanımıyla başlayıp, kimlik doğrulama ve yetkilendirme kavramlarını açıklamaktadır. Ardından Azure'da kullanılan rol tabanlı erişim kontrolü (RBAC) mekanizması detaylı olarak anlatılmakta, Microsoft tarafından önceden hazırlanmış roller (Owner, Contributor, Reader, Backup Operator vb.) tanıtılmaktadır. Eğitim, Azure portal üzerinden pratik uygulamalar yaparak yeni kullanıcı oluşturma, yetki atama ve scope'lar üzerinde rol atama işlemlerini adım adım göstermektedir.
    • Videoda ayrıca "Least Privilege" prensibi vurgulanmakta, rollerin nasıl oluşturulduğu, action ve data actions bölümlerinin ne anlama geldiği açıklanmaktadır. Subscription, resource grup ve storage gibi hiyerarşik yapıdaki Azure bileşenlerinde rol atamalarının nasıl yapılacağı, inheritance mekanizması ve farklı kaynaklarda (subscription, resource grup, storage) farklı roller atama örnekleri de sunulmaktadır.
    Erişim Kontrolü Kavramı
    • Erişim kontrolü, bir kaynağa erişimin kısıtlanması ve sadece kontrolden geçen tarafların gerekli kaynağa erişime sahip olması için oluşturulan mekanizmadır.
    • Her erişim kontrolü sistemi temelde kimlik doğrulama (authentication) ve yetkilendirme (authorization) adında iki ana komponente sahiptir.
    • Kimlik doğrulama, bir kişinin sisteme giriş yapabilmesi için gerekli olan doğrulama işlemidir; yetkilendirme ise belirli bir kaynağa erişim izni verilmesidir.
    02:20Active Directory'de Erişim Kontrolü
    • Active Directory (AD) üzerinde tüm kimlik doğrulama ve yetkilendirme işlemleri (access control) sağlanır.
    • AD üzerinde yaratılan hesaplar varsayılan olarak herhangi bir yetkiye sahip değildir, yetki için kullanıcıya AD üzerinde yetki atanması gerekir.
    • Rol tabanlı erişim kontrolü (RBAC) mekanizması, kullanıcıların yapabilmesini istediği işlemleri rol olarak tanımlayıp, bu rolleri belirli scope'lara (subscription, resource group veya kaynak) atanarak çalışır.
    04:24RBAC Uygulaması
    • Yeni bir kullanıcı oluşturulduğunda, varsayılan olarak AD üzerinde herhangi bir yetkisi yoktur ve sanal makine gibi işlemler yapamaz.
    • Active Directory'de roller, kullanıcıların belirli işlemleri yapabilmesi için tanımlanan yetkilerdir.
    • RBAC'de roller doğrudan kullanıcıya değil, kullanıcı ile rolü birleştirerek belirli bir scope (subscription, resource group veya kaynak) üzerinde atanır.
    09:40Azure'da Roller ve Önemi
    • Microsoft, Azure için birçok hazır rol sunmaktadır ve bu roller hemen hemen tüm ihtiyaçlar için hazırlanmıştır.
    • Hazır roller yeterli olmazsa, kullanıcılar yeni roller de yaratabilirler.
    • En önemli üç rol vardır: Owner, Contor ve Reader.
    10:28Önemli Rollerin Özellikleri
    • Owner rolü, kullanıcıya atanan scope'un tüm yetkilerini verir; yeni kaynaklar yaratabilir, silebilir ve diğer kullanıcılara rol atayabilir.
    • Contor rolü, Owner'a benzer yetkilere sahiptir ancak başka kullanıcılara rol atamaz veya mevcut rolleri silemez.
    • Reader rolü, kullanıcıya scope'un altındaki tüm kaynakları görebilme yetkisi verir ancak hiçbir şeyi değiştiremez.
    12:41Güvenlik ve Yetki Yönetimi
    • "Least Privilege" (En Az Yetki) prensibi, kullanıcılara sadece ihtiyaçları olan yetkileri vermek anlamına gelir.
    • Gereksiz yetkiler vermek güvenlik açığı oluşturabilir; örneğin, yanlışlıkla tüm kaynakları silme veya kötü niyetli kişilerin hesaba erişmesi durumunda.
    • Microsoft, farklı roller için detaylı izinler sunmaktadır; örneğin, Microsoft API Management için get reports, delete, write gibi farklı eylemler için ayrı yetkiler mevcuttur.
    18:15Rollerin Yapısı ve Tanımlanması
    • Roller JSON dosyası formatında tanımlanır ve en tepesinde ID, isim ve açıklama bilgileri bulunur.
    • "Assignable scope" özelliği, rolün hangi scope'lara atanabileceğini belirler; örneğin "/" değeri tüm scope'lara atama imkanı sağlar.
    • "Permissions" kısmında, rolün hangi eylemlere izin verdiğini belirten 13.172 farklı izin bulunur ve bunlar "wildcard" kullanılarak tek tek tanımlanmaya gerek kalmadan tüm eylemlere izin verilebilir.
    20:06Azure'da Roller ve Yetkiler
    • Azure'da roller, kullanıcıların belirli servislerde yapabileceği eylemleri belirler; örneğin "action" altında her şeyi yapabilir hale gelir.
