Hozzáférés engedélyezése az Azure Blob Storage-hoz azure-szerepkör-hozzárendelési feltételekkel
Az attribútumalapú hozzáférés-vezérlés (ABAC) egy engedélyezési stratégia, amely a biztonsági tagokhoz, erőforrásokhoz, környezethez és magukhoz a kérésekhez társított attribútumok alapján határozza meg a hozzáférési szinteket. Az ABAC-vel az ilyen attribútumok használatával predikátumként kifejezett feltétel alapján adhat hozzáférést egy erőforráshoz.
Az Azure ABAC az Azure szerepköralapú hozzáférés-vezérlésére (Azure RBAC) épül, ha feltételeket ad hozzá az Azure-szerepkör-hozzárendelésekhez. Lehetővé teszi a szerepkör-hozzárendelési feltételek egyszerű, erőforrás, kérelem és környezeti attribútumok alapján történő megírását.
Fontos
Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage Gen2 és az Azure Queues szolgáltatáshoz requestvaló hozzáférés szabályozásához a resourceenvironmentstandard és principal a prémium szintű tárfiókok teljesítményszintjeiben egyaránt. Jelenleg a tároló metaadat-erőforrásattribútuma és a listablobok kérelemattribútuma előzetes verzióban érhető el. Az Azure Storage-hoz készült ABAC szolgáltatásállapotával kapcsolatos teljes információkért tekintse meg az Azure Storage feltételfunkcióinak állapotát.
A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Az Azure Storage feltételeinek áttekintése
A Microsoft Entra ID (Microsoft Entra ID) használatával engedélyezheti az Azure Storage-erőforrásokra irányuló kéréseket az Azure RBAC használatával. Az Azure RBAC a szerepkördefiníciók és szerepkör-hozzárendelések használatával segít az erőforrásokhoz való hozzáférés kezelésében. Az Azure Storage azure-beli beépített szerepkörök készletét határozza meg, amelyek az Azure Storage-adatok eléréséhez használt általános engedélyeket foglalják magukban. Egyéni szerepköröket is meghatározhat bizonyos engedélykészletekkel. Az Azure Storage a tárfiókokhoz és a blobtárolókhoz egyaránt támogatja a szerepkör-hozzárendeléseket.
Az Azure ABAC az Azure RBAC-re épít úgy, hogy adott műveletek kontextusában szerepkör-hozzárendelési feltételeket ad hozzá. A szerepkör-hozzárendelési feltétel egy további ellenőrzés, amelyet a tárerőforráson végzett művelet engedélyezésekor értékelnek ki. Ez a feltétel predikátumként van kifejezve az alábbiak bármelyikéhez társított attribútumok használatával:
- Engedélyezést kérő biztonsági tag
- Erőforrás, amelyhez hozzáférést kérnek
- A kérelem paraméterei
- Környezet, amelyben a kérés meg van adva
A szerepkör-hozzárendelési feltételek használatának előnyei a következők:
- Részletesebb hozzáférés engedélyezése az erőforrásokhoz – Ha például csak akkor szeretne olvasási hozzáférést adni egy felhasználónak a tárfiókokban lévő blobokhoz, ha a blobok Project=Sierra címkével vannak megjelölve, akkor az olvasási művelet feltételeit címkékkel attribútumként használhatja.
- Csökkentse a létrehozandó és kezelendő szerepkör-hozzárendelések számát – Ezt úgy teheti meg, hogy egy biztonsági csoport általános szerepkör-hozzárendelését használja, majd korlátozza a csoport egyes tagjainak hozzáférését egy olyan feltétel használatával, amely megfelel egy adott erőforrás attribútumainak (például blobnak vagy tárolónak) az attribútumaival.
- Az expressz hozzáférés-vezérlési szabályok az üzleti jelentéssel rendelkező attribútumok tekintetében – A feltételek kifejezéséhez használhat például olyan attribútumokat, amelyek egy projekt nevét, üzleti alkalmazását, szervezeti függvényét vagy besorolási szintjét jelölik.
A felhasználási feltételekkel való kompromisszum az, hogy strukturált és konzisztens osztályozásra van szükség, amikor attribútumokat használ a szervezeten belül. Az attribútumokat védeni kell, hogy a hozzáférés ne sérüljön. Emellett a feltételeket gondosan kell megtervezni és áttekinteni azok hatásának megfelelően.
Az Azure Storage szerepkör-hozzárendelési feltételei támogatottak az Azure Blob Storage-ban. Olyan fiókokkal is használhat feltételeket, amelyeken engedélyezve van a hierarchikus névtér (HNS) funkció (Data Lake Storage).
Támogatott attribútumok és műveletek
Ezen célok eléréséhez konfigurálhatja a DataActions szerepkör-hozzárendeléseinek feltételeit. A feltételeket egyéni szerepkörrel is használhatja, vagy kiválaszthatja a beépített szerepköröket. Vegye figyelembe, hogy a tárolási erőforrás-szolgáltatón keresztüli felügyeleti műveletek nem támogatják a feltételeket.
