Esercizio - Verificare il modello con privilegi minimi

Questo progetto guidato è costituito dagli esercizi seguenti:

• Creare utenti e gruppi
• Assegnare il ruolo RBAC all'ambito
• Verificare il modello con privilegi minimi

In questo esercizio si convalida il modello di accesso creato controllando le autorizzazioni con IAM, esaminando il audit trail e accedendo come nuovo utente per sperimentare il ruolo Lettore in prima persona. In questo caso si verifica che l'accesso con privilegi minimi funzioni esattamente come previsto.

Questo esercizio include le attività seguenti:

• Controllare l'accesso con IAM
• Esaminare l'assegnazione di ruolo nel registro attività
• Abilitare il passaggio di accesso temporaneo
• Generare un pass di accesso temporaneo per Alex
• Accedere come Alex e testare le autorizzazioni

Risultato: Si conferma che l'accesso in lettura è concesso e l'accesso in scrittura non è concesso.

Attività 1: Controllare l'accesso con IAM

Usare la funzionalità Verifica accesso per visualizzare in anteprima le autorizzazioni che il nuovo utente ha nell'ambito del gruppo di risorse. Questo potente strumento di convalida mostra esattamente quali azioni sono consentite e negate.

1. Nella barra di ricerca del portale cercare Gruppi di risorse e selezionare Gruppi di risorse.
2. Selezionare rg-gp-access-model dall'elenco.
3. Nel menu a sinistra selezionare Controllo di accesso (IAM).
4. Selezionare Verifica accesso.
5. Cercare e selezionare Alex Guided Project (l'account utente creato in precedenza).
6. Verificare che i risultati visualizzino un'assegnazione del ruolo Lettore, ereditato tramite il gruppo gp-rg-readers.

Attività 2: Esaminare l'assegnazione di ruolo nel log attività

Controllare il log attività per visualizzare il audit trail dell'assegnazione di ruolo creata. Ogni modifica di RBAC (controllo degli accessi in base al ruolo) in Azure viene registrata, il che è fondamentale per il controllo e la conformità della sicurezza.

1. Nella barra di ricerca del portale cercare Gruppi di risorse e selezionare Gruppi di risorse.
2. Selezionare rg-gp-access-model dall'elenco.
3. Nel menu a sinistra selezionare Log attività.
4. Cercare una voce con Nome operazione di Creazione assegnazione di ruolo.
5. Selezionare la voce per visualizzare i dettagli, tra cui chi ha apportato la modifica, quando è accaduto e quale ruolo è stato assegnato.
6. Si noti il campo Evento avviato da, che mostra il tuo account come la persona che ha creato l'assegnazione.

Attività 3: Abilitare il passaggio di accesso temporaneo

Abilitare il pass di accesso temporaneo (TAP) come metodo di autenticazione per il tenant. TAP è un passcode limitato al tempo che soddisfa i requisiti di autenticazione a più fattori, in modo che l'account di test possa accedere senza configurare un telefono o un'app di autenticazione.

1. Nella barra di ricerca del portale cercare Metodi di autenticazione e selezionare Metodi di autenticazione (in MICROSOFT Entra ID).
2. Selezionare Criteri.
3. Seleziona Pass di accesso temporaneo.
4. Impostare Abilita su Sì.
5. In Destinazione selezionare Tutti gli utenti o selezionare Aggiungi gruppi e aggiungere gp-rg-reader.
6. Seleziona Salva.

Attività 4: Generare un pass di accesso temporaneo per Alex

Crea un TAP per Alex. Questo passcode monouso consente ad Alex di accedere al portale senza configurare MFA.

1. Nella barra di ricerca del portale cercare Microsoft Entra ID e selezionare Microsoft Entra ID.
2. Nel menu a sinistra in Gestisci selezionare Utenti.
3. Selezionare Alex Guided Project (Progetto guidato Alex ) (fare clic sul nome e non sulla casella di controllo).
4. Nel menu a sinistra selezionare Metodi di autenticazione.
5. Selezionare + Aggiungi metodo di autenticazione.
6. Per Choose method (Scegli metodo) selezionare Temporary Access Pass (Pass di accesso temporaneo).
7. Lasciare le impostazioni predefinite (durata di 1 ora, uso monouso) e selezionare Aggiungi.
8. Copiare il codice pass di accesso temporaneo visualizzato e salvarlo. Questa è l'unica volta che è possibile visualizzarla.

Attività 5: Accedere come Alex e testare le autorizzazioni

Accedere come Alex per sperimentare il ruolo Lettore in prima persona. Si tratta della convalida più forte: si noterà esattamente ciò che Alex può e non può fare nel portale.

1. Aprire una nuova finestra del browser InPrivate (Edge) o Incognito (Chrome).
2. Passare a https://portal.azure.com.
3. Immettere il nome principale utente registrato in precedenza (ad esempio, alexgp@yourtenant.onmicrosoft.com).
4. Se viene visualizzato il campo password, selezionare Opzioni di accesso o Usa pass di accesso temporaneo per passare all'input TAP.
5. Incollare il codice pass di accesso temporaneo e selezionare Accedi.
6. Quando viene richiesto di aggiornare la password, creare una nuova password e selezionare Accedi.
7. Dopo l'accesso, cercare Gruppi di risorse nella barra di ricerca del portale e selezionare Gruppi di risorse.
8. Selezionare rg-gp-access-model dall'elenco. Verifica che sia possibile visualizzare il gruppo di risorse e le relative risorse; questo dimostra che l'accesso in lettura funziona.
9. Nella barra di ricerca del portale, cerca Account di archiviazione e seleziona Account di archiviazione.
10. Seleziona + Crea.
11. Nella scheda Informazioni di base selezionare rg-gp-access-model come gruppo di risorse.
12. Per Nome account di archiviazione immettere qualsiasi nome, ad esempio stgptestperm seguito dalle iniziali.
13. Per Area usare la stessa area del gruppo di risorse.
14. Per Tipo di archiviazione preferito selezionare Archiviazione BLOB di Azure o Azure Data Lake Storage Gen 2.
15. Per Prestazioni selezionare Standard.
16. Per la Ridondanza, selezionare Archiviazione con ridondanza locale (LRS).
17. Selezionare Rivedi e crea.
18. Verificare che la creazione abbia esito negativo con un errore di autorizzazione: Alex ha solo accesso in lettura e non può creare risorse.
19. Chiudere la finestra InPrivate/Incognito e tornare alla sessione principale del browser.