    • "E-push" rolü, Microsoft'un konteyner registery servisine konteynırları push edebilecek yetki vermek için kullanılır.
    • "E-push" rolü, Microsoft konteyner registery resource provider'ın altındaki registerylerin üzerinde pul işlemini yapabilir ve konteynırları okuyabilir/gönderebilir.
    21:57Wild Card ve Exclude Kullanımı
    • "Actions" kısmında asterisk (*) kullanılarak, belirtilen servisin altındaki tüm yetkilere sahip olunabilir.
    • Wild card kullanıldığında her şey verilmiş olur, ancak bazı yetkileri exclude etmek için "not actions" kısmına yazılabilir.
    • "Not actions" kısmında, white card ile verilen yetkilerin altında yapılmasını istemedikleriniz listelenir.
    23:34Data Actions
    • "Actions" servisin yapabileceği eylemleri belirlerken, "data actions" servisin içerisindeki datayla ilgili aksiyonları belirler.
    • Örneğin, veritabanı yönetmek için "actions" kısmında veritabanı yaratma, silme gibi eylemler belirlenirken, veritabanındaki verilere erişim için "data actions" kullanılır.
    • "Data actions" kısmında da "not actions" kullanılarak wild card altında exclude etmek istediğiniz işlemler belirlenebilir.
    25:33Rol Atama ve Etkileri
    • Roller, access kontrol için kullanılır ve bir kullanıcıya atandığında belirli bir scope üzerinde geçerli olur.
    • "Owner" rolü, subscription altında her şeyi yapabilirken, "contributor" rolü sadece abonelikteki kaynakları görebilir ancak yaratamaz.
    • "Reader" rolü sadece abonelikteki kaynakları görebilirken, "contributor" rolü hem görebilir hem de yaratabilir.
    30:50Rol Atama ve Etki Süresi
    • Rol atandıktan sonra etkili olması için biraz zaman geçmesi gerekebilir, bu süre iki saniye ile on dakika arasında değişebilir.
    • Rol verilen kişi hemen işlem yapamıyorsa, biraz beklemek gerekebilir, hemen yanlış yapıldığını düşünmemek gerekir.
    • Rol ataması yapıldıktan sonra refresh edildiğinde, on beş saniye sonra hata vermeden resource grup oluşturulabilir.
    32:00Inheritance Mekanizması
    • Azure'da inheritance mekanizması mevcuttur; bir rol subscription bazında verildiğinde, bu subscription altındaki tüm resource grupları bu rolü inherit eder.
    • Subscription, en üst level management gruptur ve abonelik bazında yetki verildiğinde, bu yetkiler altındaki tüm resource gruplarına ve kaynaklara da verilir.
    • Yetkiler sadece subscription bazında değil, resource grup bazında da verilebilir.
    34:50Hiyerarşi ve Yetki Verme
    • Azure'da roller üç farklı skopete atanabilir: subscription, resource grup ve resource.
    • Hiyerarşinin en tepesinde subscription bulunur, altında resource gruplar, bu grupların içinde ise resource'lar yer alır.
    • Yukarıdan aşağıya doğru verilen roller, aşağıdaki kaynaklara ve resource gruplarına da geçer, bu nedenle sadece subscription vermek zorunda değil, altındaki resource grup ve resource'lara da yetki verilebilir.
    36:46Azure'da Rol Oluşturma
    • Microsoft, kullanıcılar için yüzlerce farklı rol oluşturmuş durumda ve hemen hemen her ihtiyaca yönelik roller mevcuttur.
    • Microsoft sürekli yeni servisler ve özellikler eklediği için, yeni rolleri kendiniz oluşturmak yerine mevcut rolleri kullanmanız önerilir.
    • Çok spesifik bir rol tanımlamak isterseniz veya kullanıcıya sadece ihtiyacı olduğu kadar yetki vermek istiyorsanız, kendi rolünüzü oluşturabilirsiniz.
    38:27Özel Rol Oluşturma Adımları
    • Özel rol oluşturmak için "Add Custom Role" seçeneğini kullanarak rolün ismini ve açıklamasını belirleyebilirsiniz.
    • Rolü oluşturmak için üç seçenek vardır: mevcut bir rolü temel alarak oluşturmak, sıfırdan başlamak veya JSON dosyası üzerinden import etmek.
    • Rol oluştururken hangi resource provider'ların ve servislerin izin verileceğini seçebilirsiniz.
    40:45Rol Kapsamı ve Atama
    • Rolün hangi scope'larda kullanılabilir olacağını belirleyebilirsiniz; bu scope'lar abonelikler, yönetim grupları veya resource grupları olabilir.
    • Oluşturulan rol, belirtilen scope'larda kullanılabilir hale gelir ve diğer scope'larda görünmez.
    • Rol oluşturulduktan sonra, bu rolü kullanıcılar, gruplar veya servis principlere atayabilirsiniz.
    43:48Access Kontrolü
    • Azure'da access kontrolü, roller aracılığıyla sağlanır.
    • Oluşturulan roller, kullanıcılar, gruplar ve servis principlere belirli scope'lar üzerinde atanabilir.
    • Bu şekilde, kullanıcıların erişim izinleri kontrol edilebilir ve güvenlik sağlanabilir.

    Yanıtı değerlendir

  • Yazeka sinir ağı makaleleri veya videoları özetliyor