اعتبارات الأمان لشروط تعيين دور Azure في Azure Blob Storage

لتأمين الموارد بالكامل باستخدام التحكم في الوصول المستند إلى سمات Azure (Azure ABAC)، يجب عليك أيضا حماية السمات المستخدمة في شروط تعيين دور Azure. على سبيل المثال، إذا كان الشرط الخاص بك يستند إلى مسار ملف، فيجب عليك الحذر من إمكانية اختراق الوصول إذا كان لدى الأساسي إذن غير مقيد لإعادة تسمية مسار ملف.

توضح هذه المقالة اعتبارات الأمان التي يجب مراعاتها في شروط تعيين الدور.

هام

يتوفر التحكم في الوصول المستند إلى سمة Azure (Azure ABAC) بشكل عام (GA) للتحكم في الوصول إلى Azure Blob Storage وAzure Data Lake Storage Gen2 وقوائم انتظار Azure باستخدام requestresourceenvironmentprincipal سمات و في كل من مستويات أداء حساب التخزين القياسية والمتميزة. حاليا، تتضمن القائمة blob سمة الطلب وسمة طلب اللقطة لمساحة الاسم الهرمية في PREVIEW. للحصول على معلومات حالة الميزة الكاملة ل ABAC لتخزين Azure، راجع حالة ميزات الشرط في Azure Storage.

للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي، أو المعاينة، أو التي لم يتم إصدارها بعد في التوفر العام، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.

استخدام آليات التخويل الأخرى

يتم تقييم شروط تعيين الدور فقط عند استخدام Azure RBAC للتخويل. يمكن تجاوز هذه الشروط إذا سمحت بالوصول باستخدام أساليب التخويل البديلة:

• تخويل المفتاح المشترك
• توقيع الوصول المشترك للحساب (SAS)
• خدمة SAS.

وبالمثل، لا يتم تقييم الشروط عند منح الوصول باستخدام قوائم التحكم في الوصول (ACLs) في حسابات التخزين ذات مساحة اسم هرمية (HNS).

يمكنك منع المفتاح المشترك و SAS على مستوى الحساب وتخويل SAS على مستوى الخدمة عن طريق تعطيل تخويل المفتاح المشترك لحساب التخزين الخاص بك. نظرا لأن توقيعات الوصول المشترك لتفويض المستخدم تعتمد على Azure RBAC، يتم تقييم شروط تعيين الدور عند استخدام أسلوب التخويل هذا.

تأمين سمات التخزين المستخدمة في الشروط

مسار البيانات كبيرة الحجم

عند استخدام مسار كائن ثنائي كبير الحجم كسمة @Resource لشرط ما، يجب أيضا منع المستخدمين من إعادة تسمية كائن ثنائي كبير الحجم للوصول إلى ملف عند استخدام الحسابات التي تحتوي على مساحة اسم هرمية. على سبيل المثال، إذا كنت تريد تأليف شرط استنادا إلى مسار الكائن الثنائي كبير الحجم، يجب عليك أيضا تقييد وصول المستخدم إلى الإجراءات التالية:

الإجراء	‏‏الوصف
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/move/action	يسمح هذا الإجراء للعملاء بإعادة تسمية ملف باستخدام Path Create API.
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action	يسمح هذا الإجراء بالوصول إلى العديد من عمليات نظام الملفات والمسار.

علامات فهرس البيانات كبيرة الحجم

يتم استخدام علامات فهرس Blob كسمات حرة للشروط في التخزين. إذا قمت بتأليف أي شروط وصول باستخدام هذه العلامات، يجب عليك أيضا حماية العلامات نفسها. على وجه التحديد، Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write يسمح DataAction للمستخدمين بتعديل العلامات على كائن تخزين. يمكنك تقييد هذا الإجراء لمنع المستخدمين من معالجة مفتاح علامة أو قيمة للوصول إلى كائنات غير مصرح بها.

بالإضافة إلى ذلك، إذا تم استخدام علامات فهرس كائن ثنائي كبير الحجم في ظروف، فقد تكون البيانات عرضة للخطر إذا تم تحديث البيانات وعلامات الفهرس المقترنة في عمليات منفصلة. يمكنك استخدام @Request الشروط على عمليات كتابة كائن ثنائي كبير الحجم لطلب تعيين علامات الفهرس في نفس عملية التحديث. يمكن أن يساعد هذا النهج في تأمين البيانات من اللحظة التي تتم كتابتها إلى التخزين.

علامات على الكائنات الثنائية كبيرة الحجم المنسوخة

بشكل افتراضي، لا يتم نسخ علامات فهرس كائن ثنائي كبير الحجم من كائن ثنائي كبير الحجم المصدر إلى الوجهة عند استخدام Copy Blob API أو أي من متغيراته. للحفاظ على نطاق الوصول للكائن الثنائي كبير الحجم عند النسخ، يجب نسخ العلامات أيضا.

