Azure最小權限原則 Least privilege

Azure最小權限附圖說明:Azure RBAC 架構圖,顯示以範圍(Scope)與角色(Role)為軸心的最小權限存取控制結構。範圍由高至低分四層:管理群組、訂用帳戶、資源群組、資源;角色分五類:讀取者、特定資源、自訂、貢獻者、擁有者。依 Azure 最小權限原則,在指定範圍層級內授予最低必要角色,實現職責分離與存取安全。Azure RBAC 架構圖,顯示以範圍(Scope)與角色(Role)為軸心的最小權限存取控制結構。範圍由高至低分四層:管理群組、訂用帳戶、資源群組、資源;角色分五類:讀取者、特定資源、自訂、貢獻者、擁有者。依 Azure 最小權限原則,在指定範圍層級內授予最低必要角色,實現職責分離與存取安全。

  當超過帳號需要使用的權限(privilege exceed),這很可能造成使用者有過多的權限而造成誤觸、誤啟用、誤刪等事件。Azure建議所有攸關權限的設定都應給予最小權限[1].以避免上述過多權限所造成的問題, 可以透過Azure RBAC來實現。

關於多重要素驗證資訊請參考下方連結。

  [1]only-grant-the-access-users-need

 

服務帳號 Service Account

 

Microsoft Entra ID 原生存在三種類型的服務帳戶:

  1. 受控識別 (Managed identities)
  2. 服務主體 (service principals)
  3. 用戶帳戶作為服務帳戶使用 (user accounts employed as service accounts)

服務帳戶是一種特殊類型的帳戶,旨在代表非人類實體,例如應用程式、API 或其他服務。這些實體在服務帳戶提供的安全性運作. 針對在 Azure 中的服務,建議您盡可能使用受控識別,如果不是,則使用服務主體(需要key)。 受控識別無法用於Azure 外部的服務。 在此情況下,建議使用服務主體。(上圖為使用情境判別 )

 

常見問題 FAQ

什麼是 Azure 最小權限原則 & 服務帳號?

Azure 最小權限原則(Principle of Least Privilege)是指僅授與使用者、應用程式或服務完成特定工作所需的最低權限,避免因權限過大而導致誤觸、誤刪或遭惡意利用。Azure 環境通常透過 RBAC 實作權限管理,並依角色與範圍(訂用帳戶、資源群組、單一資源)精細控制存取層級。服務帳號或服務主體同樣應遵循最小權限原則,僅授與執行特定任務所需的角色與範圍,並定期檢視與移除不再需要的權限。

如何在 Azure 上設定 最小權限原則 & 服務帳號?

在 Azure 入口網站中,可透過 Microsoft Entra ID 的角色與系統管理員區域管理目錄層級角色指派;透過訂用帳戶或資源群組的存取控制(IAM)管理特定範圍的權限。服務帳號的權限應依實際使用情境選擇對應的內建角色,或建立自訂角色以精確限制可執行的操作,避免直接套用 Owner 或 Contributor 等過於廣泛的角色。建議定期使用 Access Review 檢視現有權限指派,移除閒置或過期的授權。

使用 Azure 最小權限原則 & 服務帳號 需要哪些先決條件?

需具備有效的 Azure 訂用帳戶。設定 RBAC 角色指派通常需要目標範圍的 User Access Administrator 或 Owner 權限;建立與管理服務帳號、應用程式或服務主體,則需要 Microsoft Entra ID 的對應管理權限。建議由具備足夠權限的系統管理員統一規劃角色指派策略,再依部門或專案需求逐一配置,避免權限蔓延(Permission Sprawl)。

延伸閱讀:Azure 導入教學怎麼做?如何避免帳號、權限、費用失控?