ما المقصود بمراقبة الوصول القائم على السمات الخاصة بـ Azure؟

  • مقالة

التحكم في الوصول المستند إلى السمات (ABAC) هو نظام تخويل يحدد الوصول استنادا إلى السمات المرتبطة بكيانات الأمان والموارد وبيئة طلب الوصول. مع ABAC، يمكنك منح وصول لأساس الأمان إلى مورد استناداً إلى السمات. يشير Azure ABAC إلى تنفيذ مراقبة الوصول القائم على السمات الخاصة بـ Azure.

ما هي شروط تعيين الدور؟

التحكم في الوصول استنادا إلى الدور في Azure (Azure RBAC) هو نظام تخويل يساعدك على إدارة من لديه حق الوصول إلى موارد Azure، وما يمكنه فعله بهذه الموارد، والمناطق التي يمكنهم الوصول إليها. في معظم الحالات، سوف توفر Azure RBAC إدارة الوصول التي تحتاجها باستخدام تعريفات الأدوار وتعيينات الأدوار. ومع ذلك، في بعض الحالات قد ترغب في توفير إدارة وصول أكثر دقة أو تبسيط إدارة مئات تعيينات الأدوار.

يعتمد Azure ABAC على Azure RBAC عن طريق إضافة شروط تعيين الدور استناداً إلى السمات في سياق إجراءات محددة. يُعدشرط تعيين الدور فحصاً إضافياً يمكنك إضافته اختيارياً إلى تعيين الدور لتوفير المزيد من مراقبة الوصول الذي يتطلب انتباهاً كبيراً. يقوم الشرط بتصفية الأذونات الممنوحة كجزء من تعريف الدور وتعيين الدور. مثلاً، يمكنك إضافة شرط يتطلب كائناً ذا علامة معينة لقراءة الكائن. لا يمكنك رفض الوصول إلى موارد معينة باستخدام الشروط صراحة.

لماذا تُستخدم الشروط؟

يوجد ثلاث فوائد أساسية لاستخدام شروط تعيين الدور:

  • توفير المزيد من التحكم في الوصول الدقيق - يستخدم تعيين الدور تعريف دور مع إجراءات وإجراءات بيانات لمنح أذونات الأمان الأساسية. يمكنك كتابة الشروط لتصفية هذه الأذونات لمزيد من التحكم في الوصول الذي يتطلب تركيزاً كبيراً. يمكنك أيضاً إضافة شروط لإجراءات محددة. مثلاً، يمكنك منح John حق الوصول للقراءة البيانات الثنائية الكبيرة في اشتراكك فقط إذا تم وضع علامة مشروع=أزرق على البيانات الثنائية الكبيرة.
  • المساعدة في تقليل عدد تعيينات الأدوار - يحتوي كل اشتراك Azure حاليا على حد تعيين الدور. توجد سيناريوهات تتطلب آلاف تعيينات الأدوار. تنبغي إدارة جميع مهام الأدوار هذه. في هذه السيناريوهات، يمكنك إضافة شروط محتملة لاستخدام تعيينات أدوار أقل بدرجة كبيرة.
  • استخدام السمات التي تحمل معنى تجارياً محدداً - تسمح لك الشروط باستخدام السمات التي لها معنى تجاري محدد لك في مراقبة الوصول. تُعد بعض أمثلة السمات أسماء مشروعات، مرحلة تطوير برمجيات، ومستويات التصنيف. تُعد قيم سمات المورد هذه متحركة وتتغير مع انتقال المستخدمين عبر الفرق والمشروعات.

أمثلة سيناريوهات خاصة بالشروط

يوجد العديد من السيناريوهات إذا أردت إضافة شرط إلى تعيين الدور الخاص بك. وإليك بعض الأمثلة.

