Was ist Rollenbasierte Zugriffskontrolle?
Rollenbasierte Zugriffskontrolle (RBAC) ist ein Zugriffskontrollmodell, bei dem Berechtigungen Rollen zugewiesen werden – etwa Administrator, Editor oder Leser – und Benutzer Berechtigungen durch die Zuweisung zu diesen Rollen erhalten, statt sie direkt auf einzelnen Konten zu verwalten.
Auch bekannt als: RBAC, role based access control
RBAC vereinfacht die Zugriffsverwaltung durch eine Abstraktionsschicht zwischen Benutzern und Berechtigungen. Statt eine Berechtigungsmatrix für jedes Benutzer-Ressource-Paar zu pflegen, definieren Administratoren Rollen, die Arbeitsfunktionen repräsentieren, weisen jeder Rolle geeignete Berechtigungen zu und ordnen Benutzer dann Rollen zu. Wenn ein Mitarbeiter die Stelle wechselt, ändert sich sein Zugriff durch die Aktualisierung seiner Rollenzuweisungen – nicht durch die Neukonfiguration einzelner Berechtigungen.
Das RBAC-Modell besteht aus einigen Kernkonzepten: Rollen (benannte Sammlungen von Berechtigungen), Berechtigungen (die Genehmigung, bestimmte Operationen auf bestimmten Ressourcen durchzuführen), Benutzer (Personen oder Dienstkonten) und Sitzungen (aktive Rollenzuweisungen). Erweiterte RBAC-Implementierungen unterstützen Rollenhierarchien (eine übergeordnete Rolle erbt die Berechtigungen untergeordneter Rollen), Aufgabentrennung (bestimmte Rollenkombinationen sind verboten, um Interessenkonflikte zu verhindern) und zeitliche Einschränkungen (Rollen nur zu bestimmten Zeiten aktiv).
RBAC ist das dominierende Zugriffskontrollmodell in Unternehmenssoftware, Cloud-Plattformen und Datenbanksystemen. AWS IAM, Kubernetes RBAC und PostgreSQL-Rollen implementieren Varianten dieses Modells. Die Hauptherausforderung ist die Rollenproliferation: Mit dem Wachstum von Organisationen kann die Anzahl der Rollen explodieren und Verwaltungskomplexität erzeugen. Regelmäßige Zugriffsüberprüfungen und Rollenkonsolidierung sind entscheidend, um RBAC handhabbar zu halten.
Wie Vaulted Rollenbasierte Zugriffskontrolle verwendet
Vaulted implementiert RBAC nicht, da es ohne Benutzerkonten oder persistente Identität arbeitet. RBAC-Zugangsdaten – wie Service-Account-Token, IAM-Rollenkonfigurationen und Datenbankrollenpasswörter – gehören jedoch zu den am häufigsten in Organisationen geteilten sensiblen Daten. Vaulted bietet einen sicheren Kanal, um diese Zugangsdaten beim Onboarding, bei Rollenänderungen oder bei der Incident Response zu teilen, und stellt sicher, dass sie nicht in E-Mail-Threads oder Chat-Protokollen verbleiben.