说到Azure已经是一个大众的话题了,对于Azure上的应用功能相信大家都已经很了解了,对于Azure平台上的操作性相对比较简单,但是对于一个Azure平台管理员日常维护来说,还是有一定挑战性的,为什么这么说呢,因为Azure平台既为所谓的云平台,对于很多服务性的东西还是需要管理员经常维护的,比如对于Azure服务器上的部署应用做监控等,具体就不多说了,今天我们主要谈谈Azure平台上的安全性问题,说到安全性问题,对于企业来说是一个敏感的话题,如果安全做不好会直接影响企业的信息安全,所以我们会在今天的文章中介绍一个敏感话题---azure平台的安全性问题。
Azure为公有云平台,如果对授权的Azure平台做管理的话,需要创建对应的账户,对于azure平台来说申请创建的时候会根据提交的信息生成一个全局管理员,该管理员会对应一个订阅ID,所谓的订阅ID为Azure服务的唯一标示,所以对于azure的订阅我们需要很好的管理。Azure默认只有一个管理员,如果要对用户指派权限的话,需要创建对应的用户及分配订阅ID,分配后订阅id的用户作为一个委派管理员角色,可以对Azure上的服务做相应的修改。所以权限的委派控制相当重要。我们今天就介绍一个实例。由于工作需要需要给管理员意外的用户授权的话,需要添加一个用户,然后分配订阅等权限,该用户可以将azure平台上的订阅文件下载到本地,然后安装windows azure powershell来对azure平台上的服务进行修改,那如果后期对委派的管理用户做权限回收的话,如何回收操作呢,一般我们只会想到对于分配订阅的用户删除账户等操作,但是删除用户后,无法对用户下载订阅的订阅做一并注销操作,所以删除用户对应的权限不是完全删除的,我们需要删除委派管理员下载订阅后所生成的管理证书。
当然,对于windows azure的权限分配来说,一般我们会使用添加本地域,然后将本地域下指定OU下的用户同步到windows azure上。然后对同步到azure上的用户进行授权登陆azure 管理中心,但是最终的效果是一样的,删除委派用户的权限后,用户的订阅不会一并删除,除非过了证书有效期。如果要彻底删除当初委派管理员操作权限,我们需要删除账户后,一并将下载订阅后生成的管理证书删除,这样才能提高azure平台的安全性,具体见下:
azure管理中心---设置---管理证书;默认是没有的
该管理证书一般为,委派管理员或者其他管理员下载了azure 管理订阅后生成的一张带有指纹的管理证书
我们首先单击Active Directory---用户---添加用户
我们选择从组织内部新建用户:
gaowenlong@iternal.partner.onm51CTO提醒您,请勿滥发广告!
选择用户类型
新建的用户为用户创建一个随机密码
用户添加完成
接下来我们要将该用户指定为订阅管理员;
登陆azure管理中心----设置---管理员---添加
然后我们输入刚才新建的用户的管理地址,然后分配订阅
协助管理员添加完成
协助管理员添加完成后,协助管理员就可以登陆azure 的管理中心了,当然也可以使用azure powershell进行管理auzre 上应用服务;
如果使用azure powershell管理azure portal服务的话, 前提需要下载azure 管理中心订阅文件及azure powershell工具。
我们登陆windowsazure.cn首页----文档与资源----工具下载
我们选择下载相关操作系统对应的windows azure powershell
下载后,我们就可以开始安装powershell azure
开始下载windows azure powershell
现在才开始正式下载windows azure powershell;我们选择添加即可
添加后,我们单击安装
正式下载windows azure powershell
安装完成
我们可以看见该powershell的命名和系统自带的powershell有区别
接下来就是下载azure 管理订阅文件,我们可以从以下地址下载对应的管理订阅文件
https://manage.windowsazure.cn/publishsettings
单击过程中会提示输入账户及密码,然后验证后会提示下载
下载订阅文件
接下来我们查看管理证书状态;我们发现多了一张管理证书,该证书就是刚才用户下载azure订阅文件所对应的指纹信息
接下来我们将订阅文件导入到azure powershell中
首先通过以下名称查看当前pc是否导入过azurepublishscript
因为没有显示,所以没有
接下来我们需要将刚才下载的订阅文件导入到该powershell 下
|
1
|
Import-azurepublishSettingFile ‘d:xxxxx.publishseetingfiles’
|
导入完成
接下来我们查看当前的订阅文件
|
1
|
get-azuresubscript
|
注:如果查看已导入多个publishsettings文件的话,我们需要通过以下命令选择默认的订阅文件
|
1
|
get-azuresubscription -default
|
Select- Select-AzureSubscription -SubscriptionName "添加账户名" -Default
接下来我们可以通过简单的命令确认是否可以对azure上服务应用操作
|
1
|
get-azurevm
|
当然在azure powershell下可以使用很多命令,再次就不多介绍了。
接下来我们如果想对该用户取消委派权限及管理权限的话,需要对生成的管理证书做删除,不然即使在azure管理中心将用户委派的权限删除后,用户还可以继续使用之前下载的订阅文件进行对azure上的服务进行操作
所以我们再次需要对用户的委派管理员权限删除
委派管理员删除后,在AD下也删除创建的用户
然后我们删除管理证书
正在删除
删除完成
接下来我们在通过azure powershell看看是否可以管理azure上的服务应用
我们发现如果对azure相关的服务操作,会提示一些链接认证相关的错误
如果还想继续使用的话,需要管理员下载订阅文件,然后重新导入订阅到azure powershell中。
我们重新下载一个订阅文件
同时查看管理证书;每次下载所对应的指纹是不一样的
接下来我们换是导入订阅文件
导入完成
我们导入后发现还是无法使用get-azurevm等服务,这样意味着还是无法对azure的服务进行操作
接下来需要通过以下命令清除azure订阅文件
然后我们重新get-azuresubscript 后发现已经将之前导入的azuresubscript文件清除了
所以我们需要重新导入以下订阅文件
再次通过相关的命令对azure上的服务进行操作
本文转自 高文龙 51CTO博客,原文链接:http://blog.51cto.com/gaowenlong/1719022,如需转载请自行联系原作者
