← Tüm terimler
Rol Tabanlı Erişim Kontrolü (RBAC)

Rol tabanlı erişim kontrolü (RBAC) nedir?

RBAC, erişimi kişilere değil rollere göre verir: İzinler rollere bağlanır ve kullanıcılar bu rollere atanarak erişim kazanır.

Son güncelleme: 14 Temmuz 2026

RBAC nasıl işler

Rol tabanlı erişim kontrolü, kullanıcılar ile izinler arasına bir katman ekler. Her kişiye her sistemde tek tek hak vermek yerine, yöneticiler iş fonksiyonlarını temsil eden roller tanımlar — muhasebeci, destek mühendisi, İK uzmanı — ve gerekli izinleri bu rollere bağlar. Kullanıcılar rollere atanır ve erişim otomatik olarak gelir.

İyi tasarlanmış bir rol modeli genellikle iki katmanlıdır: Kişinin kuruluştaki görevine karşılık gelen iş rolleri ile grup üyelikleri, veritabanı yetkileri veya uygulama profilleri gibi uygulamalardaki somut izinlere karşılık gelen teknik roller veya yetkilendirmeler. Rol ataması manuel yapılabilir, departman gibi özniteliklere dayalı kurallarla yürütülebilir veya onay iş akışıyla talep edilebilir.

Biri görev değiştirdiğinde eski rolü kaldırıp yenisini atamak, onlarca ayrı izin değişikliğini tek ve denetlenebilir bir işlemle çözer.

RBAC neden önemlidir

Erişimi kişi kişi yönetmek ölçeklenmez. Aynı işi yapan kişiler için tutarsız izinler doğurur, erişim gözden geçirmelerini içinden çıkılmaz hale getirir ve biri görev değiştirdiğinde eski hakları geride bırakır. RBAC, erişimi iş fonksiyonları düzeyinde modellenebilir, gözden geçirilebilir ve denetlenebilir bir yapıya dönüştürür.

RBAC, en az ayrıcalık ilkesini de pratik biçimde destekler: Bir rol bir kez tanımlanıp yeniden kullanıldığı için kapsamını dar tutmaya emek harcamak anlamlıdır. Denetçiler ile ISO 27001 ve SOC 2 gibi çerçeveler, erişimin tanımlı ve bilmesi gereken prensibine göre verilmesini bekler; rol modeli, kuruluşların bunu kanıtlamasının en yaygın yoludur.

Başlıca risk rol patlamasıdır — o kadar çok dar kapsamlı rol oluşturmak ki model, tekil yetkiler kadar yönetilemez hale gelir. Başarılı programlar iş rollerini geniş tutar, istisnaları ayrı ve süreli yetkilendirmelerle yönetir.

Pratikte RBAC

Çoğu kuruluş mevcut erişimi madencilikle analiz ederek başlar: Aynı departman veya unvandaki kişilerin gerçekte nelere sahip olduğuna bakılır ve ortak kalıplar aday rollere dönüştürülür. En yoğun iş fonksiyonlarına ait roller önce en çok değeri üretir.

Roller tanımlandıktan sonra otomasyonun birimi haline gelir. İşe giriş olayları temel rolleri otomatik atar, görev değişikliği olayları rolleri değiştirir ve erişim talepleri, sahibi ve onaylayanı net rol talepleri olarak ifade edilir. Periyodik gözden geçirmeler rol tanımlarını ve rol atamalarını ayrı ayrı onaylar; bu, ham izinleri onaylamaktan çok daha yönetilebilirdir.

Kimlik platformları bu kalıbı operasyonel hale getirir; örneğin Monosign, rol tabanlı erişim sağlamayı işe giriş-görev değişikliği-işten ayrılış iş akışlarıyla birlikte kullanarak rol değişikliklerinin bağlı uygulamalara otomatik yansımasını sağlar.

Sık sorulan sorular

RBAC ile ABAC arasındaki fark nedir?
RBAC erişime atanmış rollere göre karar verir; ABAC ise kullanıcı, kaynak ve bağlama ait öznitelikleri — departman, veri sınıflandırması, konum, zaman — talep anında politikalarla değerlendirir. RBAC denetlemesi daha kolaydır; ABAC daha esnektir. Birçok kuruluş ikisini birleştirir: Temel erişim için roller, bağlamsal koşullar için öznitelik kuralları.
Bir kuruluşta kaç rol olmalı?
Sabit bir sayı yoktur; ancak yararlı bir gösterge rol/kullanıcı oranıdır: Kullanıcı başına bir role yaklaşıyorsa model tekil yetkilere dönüşmüş demektir. İş rollerini gerçek iş fonksiyonlarına hizalayın; nadir ve özel ihtiyaçları ayrıca talep edilen yetkilendirmelere taşıyın.
RBAC erişim gözden geçirmelerinin yerini alır mı?
Hayır. RBAC gözden geçirmeleri kolaylaştırır ve daha anlamlı kılar; ancak rol tanımları zamanla sapar ve istisnalar birikir. Bu nedenle hem rol içeriklerinin hem de rol atamalarının periyodik olarak onaylanması gerekir.