Azure平台管理员必须了解的安全问题

说到Azure已经是一个大众的话题了，对于Azure上的应用功能相信大家都已经很了解了，对于Azure平台上的操作性相对比较简单，但是对于一个Azure平台管理员日常维护来说，还是有一定挑战性的，为什么这么说呢，因为Azure平台既为所谓的云平台，对于很多服务性的东西还是需要管理员经常维护的，比如对于Azure服务器上的部署应用做监控等，具体就不多说了，今天我们主要谈谈Azure平台上的安全性问题，说到安全性问题，对于企业来说是一个敏感的话题，如果安全做不好会直接影响企业的信息安全，所以我们会在今天的文章中介绍一个敏感话题---azure平台的安全性问题。

Azure为公有云平台，如果对授权的Azure平台做管理的话，需要创建对应的账户，对于azure平台来说申请创建的时候会根据提交的信息生成一个全局管理员，该管理员会对应一个订阅ID，所谓的订阅ID为Azure服务的唯一标示，所以对于azure的订阅我们需要很好的管理。Azure默认只有一个管理员，如果要对用户指派权限的话，需要创建对应的用户及分配订阅ID，分配后订阅id的用户作为一个委派管理员角色，可以对Azure上的服务做相应的修改。所以权限的委派控制相当重要。我们今天就介绍一个实例。由于工作需要需要给管理员意外的用户授权的话，需要添加一个用户，然后分配订阅等权限，该用户可以将azure平台上的订阅文件下载到本地，然后安装windows azure powershell来对azure平台上的服务进行修改，那如果后期对委派的管理用户做权限回收的话，如何回收操作呢，一般我们只会想到对于分配订阅的用户删除账户等操作，但是删除用户后，无法对用户下载订阅的订阅做一并注销操作，所以删除用户对应的权限不是完全删除的，我们需要删除委派管理员下载订阅后所生成的管理证书。

当然，对于windows azure的权限分配来说，一般我们会使用添加本地域，然后将本地域下指定OU下的用户同步到windows azure上。然后对同步到azure上的用户进行授权登陆azure 管理中心，但是最终的效果是一样的，删除委派用户的权限后，用户的订阅不会一并删除，除非过了证书有效期。如果要彻底删除当初委派管理员操作权限，我们需要删除账户后，一并将下载订阅后生成的管理证书删除，这样才能提高azure平台的安全性，具体见下：

azure管理中心---设置---管理证书；默认是没有的

该管理证书一般为，委派管理员或者其他管理员下载了azure 管理订阅后生成的一张带有指纹的管理证书

我们首先单击Active Directory---用户---添加用户

我们选择从组织内部新建用户：

gaowenlong@iternal.partner.onm51CTO提醒您，请勿滥发广告!

选择用户类型

新建的用户为用户创建一个随机密码

用户添加完成

接下来我们要将该用户指定为订阅管理员；

登陆azure管理中心----设置---管理员---添加

然后我们输入刚才新建的用户的管理地址，然后分配订阅

协助管理员添加完成

协助管理员添加完成后，协助管理员就可以登陆azure 的管理中心了，当然也可以使用azure powershell进行管理auzre 上应用服务；

如果使用azure powershell管理azure portal服务的话， 前提需要下载azure 管理中心订阅文件及azure powershell工具。

我们登陆windowsazure.cn首页----文档与资源----工具下载

我们选择下载相关操作系统对应的windows azure powershell

下载后，我们就可以开始安装powershell azure

开始下载windows azure powershell

现在才开始正式下载windows azure powershell；我们选择添加即可

添加后，我们单击安装

正式下载windows azure powershell

安装完成

我们可以看见该powershell的命名和系统自带的powershell有区别

接下来就是下载azure 管理订阅文件，我们可以从以下地址下载对应的管理订阅文件

https://manage.windowsazure.cn/publishsettings

单击过程中会提示输入账户及密码，然后验证后会提示下载

下载订阅文件

接下来我们查看管理证书状态；我们发现多了一张管理证书，该证书就是刚才用户下载azure订阅文件所对应的指纹信息

接下来我们将订阅文件导入到azure powershell中

首先通过以下名称查看当前pc是否导入过azurepublishscript

因为没有显示，所以没有

接下来我们需要将刚才下载的订阅文件导入到该powershell 下

Import-azurepublishSettingFile ‘d:xxxxx.publishseetingfiles’

导入完成

接下来我们查看当前的订阅文件

get-azuresubscript

注：如果查看已导入多个publishsettings文件的话，我们需要通过以下命令选择默认的订阅文件

get-azuresubscription -default

Select- Select-AzureSubscription -SubscriptionName "添加账户名" -Default

接下来我们可以通过简单的命令确认是否可以对azure上服务应用操作

get-azurevm

当然在azure powershell下可以使用很多命令，再次就不多介绍了。

接下来我们如果想对该用户取消委派权限及管理权限的话，需要对生成的管理证书做删除，不然即使在azure管理中心将用户委派的权限删除后，用户还可以继续使用之前下载的订阅文件进行对azure上的服务进行操作

所以我们再次需要对用户的委派管理员权限删除

委派管理员删除后，在AD下也删除创建的用户

然后我们删除管理证书

正在删除

删除完成

接下来我们在通过azure powershell看看是否可以管理azure上的服务应用

我们发现如果对azure相关的服务操作，会提示一些链接认证相关的错误

如果还想继续使用的话，需要管理员下载订阅文件，然后重新导入订阅到azure powershell中。

我们重新下载一个订阅文件

同时查看管理证书；每次下载所对应的指纹是不一样的

接下来我们换是导入订阅文件

导入完成

我们导入后发现还是无法使用get-azurevm等服务，这样意味着还是无法对azure的服务进行操作

接下来需要通过以下命令清除azure订阅文件

然后我们重新get-azuresubscript 后发现已经将之前导入的azuresubscript文件清除了

所以我们需要重新导入以下订阅文件

再次通过相关的命令对azure上的服务进行操作