تخويل الوصول إلى قوائم الانتظار باستخدام شروط تعيين دور Azure

التحكم في الوصول المستند إلى السمات (ABAC) هو استراتيجية تفويض تحدد مستويات الوصول بناءً على السمات المرتبطة بطلب الوصول مثل مبدأ الأمان والمورد والبيئة والطلب نفسه. باستخدام ABAC، يمكنك منح حق وصول أساسي للأمان إلى مورد بناءً على شروط تعيين دور Azure.

هام

يتوفر التحكم في الوصول المستند إلى سمة Azure (Azure ABAC) بشكل عام (GA) للتحكم في الوصول إلى Azure Blob Storage وAzure Data Lake Storage Gen2 وقوائم انتظار Azure باستخدام requestresourceenvironmentprincipal سمات و في كل من مستويات أداء حساب التخزين القياسية والمتميزة. حاليا، توجد سمة مورد بيانات تعريف الحاوية وسمة طلب قائمة كائن ثنائي كبير الحجم في PREVIEW. للحصول على معلومات حالة الميزة الكاملة ل ABAC لتخزين Azure، راجع حالة ميزات الشرط في Azure Storage.

للحصول على الشروط القانونية التي تنطبق على ميزات Azure الموجودة في الإصدار التجريبي، أو المعاينة، أو التي لم يتم إصدارها بعد في التوفر العام، راجع شروط الاستخدام التكميلية لمعاينات Microsoft Azure.

نظرة عامة على الشروط في وحدة تخزين Azure

يمكنك استخدام معرف Microsoft Entra (معرف Microsoft Entra) لتخويل الطلبات إلى موارد تخزين Azure باستخدام Azure RBAC. يساعدك تحكم Azure في الوصول استنادًا إلى الدور على إدارة الوصول إلى الموارد من خلال تحديد من لديه حق الوصول إلى الموارد وما يمكنه فعله بهذه الموارد، باستخدام تعريفات الأدوار وتعيينات الأدوار. يعرّف Azure Storage مجموعة من الأدوار المضمنة في Azure التي تشمل مجموعات مشتركة من الأذونات المستخدمة للوصول إلى بيانات تخزين Azure. كما يمكنك أيضًا تحديد أدوار مخصصة باستخدام مجموعات مختارة من الأذونات. يدعم تخزين Azure تعيينات الأدوار لحسابات التخزين أو حاويات الكائنات الثنائية كبيرة الحجم أو قوائم الانتظار.

يعتمد Azure ABAC على تحكم Azure في الوصول استناداً إلى الدور عن طريق إضافة شروط تعيين الدور في سياق إجراءات معينة. شرط تعيين الدور هو فحص إضافي يتم تقييمه عند تفويض الإجراءات على مورد التخزين. يتم التعبير عن هذا الشرط كمسند باستخدام السمات المقترنة بأي مما يلي:

• مبدأ الأمان الأساسي الذي يطلب التخويل
• المورد الذي يتم طلب الوصول إليه
• معلمات الطلبات
• البيئة التي ينشأ منها الطلب

فوائد استخدام شروط تعيين الدور هي:

• تمكين الوصول الدقيق إلى الموارد - على سبيل المثال، إذا كنت تريد منح مستخدم حق الوصول إلى رسائل النظرة الخاطفة في قائمة انتظار معينة، يمكنك استخدام رسائل النظرة الخاطفة DataAction وسمة تخزين اسم قائمة الانتظار.
• تقليل عدد تعيينات الأدوار التي يتعين عليك إنشاؤها وإدارتها - يمكنك القيام بذلك باستخدام تعيين دور معمم لمجموعة أمان، ثم تقييد الوصول للأعضاء الفرديين في المجموعة باستخدام شرط يطابق السمات الأساسية مع سمات مورد معين يتم الوصول إليه (مثل، قائمة الانتظار).
• قواعد التحكم في الوصول السريع فيما يتعلق بالسمات ذات المعنى التجاري - على سبيل المثال، يمكنك التعبير عن شروطك باستخدام سمات تمثل اسم مشروع أو تطبيق أعمال أو وظيفة مؤسسة أو مستوى تصنيف.

تتمثل مقايضة استخدام الشروط في أنك تحتاج إلى تصنيف منظم ومتسق عند استخدام السمات عبر مؤسستك. يجب حماية السمات لمنع اختراق الوصول. كما يجب أيضًا تصميم الشروط بعناية ومراجعتها لتأثيرها.

السمات والعمليات المدعومة

يمكنك تكوين الشروط على تعيينات الأدوار لـ DataActions لتحقيق هذه الأهداف. يمكنك استخدام الشروط مع دور مخصص أو تحديد أدوار مضمنة. ملاحظة: الشروط غير مدعومة لإدارة الإجراءات من خلال موفر موارد التخزين.

يمكنك إضافة شروط إلى الأدوار المضمنة أو الأدوار المخصصة. تتضمن الأدوار المضمنة التي يمكنك من خلالها استخدام شروط تعيين الدور ما يلي:

• مساهم بيانات قائمة انتظار التخزين
• معالج رسالة بيانات قائمة انتظار التخزين
• مرسل رسالة بيانات قائمة انتظار التخزين
• قارئ بيانات قائمة انتظار التخزين

يمكنك استخدام الشروط ذات الأدوار المخصصة شريطة أن الدور يتضمن إجراءات تدعم الشروط.

يسمح تنسيق شرط تعيين دور Azure باستخدام @Principal، @Resource أو @Request السمات في الشروط. @Principal السمة هي سمة أمان مخصصة على أحد الكيانات الأساسية، مثل مستخدم أو تطبيق مؤسسي (كيان الخدمة) أو هوية مدارة. تشير سمة @Resource إلى سمة موجودة لمورد تخزين يتم الوصول إليه، مثل حساب تخزين أو قائمة انتظار. @Request تشير السمة إلى سمة أو معلمة مضمنة في طلب عملية تخزين.

يدعم Azure RBAC حاليًا 2000 وحدة تعيين الدور في اشتراك واحد. إن كنت بحاجة إلى إنشاء الآلاف من تعيينات دور Azure، فقد تواجه هذا الحد. قد تكون إدارة مئات أو آلاف وحدات تعيين الأدوار أمرًا صعبًا. في بعض الحالات، يمكنك استخدام الشروط لتقليل عدد تعيينات الأدوار في حساب التخزين الخاص بك حتى يسهل عليك إدارتها. يمكنك توسيع نطاق إدارة تعيينات الأدوار باستخدام الشروط وسمات الأمان المخصصة ل Microsoft Entra للمديرين.

الخطوات التالية

• المتطلبات الأساسية لشروط تعيين دور Azure
• الإجراءات والسمات الخاصة بشروط تعيين دور Azure في مساحة تخزين Azure
• مثال على شروط تعيين دور Azure
• استكشاف أخطاء شروط تعيين دور Azure وإصلاحها

(راجع أيضًا )

• ما هو التحكم في الوصول المستند إلى سمة Azure (Azure ABAC)؟
• الأسئلة المتداولة حول شروط تعيين دور لـ Azure
• تنسيق حالة تعيين دور Azure وبناء الجملة
• توسيع نطاق إدارة تعيينات دور Azure باستخدام الشروط وسمات الأمان المخصصة
• اعتبارات الأمان لشروط تعيين دور Azure في وحدة تخزين Azure