تخويل الوصول إلى الجداول باستخدام معرف Microsoft Entra
يدعم Azure Storage استخدام معرف Microsoft Entra لتخويل الطلبات إلى بيانات الجدول. باستخدام معرف Microsoft Entra، يمكنك استخدام التحكم في الوصول المستند إلى الدور Azure (Azure RBAC) لمنح أذونات لأساس أمان، والذي قد يكون مستخدما أو مجموعة أو مدير خدمة تطبيق. تتم مصادقة أساس الأمان بواسطة معرف Microsoft Entra لإرجاع رمز OAuth 2.0 المميز. يمكن استخدام الرمز المميز لاحقا لتخويل طلب مقابل خدمة الجدول.
يوفر تفويض الطلبات مقابل Azure Storage باستخدام معرف Microsoft Entra أمانا فائقا وسهولة استخدام عبر تخويل المفتاح المشترك. توصي Microsoft باستخدام تخويل Microsoft Entra مع تطبيقات الجدول عندما يكون ذلك ممكنا لضمان الوصول بأقل امتيازات مطلوبة.
يتوفر التخويل باستخدام معرف Microsoft Entra لجميع الأغراض العامة في جميع المناطق العامة والسحب الوطنية. تدعم حسابات التخزين التي تم إنشاؤها باستخدام نموذج توزيع Azure Resource Manager تخويل Microsoft Entra فقط.
نظرة عامة على معرف Microsoft Entra للجداول
عندما يحاول مسؤول الأمان (مستخدم أو مجموعة أو تطبيق) الوصول إلى مورد جدول، يجب تخويل الطلب. باستخدام معرف Microsoft Entra، يعد الوصول إلى مورد عملية من خطوتين. تتم، أولاً مصادقة هوية أساس الأمان، ويتم إرجاع رمز OAuth 2.0 المميز. بعد ذلك، يتم تمرير الرمز المميز كجزء من طلب إلى خدمة جدول لتقوم الخدمة بتخويل الوصول إلى المورد المُحدد.
أولاً، تتطلب خطوة المصادقة طلب تطبيق رمز وصول OAuth 2.0 المميز في وقت التشغيل. إذا كان أحد التطبيقات قيد التشغيل من داخل كيان Azure مثل الجهاز الظاهري لـ Azure أو مجموعة مقاييس الجهاز الظاهري أو تطبيق Azure Functions، فيمكنه استخدام هوية مدارة للوصول إلى الجداول.
تتطلب خطوة التفويض تعيين دور أو أكثر من أدوار Azure إلى أساس الأمان. يوفر Azure Storage أدوار Azure التي تتضمن مجموعات شائعة من أذونات الوصول لجدول البيانات. تحدد الأدوار التي تم تعيينها إلى أساس أمان الأذونات التي سيمتلكها الأساسي. لمعرفة المزيد حول تعيين أدوار Azure للوصول إلى الجدول، راجع تعيين دور Azure للوصول إلى بيانات الجدول.
يشير الجدول التالي إلى معلومات إضافية لتخويل الوصول إلى البيانات في سيناريوهات مختلفة:
تعيين أدوار Azure لحقوق الوصول
تخول Microsoft Entra حقوق الوصول إلى الموارد الآمنة من خلال التحكم في الوصول المستند إلى الدور Azure (Azure RBAC). يحدد Azure Storage مجموعة من أدوار Azure المدمجة التي تشمل مجموعات شائعة من الأذونات المستخدمة للوصول إلى بيانات الجدول. يمكنك أيضاً تحديد أدوار مخصصة للوصول إلى بيانات الجدول.
عند تعيين دور Azure إلى أساس أمان Microsoft Entra، يمنح Azure الوصول إلى هذه الموارد لكيان الأمان هذا. قد يكون أساس أمان Microsoft Entra مستخدما أو مجموعة أو كيان خدمة تطبيق أو هوية مدارة لموارد Azure.
