Ensure That No Custom Subscription Administrator Roles Exist
Чому це важливо
Власні ролі адміністраторів підписки з широкими дозволами можуть приховувати реальні привілеї, надані користувачам, і створювати значні сліпі зони в управлінні привілейованим доступом (Privileged Identity Management). Без регулярних аудитів такі ролі накопичують непотрібний доступ, що порушує принцип найменших привілеїв і підвищує ризик ескалації привілеїв або зловживання з боку скомпрометованих облікових записів.
Що перевіряє Aether365
Aether365 перевіряє, чи не існує власних визначень ролей з assignableScope на рівні підписки (наприклад, / або повний ідентифікатор підписки) та дією, встановленою на *, що надає повний адміністративний доступ. Ця перевірка відображається в панелі Aether365 у категорії azure-subscription-security checks.
Як виправити
- Відкрийте Azure CLI та виконайте наступну команду, щоб отримати список усіх власних визначень ролей:
az role definition list - Визначте власні ролі, які мають
assignableScopeзі значенням/або для цілої підписки, а також властивістьactions, що включає*. - Для кожної знайденої ролі перевірте її використання та вплив перед видаленням, проаналізувавши призначення ролей та журнали аудиту.
- Щоб видалити небажану власну роль, виконайте:Замініть
az role definition delete --name 'rolename'rolenameна точну назву власної ролі. - Після видалення повторно призначте необхідні дозволи, використовуючи вбудовані ролі Azure, які відповідають принципу найменших привілеїв.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0 2.2.3 (Рівень 1)
- Еталони безпеки Microsoft: Стратегія управління GS-2 та GS-6, Привілейований доступ PA-1, PA-2, PA-5 та PA-7
Пов'язані ресурси
- Azure custom roles documentation
- Governance strategy for enterprise segmentation
- Identity and privileged access strategy
- Protect and limit highly privileged users
- Automate entitlement management
- Restrict administrative access to business-critical systems
- Follow just enough administration and least privilege principles