Feltételeket adhat a beépített szerepkörökhöz vagy egyéni szerepkörökhöz. A szerepkör-hozzárendelési feltételek használatára szolgáló beépített szerepkörök a következők:
Az egyéni szerepkörökhöz tartozó feltételeket mindaddig használhatja, amíg a szerepkör olyan műveleteket tartalmaz , amelyek támogatják a feltételeket.
Ha blobindexcímkéken alapuló feltételekkel dolgozik, akkor a Storage Blob Data Ownert kell használnia, mivel a címkeműveletek engedélyeit ez a szerepkör tartalmazza.
Feljegyzés
A blobindex-címkék nem támogatottak a hierarchikus névteret használó Data Lake Storage-tárfiókok esetében. A HNS-t engedélyező tárfiókokon nem szabad indexcímkéket használó szerepkör-hozzárendelési feltételeket szerződnie.
Az Azure-szerepkör-hozzárendelési feltétel formátuma lehetővé teszi , vagy @Environment attribútumok használatát @Principal@Resource@Request a feltételekben. Az @Principal attribútum egy egyszerű egyéni biztonsági attribútum, például felhasználó, vállalati alkalmazás (szolgáltatásnév) vagy felügyelt identitás. Az @Resource attribútum egy elérhető tárolási erőforrás meglévő attribútumára utal, például egy tárfiókra, egy tárolóra vagy egy blobra. Az @Request attribútum egy tárolási művelet kérésében szereplő attribútumra vagy paraméterre utal. Az @Environment attribútum a hálózati környezetre vagy a kérés dátumára és időpontjára hivatkozik.
Az Azure RBAC előfizetésenként korlátozott számú szerepkör-hozzárendelést támogat. Ha több ezer Azure-szerepkör-hozzárendelést kell létrehoznia, előfordulhat, hogy ez a korlát jelenik meg. Több száz vagy több ezer szerepkör-hozzárendelés kezelése nehéz lehet. Bizonyos esetekben feltételekkel csökkentheti a tárfiók szerepkör-hozzárendeléseinek számát, és egyszerűbben kezelheti őket. A szerepkör-hozzárendelések felügyeletét a feltételek és a Microsoft Entra egyéni biztonsági attribútumai segítségével skálázhatja a rendszerbiztonsági tagok számára.
Feltételfunkciók állapota az Azure Storage-ban
Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage és az Azure Queues szolgáltatáshoz requestvaló hozzáférés szabályozásához a resourceenvironmentstandard és principal a prémium szintű tárfiókok teljesítményszintjeiben egyaránt. Jelenleg a tároló metaadat-erőforrásattribútuma és a listablobok kérelemattribútuma előzetes verzióban érhető el.
Az alábbi táblázat az ABAC aktuális állapotát mutatja be tárolási erőforrástípus és attribútumtípus szerint. Bizonyos attribútumok kivételei is megjelennek.
| Erőforrástípusok | Attribútumtípusok | Attribútumok | Elérhetőség |
|---|---|---|---|
| Blobok Data Lake Storage Várólisták |
Kérés Erőforrás Környezet Rendszerbiztonsági tag |
Az összes attribútum, kivéve az ebben a táblázatban feljegyzett attribútumokat | FE |
| Data Lake Storage | Erőforrás | Pillanatkép | Előnézet |
| Blobok Data Lake Storage |
Erőforrás | Tároló metaadatai | Előnézet |
| Blobok | Kérés | Blobok listázása | Előnézet |
A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Feljegyzés
Egyes tárolási funkciók nem támogatottak a hierarchikus névteret (HNS) használó Data Lake Storage-tárfiókok esetében. További információ: A Blob Storage szolgáltatás támogatása.
A következő ABAC-attribútumok nem támogatottak, ha a hierarchikus névtér engedélyezve van egy tárfiókhoz:
Következő lépések
- Az Azure-szerepkör-hozzárendelés feltételeinek előfeltételei
- Oktatóanyag: Szerepkör-hozzárendelési feltétel hozzáadása a blobokhoz való hozzáférés korlátozásához az Azure Portal használatával
- Az Azure-szerepkör-hozzárendelési feltételek műveletei és attribútumai az Azure Storage-ban
- Példa Azure-szerepkör-hozzárendelési feltételekre
- Azure-szerepkör-hozzárendelési feltételek hibaelhárítása
Lásd még
- Mi az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?
- Gyakori kérdések az Azure szerepkör-hozzárendelési feltételeiről
- Azure-beli szerepkör-hozzárendelés feltételeinek formátuma és szintaxisa
- Az Azure-szerepkör-hozzárendelések felügyeletének skálázása feltételek és egyéni biztonsági attribútumok használatával
- Az Azure-szerepkörök hozzárendelési feltételeinek biztonsági szempontjai az Azure Storage-ban