AUS-E-MART 公司的身份与访问管理（IAM）设计案例。

方案架构解析

1. 全局管理员 (Global Admin) 与角色可分配组 (Role Assignable Group)
• 是什么：在方案的最左侧，"Global Admin"（全局管理员）被分配到一个“Role Assignable Group”（角色可分配组）中。全局管理员是 Azure Entra ID (前身为 Azure AD) 中权限最高的角色。角色可分配组是一种特殊的安全组，创建时需要特殊指定，只有这种组才能被授予 Azure AD 的管理角色。
• 为什么这么做：直接将高权限角色（如全局管理员）分配给日常使用的个人账户存在安全风险。通过一个专门的、受严密监控的“角色可分配组”来管理，可以提升安全性。管理员需要加入这个组才能行使全局管理权限，所有成员资格的变更都会被记录，便于审计。这是一种安全最佳实践。

2. Entra ID 租户中的团队
• 是什么：中间的 "Entra ID Tenant" 是公司的身份目录中心，管理着所有用户和组。方案中定义了三个关键团队，并创建了对应的安全组：
• Security Team (安全团队)
• Support Team (支持团队)
• Dev Team (开发团队)
• 为什么这么做：使用“组”来管理权限而不是直接分配给单个用户，是 IAM 的核心实践。当有新员工加入或员工离职时，管理员只需将其添加入相应的组或从组中移除，即可自动获得或撤销所有相关权限，极大地简化了管理流程。

3. 角色分配与资源范围
• 安全团队 (Security Team) -> 用户访问管理员 (User Access Admin)
• 角色权限：User Access Admin（用户访问管理员）角色允许其成员管理其他用户和组对 Azure 资源的访问权限。也就是说，他们可以决定“谁能做什么”，但他们自己不能直接创建、修改或删除资源（如虚拟机、数据库）。
• 分配目的：这完全符合安全团队的职责。他们负责制定和执行访问策略，而不是进行业务开发或运维。这体现了职责分离的原则。
• 支持团队 (Support Team) & 开发团队 (Dev Team) -> 参与者 (Contributor)
• 角色权限：Contributor（参与者）角色允许其成员创建、管理和删除其权限范围内的所有类型的 Azure 资源。但是，他们不能授权他人访问资源。
• 分配目的：这个角色为开发和支持团队提供了他们工作所需的所有资源管理权限，同时防止他们越权修改访问策略。
• 资源范围 (Scope)
• 所有这些角色都被应用在 Azure Sub (SUB1) 这个订阅（Subscription）级别。这意味着，这些团队的权限适用于 SUB1 订阅下的所有资源组，包括 FILES1-RG、TECHDEV-RG 和 WEB1-RG。

方案核心要点总结

• 为支持和开发团队使用安全组分配和限定“参与者”角色：
• 确保了这两个团队拥有管理资源的足够权限，并且通过组进行管理，简化了运维。

• 为安全团队使用安全组分配 SUB1 的“用户访问管理员”角色：
• 实现了职责分离，由安全团队专门负责权限管理，提升了整个环境的安全性。

• 将“全局管理员”分配给一个新的“角色可分配组”：
• 这是针对最高权限角色的强化安全措施，需要 Azure AD Premium 许可证支持。它确保了对租户级别最高权限的访问是受控和可审计的。

结论