Berechtigungsstruktur (Zugriffssteuerung)
In diesem Abschnitt wird die Berechtigungsstruktur innerhalb des Azure Portals erläutert. Auch hier wird von Rollen gesprochen, jedoch sind damit keine Rollen gemeint, die von den Rollenverwaltern der Einrichtung vergeben werden. Informationen zu den Rollen, die vom Rollenverwalter vor der Nutzung von Azure vergeben werden, können unter dem Beitrag Zugang für RWTH Einrichtungen gefunden werden.
Im Azure-Portal können verschiedene Rollen für die Nutzung innerhalb des Portals vergeben werden. Ein erklärendes Video zur Vergabe der Rollen finden Sie weiter unten (folgt noch). Es wird empfohlen, die folgenden drei Rollen zu nutzen:
- Besitzer: Gewährt Vollzugriff zum Verwalten aller Ressourcen, einschließlich der Möglichkeit, Rollen im Azure Portal zuzuweisen.
- Mitwirkender: Gewährt Vollzugriff zum Verwalten aller berechtigten Ressourcen, erlaubt jedoch nicht das Zuweisen von Rollen im Azure Portal.
- Leser: Ermöglicht das Anzeigen aller berechtigten Ressourcen, ohne Änderungen vornehmen zu können.
Bei der initialen Bereitstellung der Subscription werden mindestens zwei Personen mit der Rolle „Besitzer“ festgelegt. Diese Personen gelten als administrative Ansprechpersonen und sind verantwortlich für die Aktualität der Berechtigungen der am Projekt beteiligten Personen.
Personen mit der Rolle „Besitzer“ sind zudem für die Kontrolle der Kosten innerhalb der Subscription verantwortlich. Sie können auch zusätzlichen Personen (z.B. aus der Buchhaltung) entsprechende Berechtigungen zur Kostenkontrolle gewähren. Die Einrichtung trägt allein die Verantwortung über die Kostenkontrolle der jeweiligen Subscription; dies wird nicht zentral über das IT Center geregelt.
Innerhalb der Projektentwicklung können die Rollen eigenverantwortlich anderweitig vergeben werden. Sollte ein „Besitzer“ der Subscription in Zukunft nicht mehr an der RWTH oder dem Projekt beteiligt sein, so wird empfohlen, weitsichtig einen weiteren „Besitzer“ zu der Subscription hinzuzufügen. Wenn keine Person mit der Rolle „Besitzer“ mehr vorhanden ist, ist es nicht möglich, weitere Rollen (und somit Berechtigungen) auf die Subscription zu vergeben. In diesem Fall wenden Sie sich bitte an das IT Center servicedesk@itc.rwth-aachen.de.
Berechtigungsvererbung
Die Berechtigungsvergabe wird nur in eine Richtung vererbt. Wenn Berechtigungen auf einer höheren Ebene vergeben werden, werden sie automatisch auf die darunterliegenden Ebenen vererbt. Umgekehrt gilt dies jedoch nicht. Die Reihenfolge der Ebenen ist:
- Höchste Ebene: Subscription
- Mittlere Ebene: Ressourcengruppen
- Niedrigste Ebene: Ressourcen
Beispielsweise bedeuten Berechtigungen auf einer Subscription-Ebene, dass der Benutzer auch Berechtigungen auf alle unterliegenden Ressourcengruppen und deren Ressourcen hat. Wenn jedoch Berechtigungen auf einer Ressourcengruppe vergeben werden, erhält der Benutzer keine Berechtigungen auf Subscription-Ebene oder auf andere Ressourcengruppen.
Personen mit der Rolle „Besitzer“ haben vollumfängliche Berechtigungen und können auf den jeweiligen entsprechenden Ebenen spezifische Berechtigungen vergeben—sei es für eine Ressource, eine Ressourcengruppe oder die Subscription selbst. Es ist möglich, dass eine Person spezifische Berechtigungen nur auf eine bestimmte Ressource erhält, ohne Zugriff auf die darüberliegende Ressourcengruppe oder Subscription zu haben. Diese Berechtigungen sind individuell einstellbar.
Innerhalb der Subscription ist es Aufgabe der jeweiligen Einrichtung, die Berechtigungen auf den unterschiedlichen Ebenen zu überprüfen und sicherzustellen, dass alle Berechtigungen korrekt vergeben sind.
Bei weiteren Fragen oder Anliegen wenden Sie sich bitte an das IT Center.