نطاق المورد
قبل تعيين التحكم في الوصول استناداً إلى الدور Azure RBAC إلى مسؤول أمان، حدد نطاق الوصول الذي ستخصصه لمسؤول الأمان. تملي أفضل الممارسات أنه من الأفضل دائما منح أضيق نطاق ممكن فقط. يتم توريث أدوار التحكم في الوصول استناداً إلى الدور لـ Azure المحددة على نطاق أوسع بواسطة الموارد الموجودة تحتها.
يمكنك تحديد نطاق الوصول إلى موارد جدول Azure على المستويات التالية، بدءاً من النطاق الأضيق:
- جدول فردي. في هذا النطاق، ينطبق تعيين الدور على جدول محدد.
- حساب التخزين. في هذا النطاق، ينطبق تعيين الدور على جميع الجداول في الحساب.
- مجموعة الموارد. في هذا النطاق، ينطبق تعيين دور على جميع الجداول في كل حسابات التخزين في مجموعة الموارد.
- الاشتراك. في هذا النطاق، ينطبق تعيين دور على جميع الجداول في كل حسابات التخزين في كل مجموعات الموارد في الاشتراك.
- مجموعة الإدارة. في هذا النطاق، ينطبق تعيين دور على جميع قوائم الانتظار في كل حسابات التخزين في كل مجموعات الموارد في كل الاشتراكات في مجموعة الإدارة.
لمزيد من المعلومات حول نطاق تعيينات دور التحكم في الوصول استناداً إلى الدور لـ Azure، راجع فهم نطاق التحكم في الوصول استناداً إلى الدور لـ Azure.
أدوار Azure المضمنة للجداول
يوفر Azure RBAC أدوارا مضمنة لتخويل الوصول إلى بيانات الجدول باستخدام معرف Microsoft Entra وOAuth. تتضمن الأدوار المضمنة التي توفر أذونات للجداول في Azure Storage ما يلي:
- مساهم بيانات جدول التخزين: يستخدم لمنح أذونات القراءة/الكتابة/الحذف لموارد تخزين الجدول.
- قارئ بيانات جدول التخزين: يستخدم لمنح أذونات للقراءة فقط لموارد تخزين الجدول.
لمعرفة كيفية تعيين دور Azure مضمن إلى مسؤول أمان، راجع تعيين دور Azure للوصول إلى بيانات الجدول. لمعرفة كيفية إدراج أدوار التحكم في الوصول استناداً إلى الدور لـ Azure وأذوناتها، راجع إدراج تعريفات دور Azure.
لمزيد من المعلومات حول كيفية تعريف الأدوار المضمنة لـ Azure Storage، راجع فهم تعريفات الدور. للحصول على معلومات حول إنشاء أدوار Azure المخصصة، راجع أدوار Azure المخصصة.
لا يسمح لمسؤول الأمان الوصول إلى بيانات الجدول إلا عن طريق الأدوار المحددة صراحة للوصول للبيانات. تسمح الأدوار المضمنة مثل المالك والمساهم والمساهم في حساب التخزين لكيان أمان بإدارة حساب تخزين، ولكن لا توفر الوصول إلى بيانات الجدول داخل هذا الحساب عبر معرف Microsoft Entra. ومع ذلك، إذا كان الدور يتضمن Microsoft.Storage/storageAccounts/listKeys/action، يمكن للمستخدم الذي تم تعيين هذا الدور له الوصول إلى البيانات الموجودة في حساب التخزين عبر تخويل المفتاح المشترك باستخدام مفاتيح الوصول إلى الحساب.
للحصول على معلومات مفصلة حول أدوار Azure المضمنة لـ Azure Storage لكل من خدمات البيانات وخدمة الإدارة، راجع قسم التخزين في أدوار Azure المضمنة للتحكم في الوصول استناداً إلى الدور لـ Azure. بالإضافة إلى ذلك، للحصول على معلومات حول الأنواع المختلفة للأدوار التي توفر أذونات في Azure، راجع أدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي.
هام
قد يستغرق نشر تعيينات الأدوار في Azure حوالي 30 دقيقة.
أذونات الوصول لعمليات البيانات
لتفاصيل حول الأذونات المطلوبة للاتصال بعمليات خدمة الجداول المحددة، راجع أذونات استدعاء عمليات البيانات.