Subskrypcje, tenanty i Entra ID (RBAC, role)
Zanim cokolwiek wdrożysz w Azure, musisz rozumieć hierarchię tożsamości i zasobów. To fundament, na którym opiera się każda decyzja o dostępie, budżecie i bezpieczeństwie — a także to, co ZEUS odczytuje przez swój konektor.
Hierarchia: od tenanta do zasobu
Azure układa się w cztery poziomy, od góry do dołu:
| Poziom | Co to jest | Przykład |
|---|---|---|
| Tenant (Entra ID) | Granica tożsamości i katalog użytkowników | professnet.onmicrosoft.com |
| Management Group | Grupa subskrypcji do wspólnej polityki | mg-prod, mg-sandbox |
| Subskrypcja | Granica rozliczeń i limitów (quota) | sub-zeus-prod |
| Resource Group | Logiczny kontener zasobów o wspólnym cyklu życia | rg-zeus-app-weu |
Jeden tenant Entra ID może obejmować wiele subskrypcji. Subskrypcja zawsze należy do dokładnie jednego tenanta.
Entra ID — tożsamość, nie zasoby
Microsoft Entra ID (dawniej Azure AD) to katalog tożsamości: użytkownicy, grupy, service principals (tożsamości aplikacji) i managed identities. To tutaj logują się ludzie i aplikacje. Uwaga: role Entra ID (np. Global Administrator) to coś innego niż role RBAC na zasobach — to dwa rozłączne systemy uprawnień.
RBAC — kto może co i gdzie
Azure RBAC opiera się na trójce: security principal + role definition
- scope. Przypisanie roli (role assignment) wiąże te trzy elementy. Najważniejsze role wbudowane:
- Owner — pełna kontrola, w tym nadawanie uprawnień innym.
- Contributor — zarządza zasobami, ale nie nadaje dostępu.
- Reader — tylko odczyt. To poziom, którego potrzebuje ZEUS.
Listowanie i nadawanie ról przez Azure CLI:
# Sprawdź swoje przypisania ról w subskrypcji
az role assignment list --assignee user@professnet.pl -o table
# Nadaj rolę Reader service principalowi na poziomie subskrypcji
az role assignment create \
--assignee "00000000-0000-0000-0000-000000000000" \
--role "Reader" \
--scope "/subscriptions/<sub-id>"
Wskazówka: zasada najmniejszych uprawnień (least privilege) — nadawaj rolę na najwęższym możliwym scope. Reader na resource group jest lepszy niż Owner na całej subskrypcji.
Jak to widzi ZEUS
ZEUS łączy się z Azure przez Service Principal z rolą Reader na poziomie
management group lub subskrypcji — wyłącznie do odczytu. Dzięki temu może
zinwentaryzować całą hierarchię (tenant → subskrypcje → resource groups →
zasoby) i zmapować, kto ma jakie role RBAC, bez ryzyka modyfikacji środowiska.
Dodatkowo przez Microsoft Graph odczytuje konfigurację Entra ID (np. konta
z rolami uprzywilejowanymi, MFA). Szczegóły konektora omawiamy w lekcji 07.
W kolejnej lekcji zejdziemy poziom niżej — do sieci: VNet, NSG, Private Link i Bastion.