العلامات على اللقطات

لا يمكن تعديل العلامات الموجودة على لقطات الكائن الثنائي كبير الحجم. لذلك، يجب تحديث العلامات على كائن ثنائي كبير الحجم قبل أخذ اللقطة. إذا قمت بتعديل العلامات على كائن ثنائي كبير الحجم أساسي، تستمر العلامات الموجودة في اللقطة الخاصة بها في الحصول على قيمتها السابقة.

إذا تم تعديل علامة على كائن ثنائي كبير الحجم الأساسي بعد أخذ لقطة، فقد يختلف نطاق الوصول للكائن الثنائي كبير الحجم الأساسي واللقطة.

العلامات على إصدارات الكائن الثنائي كبير الحجم

لا يتم نسخ علامات فهرس Blob عند إنشاء إصدار كائن ثنائي كبير الحجم من خلال Put Blob أو Put Block List أو Copy Blob APIs. يمكنك تحديد علامات من خلال عنوان واجهات برمجة التطبيقات هذه.

يمكن تعيين العلامات بشكل فردي على كائن ثنائي كبير الحجم أساسي حالي وعلى كل إصدار كائن ثنائي كبير الحجم. عند تعديل العلامات على كائن ثنائي كبير الحجم أساسي، لا يتم تحديث العلامات على الإصدارات السابقة. إذا كنت ترغب في تغيير نطاق الوصول إلى كائن ثنائي كبير الحجم وجميع إصداراته باستخدام العلامات، يجب تحديث العلامات على كل إصدار.

قيود الاستعلام والتصفية للإصدارات واللقطات

عند استخدام العلامات للاستعلام عن الكائنات الثنائية كبيرة الحجم وتصفيتها في حاوية، يتم تضمين الكائنات الثنائية كبيرة الحجم الأساسية فقط في الاستجابة. لا يتم تضمين إصدارات Blob أو اللقطات مع المفاتيح والقيم المطلوبة.

الأدوار والأذونات

إذا كنت تستخدم شروط تعيين الدور للأدوار المضمنة في Azure، فيجب عليك مراجعة جميع الأذونات التي يمنحها الدور إلى أساس بعناية.

تعيينات الأدوار الموروثة

يمكن تكوين تعيينات الدور لمجموعة إدارة أو اشتراك أو مجموعة موارد أو حساب تخزين أو حاوية، ويتم توريثها في كل مستوى بالترتيب المذكور. يحتوي Azure RBAC على نموذج إضافي، لذا فإن الأذونات الفعالة هي مجموع تعيينات الأدوار في كل مستوى. إذا كان للمدير نفس الإذن المعين له من خلال تعيينات أدوار متعددة، تقييم الوصول لعملية باستخدام هذا الإذن بشكل منفصل لكل تعيين على كل مستوى.

نظرا إلى أن الشروط يتم تنفيذها كشروط على تعيينات الأدوار، يمكن أن يسمح أي تعيين دور غير مشروط للمستخدمين بتجاوز الشرط. لنفترض أنك قمت بتعيين دور Storage Blob Data Contributor إلى مستخدم لحساب تخزين وعلى اشتراك، ولكن أضف شرطا فقط إلى تعيين حساب التخزين. والنتيجة هي أن المستخدم لديه حق وصول غير مقيد إلى حساب التخزين من خلال تعيين الدور على مستوى الاشتراك.

لذلك، يجب تطبيق الشروط باستمرار على جميع تعيينات الأدوار عبر التسلسل الهرمي للموارد.

اعتبارات أخرى

عمليات الشرط التي تكتب الكائنات الثنائية كبيرة الحجم

تتطلب العديد من العمليات التي تكتب الكائنات الثنائية Microsoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/add/action كبيرة الحجم إما الإذن أو . تمنح الأدوار المضمنة، مثل Storage Blob Data OwnerوStorage Blob Data Contributor كلا الإذنين إلى أساس أمان.

عند تحديد شرط تعيين دور على هذه الأدوار، يجب استخدام شروط متطابقة على كلا الإذنين لضمان قيود وصول متسقة لعمليات الكتابة.

سلوك نسخ Blob ونسخ Blob من عنوان URL

بالنسبة لعمليات Copy Blob و Copy Blob From URL ، @Request يتم تقييم الشروط التي تستخدم مسار الكائن الثنائي كبير الحجم كسمة Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write على الإجراء والعمليات الفرعية الخاصة به فقط للكائن الثنائي كبير الحجم الوجهة.

بالنسبة للشروط على الكائن الثنائي كبير الحجم المصدر، @Resource يتم تقييم الشروط الخاصة بالإجراء Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read .

(راجع أيضًا )

• تخويل الوصول إلى الكائنات الثنائية كبيرة الحجم باستخدام شروط تعيين دور Azure
• الإجراءات والسمات الخاصة بشروط تعيين دور Azure لتخزين Azure Blob
• ما هو التحكم في الوصول المستند إلى سمة Azure (Azure ABAC)؟