  • قراءة الوصول إلى البيانات الثنائية الكبيرة مع العلامة مشروع=تتالٍ
  • ينبغي للبيانات الثنائية الكبيرة أن تتضمن العلامة مشروع=تتالٍ
  • ينبغي وضع علامة على البيانات الثنائية الكبيرة القائمة على الأقل مع مفتاح مشروع أو مفتاح برنامج واحد
  • ينبغي وضع علامة على البيانات الثنائية الكبيرة القائمة مع مفتاح المشروع وقيم تتالٍ، أو بيكر، أو سكاجيت
  • قراءة البيانات الثنائية الكبيرة في حاويات تسمى بحاوية-أمثلة-البيانات الثنائية الكبيرة، أو كتابتها أو حذفها
  • قراءة الوصول إلى البيانات الثنائية الكبيرة في حاويات تسمى حاوية-أمثلة-البيانات الثنائية الكبيرة- مع مسار القراءة فقط
  • كتابة الوصول إلى البيانات الثنائية الكبيرة في حاويات تسمى Contosocorp مع مسار التحميلات / تتالٍ
  • قراءة الوصول إلى البيانات الثنائية الكبيرة مع برنامج العلامة = جبال الألب ومسار من السجلات
  • قراءة الوصول إلى الكائنات الثنائية كبيرة الحجم باستخدام العلامة Project=Baker والمستخدم لديه سمة مطابقة Project=Baker
  • قراءة الوصول إلى الكائنات الثنائية كبيرة الحجم خلال نطاق زمني/تاريخ محدد.
  • كتابة الوصول إلى الكائنات الثنائية كبيرة الحجم فقط عبر ارتباط خاص أو من شبكة فرعية معينة.

لمزيد من المعلومات حول كيفية إنشاء هذه الأمثلة، راجع مثال شروط تعيين دور Azure لتخزين Blob.

أين يمكن إضافة شروط؟

حاليا، يمكن إضافة الشروط إلى تعيينات الأدوار المضمنة أو المخصصة التي تحتوي على تخزين كائن ثنائي كبير الحجم أو إجراءات بيانات تخزين قائمة الانتظار. تُضاف الشروط في نفس نطاق تعيين الدور. تماماً مثل تعيينات الأدوار، يتعين حصولك Microsoft.Authorization/roleAssignments/write على أذونات لإضافة شرط.

فيما يلي بعض سمات تخزين الكائنات الثنائية كبيرة الحجم التي يمكنك استخدامها في ظروفك.

  • Account name
  • علامات فهرس البيانات كبيرة الحجم
  • مسار البيانات كبيرة الحجم
  • بادئة كائن ثنائي كبير الحجم
  • اسم الحاوية
  • اسم نطاق التشفير
  • هو الإصدار الحالي
  • هل مساحة الاسم الهرمية ممكنة
  • ارتباط خاص
  • اللقطة
  • UTC الآن (التاريخ والوقت الحاليان في التوقيت العالمي المتفق عليه)
  • معرف الإصدار

كيف يبدو الشرط؟

يمكنك إضافة شروط إلى تعيينات الدور الجديدة أو القائمة. يوجد هنا دور قارئ البيانات للبيانات كبيرة الحجم للتخزين التي تم تعيينها إلى مستخدم يدعى Chandra في نطاق مجموعة موارد. أُضيف شرط يسمح فقط بالوصول للقراءة البيانات كبيرة الحجم مع العلامة مشروع = تتالٍ.

رسم تخطيطي لتعيين الدور بشرط.

إذا حاولت Chandra قراءة البيانات كبيرة الحجم بدون العلامة مشروع = تتالٍ، لن يُسمَح بالوصول.

لا يُسمح بالرسم التخطيطي للوصول بشرط.

موضح هنا ما هو الشرط في منفذ Azure:

لقطة شاشة لمحرر الشرط في مدخل Microsoft Azure تعرض قسم تعبير البناء مع قيم علامات فهرس كائن ثنائي كبير الحجم.

هنا هو ما يقصده الشرط في التعليمات البرمجية:

(
    (
        !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}
        AND NOT
        SubOperationMatches{'Blob.List'})
    )
    OR
    (
        @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'
    )
)

لمزيد من المعلومات حول تنسيق الشروط، يُرجى مراجعة تنسيق حالة تعيين دور خاص بـ Azure وبناء الجملة.

حالة ميزات الشرط

يسرد الجدول التالي حالة ميزات الشرط:

ميزة ‏الحالة التاريخ
استخدام سمات البيئة في شرط التوفر العام 2024 أبريل
إضافة شروط باستخدام محرر الشرط في مدخل Microsoft Azure التوفر العام أكتوبر 2022
إضافة شروط باستخدام Azure PowerShell أو Azure CLI أو REST API التوفر العام أكتوبر 2022
استخدم سمات الموارد والطلب لمجموعات معينة من موارد تخزين Azure وأنواع سمات الوصول طبقات أداء حساب التخزين. لمزيد من المعلومات، راجع حالة ميزات الشرط في Azure Storage. التوفر العام أكتوبر 2022
استخدام سمات الأمان المخصصة على أساس في شرط التوفر العام نوفمبر 2023

الشروط وMicrosoft Entra PIM

يمكنك أيضا إضافة شروط إلى تعيينات الأدوار المؤهلة باستخدام Microsoft Entra إدارة الهويات المتميزة (Microsoft Entra PIM) لموارد Azure. باستخدام Microsoft Entra PIM، يجب على المستخدمين النهائيين تنشيط تعيين دور مؤهل للحصول على إذن لتنفيذ إجراءات معينة. يتيح لك استخدام الشروط في Microsoft Entra PIM ليس فقط تقييد وصول المستخدم إلى مورد باستخدام شروط دقيقة، ولكن أيضا استخدام Microsoft Entra PIM لتأمينه بإعداد محدد زمنيا وسير عمل الموافقة وسجل التدقيق وما إلى ذلك. لمزيد من المعلومات، يُرجى مراجعة تعيين أدوار مورد لـAzure في إدارة الهويات المتميزة.

المصطلحات

لفهم أفضل لـ Azure RBAC ولـ Azure ABAC، يمكنك الرجوع إلى قائمة المصطلحات التالية.

المصطلح التعريف
مراقبة الوصول القائم على السمات (ABAC) نظام تخويل يعرف الوصول القائم على السمات المقترنة بأساسيات الأمان والموارد والبيئة. مع ABAC، يمكنك منح وصول لأساس الأمان إلى مورد استناداً إلى السمات.
Azure ABAC يشير إلى تنفيذ ABAC لـAzure.
شرط تعيين الدور فحص إضافي يمكنك إضافته اختيارياً إلى تعيين الدور لتوفير المزيد من مراقبة الوصول الذي يتطلب انتباهاً كبيراً.
السمة في هذا السياق، مفتاح قيمة مزدوج مثل مشروع=الأزرق، إذا كان المشروع هو مفتاح السمة والأزرق هو قيمة السمة. تُعد السمات والعلامات مرادفات لأغراض مراقبة الوصول.
تعبير تقييم عبارة في شرط الصواب أو الخطأ. يحتوي التعبير على تنسيق قيمة عامل تشغيل<>السمة<><.>

الحدود

فيما يلي بعض حدود الشروط.

Resource الحد ملاحظات
عدد التعبيرات لكل شرط باستخدام المحرر المرئي 5 يمكنك إضافة أكثر من خمسة تعبيرات باستخدام محرر التعليمات البرمجية

المشكلات المعروفة

فيما يلي المشكلات المعروفة المتعلقة بالشروط:

  • إذا كنت تستخدم Microsoft Entra إدارة الهويات المتميزة (PIM) وسمات الأمان المخصصة، فلن يظهر Principal في مصدر السمة عند إضافة شرط.

الخطوات التالية