Zabraňte replikaci objektů napříč tenanty Microsoft Entra

Replikace objektů asynchronně kopíruje blokové blobové objekty z jednoho kontejneru v jednom úložném účtu do kontejneru v jiném úložném účtu. Když nastavujete zásady replikace objektu, určujete zdrojový účet a kontejner a cílový účet a kontejner. Po nakonfigurování zásad Azure Storage automaticky kopíruje výsledky operací vytvoření, aktualizace a odstranění objektu zdroje do objektu destinace. Další informace o replikaci objektů ve službě Azure Storage viz Replikace objektů pro blokové objekty blob.

Autorizovaný uživatel může nakonfigurovat zásadu replikace objektů, kde je zdrojový účet v jednom tenantovi Microsoft Entra a cílový účet je v jiném tenantovi, pokud je replikace mezi tenanty Microsoft Entra povolená. Pokud zásady zabezpečení vyžadují, abyste omezili replikaci objektů na účty úložiště, které se nacházejí pouze ve stejném tenantovi, můžete zakázat vytváření zásad, ve kterých jsou zdrojové a cílové účty v různých tenantech. Ve výchozím nastavení je replikace objektů mezi tenanty zakázaná pro všechny nové účty úložiště vytvořené po 15. prosinci 2023, pokud ji explicitně nepovolíte.

Tento článek popisuje, jak napravit replikaci objektů mezi nájemci pro vaše účty úložiště. Popisuje také, jak vytvořit zásady k prosazení zákazu replikace objektů mezi nájemci pro nové i stávající úložné účty.

Pro více informací o tom, jak nakonfigurovat zásady replikace objektů, včetně zásad mezi nájemci, viz Konfigurace replikace objektů pro blokové blobové.

Náprava replikace objektů mezi tenanty

Pokud chcete zabránit replikaci objektů mezi tenanty Microsoft Entra, nastavte vlastnost AllowCrossTenantReplication pro účet úložiště na false. Pokud se účet úložiště aktuálně neúčastní žádných zásad replikace objektů mezi tenanty, nastavení vlastnosti AllowCrossTenantReplicationna hodnotu false zabrání budoucí konfiguraci zásad replikace objektů mezi tenanty s tímto účtem úložiště jako zdrojem nebo cílem. Pokud se ale účet úložiště aktuálně účastní jedné nebo více zásad replikace objektů mezi tenanty, nastavení vlastnosti AllowCrossTenantReplication na false není povoleno, dokud neodstraníte stávající zásady mezi tenanty.

Zásady napříč tenanty nejsou ve výchozím nastavení povolené pro účet úložiště vytvořený po 15. prosinci 2023. Vlastnost AllowCrossTenantReplication však nebyla ve výchozím nastavení nastavena pro existující účet úložiště vytvořený před 15. prosincem 2023 a nevrací hodnotu, dokud jste ji explicitně nenastavili. Účet úložiště se může účastnit politik replikace objektů mezi nájemci, pokud je hodnota vlastnosti buď null nebo true pro účty vytvořené před 15. 12. 2023. U účtů vytvořených po této době je třeba nastavit vlastnost na hodnotu true. Nastavením vlastnosti AllowCrossTenantReplication nedojde k žádnému výpadku účtu úložiště.

Opravit replikaci mezi nájemníky pro nový účet

Pokud chcete zakázat replikaci mezi tenatny pro nový účet úložiště, použijte Azure portal, PowerShell nebo Azure CLI. Vlastnost se standardně nastaví na hodnotu „false“ pro nové účty vytvořené po 15. prosinci 2023, i když není nastavena explicitně.

Portál

Chcete-li zakázat replikaci objektů mezi nájemci pro úložiště, postupujte podle těchto kroků:

1. V Azure portálu přejděte na stránku Účty úložiště a vyberte Vytvořit.

2. Vyplňte kartu Základy pro nový účet úložiště.

3. Na kartě Pokročilé v sekci Úložiště Blob vyhledejte nastavení Povolit replikaci mezi tenanty a zrušte zaškrtnutí políčka.

   

4. Dokončete proces vytváření účtu.

PowerShell

Aby bylo zakázáno replikaci objektů mezi nájemci pro nový úložiště, zavolejte příkaz New-AzStorageAccount a zahrňte parametr AllowCrossTenantReplication s hodnotou $false.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account and disallow cross-tenant replication.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_LRS `
    -AllowBlobPublicAccess $false `
    -AllowCrossTenantReplication $false

# Read the property for the new storage account
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowCrossTenantReplication

Azure CLI

Pokud chcete zakázat replikaci objektů mezi tenanty pro nový účet úložiště, zavolejte příkaz az storage account create a zahrňte allow-cross-tenant-replication parametr s hodnotou false.

# Create a storage account with cross-tenant replication disallowed.
az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_LRS \
    --allow-blob-public-access false \
    --allow-cross-tenant-replication false

# Read the property for the new storage account
az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowCrossTenantReplication \
    --output tsv

Vyřešení replikace mezi různými tenanty pro existující účet

Chcete-li zakázat replikaci mezi tenanty pro existující účet úložiště, použijte Azure portal, PowerShell nebo Azure CLI.

Azure Portal

Pokud chcete zakázat replikaci objektů mezi různými tenanty u existujícího účtu úložiště, který se aktuálně neúčastní žádných zásad pro více tenantů, postupujte takto:

1. Na webu Azure Portal přejděte na svůj účet úložiště.

2. V části Správa dat vyberte Replikace objektů.

3. Vyberte Rozšířená nastavení.

4. Zrušte zaškrtnutí políčka Povolit replikaci mezi tenanty. Ve výchozím nastavení je toto políčko zaškrtnuté, protože replikace objektů mezi tenanty je povolena pro účet úložiště, pokud ho explicitně nepovolíte.

   

5. Vyberte OK a uložte provedené změny.

Pokud se úložný účet aktuálně účastní jedné nebo více zásad replikace mezi nájemci, nebudete moci zakázat replikaci objektů mezi nájemci, dokud tyto zásady nesmažete. V tomto scénáři není nastavení dostupné v Azure portálu, jak je ukázáno na následujícím obrázku.

PowerShell

Pokud chcete zakázat replikaci objektů mezi tenanty pro existující účet úložiště, který se aktuálně neúčastní žádných zásad mezi tenanty, nejprve nainstalujte modul Az.Storage PowerShell verze 3.7.0 nebo novější. Dále nakonfigurujte vlastnost AllowCrossTenantReplication pro účet úložiště.

Následující příklad ukazuje, jak zablokovat replikaci objektů mezi různými tenanty pro stávající úložiště pomocí PowerShellu. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"

Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -AllowCrossTenantReplication $false

Pokud se úložný účet aktuálně účastní jedné nebo více zásad replikace mezi nájemci, nebudete moci zakázat replikaci objektů mezi nájemci, dokud tyto zásady nesmažete. PowerShell poskytuje chybu, která naznačuje, že operace selhala kvůli existujícím politikám replikace mezi tenantry.

Azure CLI

Pokud chcete zakázat replikaci objektů mezi tenanty pro existující účet úložiště, který se aktuálně neúčastní žádných zásad mezi tenanty, nejprve nainstalujte Azure CLI verze 2.24.0 nebo novější. Další informace najdete v tématu Instalace Azure CLI. Dále nastavte vlastnost allowCrossTenantReplication pro nový nebo stávající úložiště.

Příklad níže ukazuje, jak zakázat replikaci objektů mezi tenenty pro existující úložný účet pomocí Azure CLI. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allow-cross-tenant-replication false

Pokud se úložný účet aktuálně účastní jedné nebo více zásad replikace mezi nájemci, nebudete moci zakázat replikaci objektů mezi nájemci, dokud tyto zásady nesmažete. Azure CLI zobrazuje chybu, která naznačuje, že operace selhala kvůli existujícím zásadám replikace mezi nájemci.

Poté, co zakážete replikaci mezi nájemníky, pokus o nakonfigurování politiky mezi nájemníky s účtem úložiště jako zdrojem nebo cílem selže. Azure Storage vrátí chybu, která značí, že pro účet úložiště není povolená replikace objektů mezi tenanty.

Pokud je pro účet úložiště zakázána replikace objektů mezi nájemci, musí jakékoli nové zásady replikace objektů, které vytvoříte s tímto účtem, obsahovat úplné ID Azure Resource Manageru pro zdrojový a cílový účet. Azure Storage vyžaduje úplný identifikátor zdroje, aby ověřil, zda se účty zdroje a cíle nacházejí ve stejném nájemci. Další informace najdete v Zadání úplných ID prostředků pro zdrojové a cílové účty.

Vlastnost AllowCrossTenantReplication je podporována pouze pro účty úložiště, které používají model nasazení Azure Resource Manager. Informace o tom, které účty úložiště používají model nasazení Azure Resource Manager, najdete v tématu Typy účtů úložiště.

Oprávnění pro povolení nebo zakázání replikace mezi nájemci

Pokud chcete nastavit vlastnost AllowCrossTenantReplication pro účet úložiště, musí mít uživatel oprávnění k vytváření a správě účtů úložiště. Role řízení přístupu na základě role Azure (Azure RBAC), které poskytují tato oprávnění, zahrnují akci Microsoft.Storage/storageAccounts/write nebo Microsoft.Storage/storageAccounts/* . Vestavěné role s touto akcí zahrnují:

• Azure Resource Manager Role vlastníka
• Role přispěvatele služby Azure Resource Manager
• Role přispěvatele úložišťového účtu

Tyto role neposkytují přístup k datům v účtu úložiště prostřednictvím ID Microsoft Entra. Zahrnují však Microsoft.Storage/storageAccounts/listkeys/action, který uděluje přístup k přístupovým klíčům účtu. S tímto oprávněním může uživatel používat přístupové klíče účtu pro přístup ke všem datům v účtu úložiště.

Přiřazení rolí musí být rozsahově omezena na úroveň účtu úložiště nebo vyšší, aby uživatel mohl povolit nebo zakázat replikaci objektů mezi nájemci u daného účtu úložiště. Další informace o rozsahu role najdete v tématu Pochopení rozsahu pro Azure RBAC.

Dávejte pozor, abyste přiřazování těchto rolí omezili jenom na ty, kteří vyžadují možnost vytvořit účet úložiště nebo aktualizovat jeho vlastnosti. Pomocí principu nejnižšího oprávnění se ujistěte, že uživatelé mají nejmenší oprávnění, která potřebují k plnění svých úkolů. Další informace o správě přístupu pomocí Azure RBAC najdete v tématu Osvědčené postupy pro Azure RBAC.

Poznámka:

Klasické role správce předplatného Service Administrator a Spolusprávce zahrnují ekvivalent role vlastníka Azure Resource Manageru. Role Vlastník zahrnuje všechny akce, takže uživatel s jednou z těchto rolí pro správu může také vytvářet a spravovat účty úložiště. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.

Použití Azure Policy k auditování dodržování předpisů

Pokud máte velký počet účtů pro úložiště, můžete chtít provést audit, abyste se ujistili, že jsou tyto účty nakonfigurovány tak, aby zabránily replikaci objektů mezi nájemníky. Pokud chcete auditovat sadu účtů úložiště pro dodržování předpisů, použijte Azure Policy. Azure Policy je služba, kterou můžete použít k vytváření, přiřazování a správě zásad, které se vztahují na prostředky Azure. Azure Policy pomáhá udržovat tyto prostředky v souladu s vašimi firemními standardy a smlouvami o úrovni služeb. Další informace najdete v tématu Přehled služby Azure Policy.

Vytvořte zásadu s auditním účinkem

Azure Policy podporuje efekty, které určují, jaký bude výsledek, když se pravidlo zásad vyhodnotí vůči prostředku. Efekt auditování vytvoří upozornění, pokud prostředek není v souladu s předpisy, ale nezastaví požadavek. Další informace o efektech najdete v tématu Vysvětlení efektů Azure Policy.

Chcete-li vytvořit zásadu s efektem Audit pro nastavení replikace objektů mezi tenanty pro účet úložiště pomocí Azure portálu, postupujte takto:

1. Na webu Azure Portal přejděte do služby Azure Policy.

2. V části Vytváření obsahu vyberte Definice.

3. Výběrem možnosti Přidat definici zásady vytvořte novou definici zásady.

4. Pro pole Umístění definice vyberte tlačítko Více a určete, kde se nachází prostředek zásad auditu.

5. Zadejte název pro tuto zásadu. Volitelně můžete upřesnit popis a kategorii.

6. V části Pravidlo zásad přidejte do oddílu policyRule následující definici zásady.

   {
     "if": {
       "allOf": [
         {
           "field": "type",
           "equals": "Microsoft.Storage/storageAccounts"
         },
         {
           "not": {
             "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
             "equals": "false"
           }
         }
       ]
     },
     "then": {
       "effect": "audit"
     }
   }
   

7. Uložit politiku.

Přiřaďte zásadu

Dále přiřaďte zásady k prostředku. Rozsah zásady se vztahuje na daný prostředek a všechny prostředky pod ním. Další informace o přiřazení zásad najdete v tématu Struktura přiřazení Azure Policy.

Pokud chcete zásady přiřadit pomocí webu Azure Portal, postupujte takto:

1. Na webu Azure Portal přejděte do služby Azure Policy.
2. V části Vytváření obsahu vyberte Zadání.
3. Výběrem možnosti Přiřadit zásadu vytvořte nové přiřazení zásad.
4. U pole Obor vyberte obor přiřazení zásady.
5. V poli Definice zásady vyberte tlačítko Další a pak ze seznamu vyberte zásadu, kterou jste definovali v předchozí části.
6. Zadejte název přiřazení zásad. Popis je volitelný.
7. Ponechte vynucování zásad nastavené na Povoleno. Toto nastavení nemá žádný vliv na zásady auditu.
8. Výběrem možnosti Zkontrolovat a vytvořit vytvoříte úkol.

Zobrazit sestavu dodržování předpisů

Poté, co přiřadíte zásady, můžete zobrazit zprávu o shodě. Zpráva o shodě pro auditní politiku poskytuje informace o tom, které úložné účty stále umožňují replikaci objektových politik mezi tenanty. Další informace najdete v části Získání údajů o dodržování zásad.

Po vytvoření přiřazení zásady může trvat několik minut, než se sestava dodržování předpisů zpřístupní.

Pokud chcete zobrazit sestavu dodržování předpisů na webu Azure Portal, postupujte takto:

1. Na webu Azure Portal přejděte do služby Azure Policy.

2. Vyberte Dodržování předpisů.

3. Vyfiltrujte výsledky pro název přiřazení politiky, které jste vytvořili v předchozím kroku. Sestava zobrazuje prostředky, které nejsou v souladu s politikou.

4. Můžete přejít k podrobnostem sestavy a získat další podrobnosti, včetně seznamu účtů úložiště, které nejsou v souladu s předpisy.

   

Použití služby Azure Policy k vynucení zásad replikace stejného tenanta

Azure Policy podporuje zásady správného řízení v cloudu tím, že zajistí, aby prostředky Azure dodržovaly požadavky a standardy. Aby bylo zajištěno, že účty úložiště ve vaší organizaci nepovolují replikaci mezi tenaty, můžete vytvořit zásadu, která zabrání vytvoření nového účtu úložiště umožňujícího zásady replikace objektů mezi tenaty. Pravidlo prosazování používá efekt Zamítnout, aby zabránilo požadavku, který by vytvořil nebo upravil účet úložiště tak, aby umožnil replikaci objektů mezi nájemci. Zásada Odepřít také zabrání všem změnám konfigurace existujícího účtu, pokud nastavení replikace objektu mezi tenanty pro tento účet nevyhovuje zásadám. Další informace o efektu zamítnutí najdete v tématu Vysvětlení efektů Azure Policy.

Pokud chcete vytvořit zásadu s účinkem Deny pro replikaci objektů mezi tenanty, postupujte podle stejných kroků popsaných v tématu Použití služby Azure Policy k auditování dodržování předpisů, ale v části pravidla zásad (policyRule) definice zásady zadejte následující kód JSON:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Po vytvoření zásady s efektem Odepřít a přiřazením k oboru nemůže uživatel vytvořit účet úložiště, který umožňuje replikaci objektů mezi tenanty. Ani uživatel nemůže provádět žádné změny konfigurace u stávajícího úložiště, které v současné době umožňuje replikaci objektů mezi nájemci. Při pokusu o to dojde k chybě. Vlastnost AllowCrossTenantReplication pro úložný účet musí být nastavena na false, aby bylo možné pokračovat ve vytvoření účtu nebo aktualizacích konfigurace, v souladu s politikou.

Následující obrázek ukazuje chybu, ke které dojde, když se pokusíte vytvořit účet úložiště, který umožňuje replikaci objektů mezi tenanty (výchozí nastavení pro nový účet), když zásada s efektem Odepřít vyžaduje, aby replikace objektů mezi tenanty byla zakázána.

Viz také

• Replikace objektů pro blokové blob
• Konfigurace replikace objektů pro objekty blob bloku
• Doporučení zabezpečení pro Blob storage