En este artículo, analizaremos el segundo aspecto de la seguridad de Azure SQL como administración de acceso e identidad. En su centro de datos donde tiene una determinada configuración de políticas o controles de acceso a los métodos del sistema operativo, tiene que haber una manera de dar permiso a las personas para hacer varias cosas en el ecosistema de Azure. Se llama Azure Role-Based Access Control o RBAC.
Todas las operaciones de Azure que realiza para implementar varios recursos usan RBAC. Es un sistema basado en permisos específicos de suscripciones, personas que tienen suscripciones basadas en varios roles. Por ejemplo, tiene un propietario de una suscripción o algo llamado colaborador, que tiene acceso y puede dar permiso para implementar recursos de Azure como Azure SQL.
Azure RBAC es separable del sistema de seguridad de SQL al que otorgaría derechos de autenticación para iniciar sesión en un servidor SQL, pero le otorgará todos esos derechos y acceso para controlar y administrar los recursos de Azure. Conceptos de separación de funciones desde la implementación y administración de los recursos de Azure hasta el propio sistema de seguridad del servidor SQL. Puede usar Azure Portal o la CLI para revisar y usar políticas y sistemas de tipo RBAC.
Ahora, lo que Azure ha hecho por los usuarios es que, en lugar de crear roles específicos para el acceso a Azure SQL, Azure en realidad tiene algunos roles integrados. Puede ser colaborador de SQL Database, lo que le otorgará derechos específicos para implementar Azure SQL Database, o incluso colaborador de Managed Instance para implementar Managed Instance.
Azure incluso tiene un rol de administrador de seguridad de SQL donde no tiene acceso para implementar cosas en Azure para Azure SQL, pero tiene ciertos derechos para auditar el acceso a las cosas que suceden en el ecosistema de Azure para Azure SQL. Una vez que supera eso, obtiene el proceso tradicional y las capacidades que necesita para obtener información sobre la autorización para realizar la autenticación en Azure SQL. Esto le resultará muy familiar y seguirá siendo muy similar a SQL Server.
Lo primero en lo que debe pensar es en la autenticación de modo mixto. En SQL Server, tiene dos tipos de modos:
- Autenticación de Windows o Seguridad Integrada
- Autenticación SQL.
Porque el hecho de que requerimos un inicio de sesión de SQL Server como administrador y, de hecho, cuando implementa, obtiene lo que se llama un administrador del servidor es esa autenticación de SQL, tanto para el servidor lógico como para la Instancia administrada. El modo mixto es forzado, tiene que serlo. De hecho, este administrador del servidor SQL será una entidad de seguridad de nivel de servidor para su servidor lógico en Azure Database, y será miembro del rol de administrador del sistema para Instancia administrada.
Ahora, se está diciendo a sí mismo: «Eso es interesante, pero necesito la autenticación de Windows, necesito la autenticación de seguridad integrada», por lo que Azure proporciona y le permite realizar la autenticación de Azure Active Directory para los administradores y para los inicios de sesión. Este es el aspecto de Instancia administrada.
Instancia administrada de Azure:
- Administrador del servidor Azure AD
- Inicios de sesión de SQL o Azure AD
- Usuarios de la base de datos
- Compatibilidad con la base de datos contenida de SQL Server
Para la Instancia administrada, agrega ese inicio de sesión de SQL, que es un administrador del sistema, también puede crear un administrador del servidor de Azure Active Directory, y se convierte en miembro del rol de administrador del sistema. Además, puede crear inicios de sesión como lo hace hoy con SQL Server para inicios de sesión de SQL o inicios de sesión de Azure Active Directory como lo haría para inicios de sesión de Windows. A continuación, puede pasar por el proceso de creación de usuarios de la base de datos que se asignan a estos inicios de sesión. Azure incluso admite el concepto como en SQL Server de un sistema de base de datos contenido de SQL Server.
Base de datos Azure SQL:
- Administrador del servidor Azure AD
- Inicios de sesión de SQL
- roles de loginmanager y dbmanager para administradores de servidor limitados
- Usuarios de la base de datos
- Usuario de base de datos independiente, incluido Azure AD
Muy similar a MI, puede crear un administrador de servidor de Azure Active Directory que será como el administrador de SQL que creó al principio cuando implementó una base de datos de Azure SQL. También puede crear inicios de sesión de SQL, pero aquí es donde diverge un poco. Tenemos roles especiales de administrador de servidor en el servidor lógico que permitirán ciertos inicios de sesión para administrar inicios de sesión o para administrar bases de datos en su servidor lógico. Ahora, también podría crear usuarios de base de datos asignados a estos inicios de sesión en Azure Database, pero esto es lo que recomienda Azure; Azure tiene el concepto de usuarios de base de datos contenida sin crear una base de datos contenida, e incluso podrían ser usuarios de Azure Active Directory.
Instalar y configurar la autenticación y autorización
Ahora que ha visto cómo se ven las capacidades para la autenticación, es importante recordar que cuando implemente, elegirá su administrador de SQL Server. Pero después de la implementación, puede agregar un administrador de Azure Active Directory para MI o Azure Database. Luego, al igual que con SQL Server, los administradores que haya autenticado ahora pueden crear otros usuarios, otros inicios de sesión. Luego, una vez que haya terminado con ese proceso, otorga acceso a SQL Server dentro de este sistema como lo haría con un SQL Server, ya sea que esté usando roles, ya sea otorgando autenticación específica a objetos, inicios de sesión o usuarios.
Necesita Azure RBAC para obtener derechos para hacer cosas con Azure. Una vez que lo tenga y haya implementado los recursos, utilizará los métodos de autenticación de SQL Server, que son ligeramente diferentes en algunos casos con MI y la base de datos, incluida la autenticación de Azure Active Directory. Entonces se sentirá como un servidor SQL. Le otorgará ese acceso a los objetos que necesita según los roles, o según los inicios de sesión que haya creado, o según los usuarios de la base de datos.
Publicación traducida automáticamente
Artículo escrito por Akanksha_Rai y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA