تخويل الوصول إلى Azure Blob Storage باستخدام شروط تعيين دور Azure
التحكم في الوصول المستند إلى السمات (ABAC) هو استراتيجية تخويل تحدد مستويات الوصول استنادا إلى السمات المرتبطة بكيانات الأمان والموارد والبيئة والطلبات نفسها. باستخدام ABAC، يمكنك منح حق وصول أساسي للأمان إلى مورد استنادًا إلى شرط يتم التعبير عنه كمسند باستخدام هذه السمات.
يعتمد Azure ABAC على التحكم بوصول المستند إلى دور Azure عن طريق إضافة شروط إلى تعيينات دور Azure. يمكنك من تأليف شروط تعيين الدور استنادا إلى السمات الأساسية والموارد والطلب والبيئة.
هام
يتوفر التحكم في الوصول المستند إلى سمة Azure (Azure ABAC) بشكل عام (GA) للتحكم في الوصول إلى Azure Blob Storage وAzure Data Lake Storage Gen2 وقوائم انتظار Azure باستخدام requestresourceenvironmentprincipal سمات و في كل من مستويات أداء حساب التخزين القياسية والمتميزة. حاليا، توجد سمة مورد بيانات تعريف الحاوية وسمة طلب قائمة كائن ثنائي كبير الحجم في PREVIEW. للحصول على معلومات حالة الميزة الكاملة ل ABAC لتخزين Azure، راجع حالة ميزات الشرط في Azure Storage.
للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي، أو المعاينة، أو التي لم يتم إصدارها بعد في التوفر العام، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.
نظرة عامة على الشروط في وحدة تخزين Azure
يمكنك استخدام معرف Microsoft Entra (معرف Microsoft Entra) لتخويل الطلبات إلى موارد تخزين Azure باستخدام Azure RBAC. يساعدك تحكم Azure في الوصول استنادًا إلى الدور على إدارة الوصول إلى الموارد من خلال تحديد من لديه حق الوصول إلى الموارد وما يمكنه فعله بهذه الموارد، باستخدام تعريفات الأدوار وتعيينات الأدوار. يعرّف Azure Storage مجموعة من الأدوار المضمنة في Azure التي تشمل مجموعات مشتركة من الأذونات المستخدمة للوصول إلى بيانات تخزين Azure. كما يمكنك أيضًا تحديد أدوار مخصصة باستخدام مجموعات مختارة من الأذونات. يدعم تخزين Azure تعيينات الأدوار لكل من حسابات التخزين وحاويات الكائنات الثنائية كبيرة الحجم.
يعتمد Azure ABAC على تحكم Azure في الوصول استناداً إلى الدور عن طريق إضافة شروط تعيين الدور في سياق إجراءات معينة. شرط تعيين الدور هو فحص إضافي يتم تقييمه عند تفويض الإجراءات على مورد التخزين. يتم التعبير عن هذا الشرط كمسند باستخدام السمات المقترنة بأي مما يلي:
- مبدأ الأمان الأساسي الذي يطلب التخويل
- المورد الذي يتم طلب الوصول إليه
- معلمات الطلبات
- البيئة التي يتم فيها تقديم الطلب
فوائد استخدام شروط تعيين الدور هي:
- تمكين الوصول الدقيق إلى الموارد - على سبيل المثال، إذا كنت ترغب في منح مستخدم حق الوصول إلى قراءة الكائنات الثنائية كبيرة الحجم في حسابات التخزين الخاصة بك فقط إذا تم وضع علامة على هذه الكائنات الثنائية على أنها مشروع = سيرا، ففي هذه الحالة يمكنك استخدام الشروط على إجراء القراءة باستخدام العلامات على أنها سمة.
- تقليل عدد تعيينات الأدوار التي يتعين عليك إنشاؤها وإدارتها - يمكنك القيام بذلك باستخدام تعيين دور معمم لمجموعة أمان، ثم تقييد الوصول للأعضاء الفرديين في المجموعة باستخدام شرط يطابق السمات الأساسية مع سمات مورد معين يتم الوصول إليه (مثل، كائن ثنائي كبير الحجم أو حاوية).
- قواعد التحكم في الوصول السريع فيما يتعلق بالسمات ذات المعنى التجاري - على سبيل المثال، يمكنك التعبير عن شروطك باستخدام سمات تمثل اسم مشروع أو تطبيق أعمال أو وظيفة مؤسسة أو مستوى تصنيف.
مفاضلة شروط الاستخدام هي أنك تحتاج إلى تصنيف منظم ومتسق عند استخدام السمات عبر مؤسستك. يجب حماية السمات لمنع اختراق الوصول. كما يجب أيضًا تصميم الشروط بعناية ومراجعتها لتأثيرها.
يتم دعم شروط تعيين الدور في تخزين Azure للكائنات الثنائية كبيرة الحجم. يمكنك أيضا استخدام الشروط مع الحسابات التي تم تمكين ميزة مساحة الاسم الهرمية (HNS) عليها (Data Lake Storage Gen2).
السمات والعمليات المدعومة
يمكنك تكوين الشروط على تعيينات الأدوار لـ DataActions لتحقيق هذه الأهداف. يمكنك استخدام الشروط مع دور مخصص أو تحديد أدوار مضمنة. ملاحظة، الشروط غير مدعومة لإجراءات الإدارة من خلال موفر موارد التخزين.
يمكنك إضافة شروط إلى الأدوار المضمنة أو الأدوار المخصصة. تتضمن الأدوار المضمنة التي يمكنك من خلالها استخدام شروط تعيين الدور ما يلي:
- قارئ بيانات للبيانات الثنائية الكبيرة للتخزين
- المساهم في بيانات مخزن البيانات الثنائية الكبيرة
- مالك بيانات للبيانات الثنائية الكبيرة للتخزين
يمكنك استخدام الشروط مع الأدوار المخصصة طالما أن الدور يتضمن إجراءات تدعم الشروط.
إذا كنت تعمل مع شروط تستند إلى علامات فهرس الكائنات الثنائية الكبيرة، فيجب عليك استخدام مالك بيانات تخزين الكائنات الثنائية الكبيرة نظرًا لأن أذونات عمليات العلامات مضمنة في هذا الدور.
إشعار
علامات فهرس الكائنات الثنائية الكبيرة غير مدعومة لحسابات تخزين Data Lake Storage Gen2، والتي تستخدم مساحة أسماء هرمية. يجب عدم تخويل شروط تعيين الدور باستخدام علامات الفهرس على حسابات التخزين التي تم تطبيق مساحة الأسماء الهرمية (HNS) عليها.
يسمح تنسيق شرط تعيين دور Azure باستخدام @Principalالسمات أو @Resource@Request أو @Environment في الشروط. @Principal السمة هي سمة أمان مخصصة على أحد الكيانات الأساسية، مثل مستخدم أو تطبيق مؤسسي (كيان الخدمة) أو هوية مدارة. @Resource تشير السمة إلى سمة موجودة لمورد تخزين يتم الوصول إليه، مثل حساب تخزين أو حاوية أو كائن ثنائي كبير الحجم. @Request تشير السمة إلى سمة أو معلمة مضمنة في طلب عملية تخزين. @Environment تشير السمة إلى بيئة الشبكة أو تاريخ ووقت الطلب.
يدعم Azure RBAC عددا محدودا من تعيينات الأدوار لكل اشتراك. إذا كنت بحاجة إلى إنشاء الآلاف من تعيينات دور Azure، فقد تواجه هذا الحد. قد تكون إدارة مئات أو آلاف وحدات تعيين الأدوار أمرًا صعبًا. في بعض الحالات، يمكنك استخدام الشروط لتقليل عدد تعيينات الأدوار في حساب التخزين الخاص بك حتى يسهل عليك إدارتها. يمكنك توسيع نطاق إدارة تعيينات الأدوار باستخدام الشروط وسمات الأمان المخصصة ل Microsoft Entra للمديرين.
حالة ميزات الشرط في Azure Storage
يتوفر التحكم في الوصول المستند إلى سمة Azure (Azure ABAC) بشكل عام (GA) للتحكم في الوصول إلى Azure Blob Storage وAzure Data Lake Storage Gen2 وقوائم انتظار Azure باستخدام requestresourceenvironmentprincipal سمات و في كل من مستويات أداء حساب التخزين القياسية والمتميزة. حاليا، توجد سمة مورد بيانات تعريف الحاوية وسمة طلب قائمة كائن ثنائي كبير الحجم في PREVIEW.
يعرض الجدول التالي الحالة الحالية ل ABAC حسب نوع مورد التخزين ونوع السمة. كما يتم عرض استثناءات سمات معينة.
| أنواع الموارد | أنواع السمات | السمات | التوافر |
|---|---|---|---|
| الكائنات الثنائية كبيرة الحجم Data Lake Storage Gen2 الصفوف |
طلب Resource البيئة أساسي |
كافة السمات باستثناء تلك المذكورة في هذا الجدول | التوفر العام |
| Data Lake Storage Gen2 | Resource | لقطه | معاينة |
| الكائنات الثنائية كبيرة الحجم Data Lake Storage Gen2 |
Resource | بيانات تعريف الحاوية | معاينة |
| الكائنات الثنائية كبيرة الحجم | طلب | إدراج كائن ثنائي كبير الحجم للقائمة | معاينة |
للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي، أو المعاينة، أو التي لم يتم إصدارها بعد في التوفر العام، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.
إشعار
بعض ميزات التخزين غير مدعومة لحسابات تخزين Data Lake Storage Gen2، والتي تستخدم مساحة اسم هرمية (HNS). لمعرفة المزيد، راجع دعم ميزة تخزين Blob.
لا يتم دعم سمات ABAC التالية عند تمكين مساحة الاسم الهرمية لحساب تخزين:
الخطوات التالية
- المتطلبات الأساسية لشروط تعيين دور Azure
- البرنامج التعليمي: تتم إضافة شرط تعيين دور لتقييد الوصول إلى الكائنات كبيرة الحجم باستخدام مدخل Microsoft Azure
- الإجراءات والسمات الخاصة بشروط تعيين دور Azure في مساحة تخزين Azure
- مثال على شروط تعيين دور Azure
- استكشاف أخطاء شروط تعيين دور Azure وإصلاحها