RBAC (Rol Tabanlı Erişim) nedir? — Bilgi Güvenliği Sözlüğü

Kimlik & Erişim

RBAC (Rol Tabanlı Erişim)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Bir hastanede 5.000 çalışana tek tek izin tanımlamak yerine "hemşire", "doktor", "muhasebeci" gibi birkaç role yetki bağlanır — RBAC, kurumsal erişim yönetimini kaostan kurtaran sessiz kahramandır.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta RBAC'i (Rol Tabanlı Erişim Kontrolü / Role-Based Access Control) öğreniyoruz. Bir kullanıcıya tek tek izin vermek yerine, izinleri ROLLERE bağlar; kullanıcıyı da role atarız. Böylece "kim neye erişebilir?" sorusu kişiden değil, rolden cevaplanır.

Anlatım

NEDİR? RBAC (Role-Based Access Control / Rol Tabanlı Erişim Kontrolü), erişim izinlerini doğrudan kullanıcılara değil, ROLLERE atayan bir yetkilendirme modelidir. Kullanıcı bir veya birden çok role atanır; her rolün önceden tanımlı izinleri (permission) vardır. Kullanıcının erişebileceği şey, ait olduğu rollerin izinlerinin toplamıdır. Temel mantık: "Kullanıcı → Rol → İzin". NASIL ÇALIŞIR? RBAC üç temel kavram üzerine kuruludur: 1) Kullanıcı (User): Sisteme giren kişi veya servis hesabı. 2) Rol (Role): İş fonksiyonunu temsil eden isimlendirilmiş izin kümesi (ör. "Editör", "Yönetici", "Muhasebe"). 3) İzin (Permission): Belirli bir kaynak üzerinde belirli bir işlem (ör. "faturayı görüntüle", "kullanıcı sil"). Adım adım: (a) İzinler tanımlanır ve rollere atanır. (b) Kullanıcı bir veya birden çok role atanır. (c) Kullanıcı bir işlem yapmak istediğinde sistem, kullanıcının rollerini bulur, bu rollerin izinlerini toplar ve istenen işleme izin verilip verilmeyeceğine karar verir. Rol değişikliği (terfi, departman değişimi) tek bir atamayla halledilir; izinler tek tek elle düzenlenmez. NEDEN ÖNEMLİ / İŞ YERİNDE Büyük kurumlarda yüzlerce-binlerce kullanıcı ve onlarca kaynak vardır. Her kullanıcıya tek tek izin vermek hem yönetilemez hem de hataya açıktır (izin enflasyonu, unutulan yetkiler). RBAC ile: • Yeni çalışan işe başlayınca sadece doğru rol atanır, dakikalar içinde doğru erişime sahip olur. • Çalışan ayrılınca rol kaldırılır, tüm erişimi anında kesilir. • Denetim (audit) kolaylaşır: "Bu kaynağa kimler erişebilir?" sorusu rol bazında net cevaplanır; KVKK/ISO 27001 uyum süreçlerinde kanıt sunmak kolaylaşır. • En az yetki ilkesi (least privilege) doğal olarak uygulanır: kullanıcı yalnız işi için gereken rolün iznine sahip olur. DİKKAT / İYİ UYGULAMA • Rol patlaması (role explosion): Çok fazla, çok özel rol tanımlamak yönetimi yeniden zorlaştırır; rolleri iş fonksiyonlarına göre dengeli tasarlayın. • Görevler ayrılığı (Separation of Duties): Çıkar çatışması yaratan izinler aynı role konmamalı (ör. hem ödeme yaratıp hem onaylayan tek rol olmamalı). • RBAC "kimlik doğrulama" değil "yetkilendirme"dir; önce kimlik doğrulanır (authentication), sonra rol bazlı yetki uygulanır (authorization). • Daha ince koşullar gerektiğinde (zaman, konum, kaynak sahipliği) RBAC tek başına yetmeyebilir; ABAC (öznitelik tabanlı) ile birleştirilebilir.

📌 Senaryolar

📌 Örnek 1: Bir LMS platformunda "Öğrenci", "Eğitmen" ve "Yönetici" rolleri tanımlanmıştır.
  Açıklama: "Öğrenci" rolü yalnız kayıtlı olduğu dersleri görüntüleyip ödev teslim edebilir; "Eğitmen" rolü ders içeriği oluşturup not verebilir; "Yönetici" rolü kullanıcı ekleyip silebilir. Ali kullanıcısına "Eğitmen" rolü atandığında, ders oluşturma izni otomatik olarak gelir — Ali'ye tek tek izin tanımlamak gerekmez.

📌 Örnek 2: Bir hastane bilgi sisteminde "hemşire" rolü hasta vital değerlerini girebilir ama reçete yazamaz; "doktor" rolü reçete yazabilir.
  Açıklama: Bir hemşire doktor olarak terfi ettiğinde, sistem yöneticisi yalnızca kullanıcının rolünü "hemşire"den "doktor"a değiştirir. Reçete yazma izni rolle birlikte otomatik gelir; ekranlar veya kayıtlar tek tek elle güncellenmez. Bu hem hız hem de hata azaltma sağlar.

📌 Örnek 3: Bir bulut platformunda DevOps mühendisi hem "Geliştirici" hem "Yedekleme Operatörü" rollerine atanmıştır.
  Açıklama: RBAC'te kullanıcı birden çok rol taşıyabilir; etkin izin kümesi, tüm rollerin izinlerinin BİRLEŞİMİDİR. Mühendis kod dağıtımı yapabilir (Geliştirici rolünden) ve yedek geri yükleyebilir (Yedekleme Operatörü rolünden). Projeden ayrıldığında her iki rol kaldırılarak tüm erişimi anında kesilir.

Özet

• RBAC izinleri kullanıcıya değil ROLLERE bağlar; mantık: Kullanıcı → Rol → İzin. • Kullanıcının etkin izni, atandığı tüm rollerin izinlerinin birleşimidir. • İşe alım/ayrılma/terfi tek bir rol atamasıyla yönetilir; ölçeklenebilir ve denetlenebilir. • En az yetki ilkesini ve görevler ayrılığını doğal olarak destekler; kimlik doğrulama (authentication) değil, yetkilendirme (authorization) modelidir.

✅ Mini-Test (3)

1.RBAC modelinde izinler temel olarak neye atanır?

2.Bir kullanıcı RBAC'te hem "Editör" hem "Denetçi" rolüne atanmışsa etkin izin kümesi ne olur?

3.RBAC bir yetkilendirme (authorization) modelidir; kullanıcının kim olduğunu kanıtlayan kimlik doğrulamanın (authentication) yerini almaz.

← Tüm sözlük terimleri · Farkındalık eğitimi