Omezení zdroje operací kopírování na účet úložiště

Z bezpečnostních důvodů můžou správci úložiště chtít omezit prostředí, ze kterých se data dají zkopírovat do zabezpečených účtů. Omezení rozsahu povolených operací kopírování pomáhá zabránit infiltraci nežádoucích dat z nedůvěryhodných tenantů nebo virtuálních sítí.

Tento článek popisuje, jak omezit zdrojové účty operací kopírování na účty ve stejném tenantovi jako cílový účet nebo s privátními propojeními na stejnou virtuální síť jako cíl.

Důležité

Povolený obor pro operace kopírování je aktuálně ve verzi PREVIEW. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Povolený obor pro operace kopírování (Preview)

Vlastnost AllowedCopyScope účtu úložiště slouží k určení prostředí, ze kterých lze data zkopírovat do cílového účtu. Zobrazí se na webu Azure Portal jako nastavení konfigurace Povolené nastavení pro operace kopírování (Preview). Vlastnost není nastavena ve výchozím nastavení a nevrací hodnotu, dokud ji explicitně nenastavíte. Má tři možné hodnoty:

• (null) (výchozí): Povolí kopírování z libovolného účtu úložiště do cílového účtu.
• ID Microsoft Entra: Povoluje kopírování pouze z účtů ve stejném tenantovi Microsoft Entra jako cílový účet.
• PrivateLink: Povoluje kopírování pouze z účtů úložiště, které mají privátní propojení se stejnou virtuální sítí jako cílový účet.

Toto nastavení platí pro operace kopírování objektů blob a kopírování objektu blob z adresy URL. Příklady nástrojů, které používají kopírovat objekt blob, jsou AzCopy a Průzkumník služby Azure Storage.

Pokud zdroj žádosti o kopírování nesplňuje požadavky zadané tímto nastavením, požadavek selže se stavovým kódem HTTP 403 (Zakázáno).

Vlastnost AllowedCopyScope je podporovaná pro účty úložiště, které používají pouze model nasazení Azure Resource Manageru. Informace o tom, které účty úložiště používají model nasazení Azure Resource Manager, najdete v tématu Typy účtů úložiště.

Identifikace zdrojových účtů úložiště operací kopírování

Před změnou hodnoty AllowedCopyScope pro účet úložiště identifikujte uživatele, aplikace nebo služby, které by změna ovlivnila. V závislosti na vašich zjištěních může být nutné upravit nastavení na obor, který zahrnuje všechny požadované zdroje kopírování, nebo upravit síť nebo konfiguraci Microsoft Entra pro některé ze zdrojových účtů úložiště.

Protokoly služby Azure Storage zaznamenávají podrobnosti o požadavcích provedených vůči účtu úložiště, včetně zdroje a cíle operací kopírování. Další informace najdete v tématu Monitorování služby Azure Storage. Povolte a analyzujte protokoly a identifikujte operace kopírování, které by mohly být ovlivněny změnou AllowedCopyScope pro cílový účet úložiště.

Vytvoření nastavení diagnostiky na webu Azure Portal

Pokud chcete data Azure Storage protokolovat pomocí Služby Azure Monitor a analyzovat je pomocí Azure Log Analytics, musíte nejprve vytvořit nastavení diagnostiky, které označuje typy požadavků a pro které služby úložiště chcete protokolovat data. Pokud chcete vytvořit nastavení diagnostiky na webu Azure Portal, postupujte takto:

1. V předplatném, které obsahuje váš účet Azure Storage, vytvořte nový pracovní prostor služby Log Analytics nebo použijte existující pracovní prostor služby Log Analytics. Po nakonfigurování protokolování pro účet úložiště budou protokoly dostupné v pracovním prostoru služby Log Analytics. Další informace najdete v tématu Vytvoření pracovního prostoru služby Log Analytics na webu Azure Portal.

2. Na webu Azure Portal přejděte na svůj účet úložiště.

3. V části Monitorování vyberte Nastavení diagnostiky.

4. Vyberte službu Azure Storage, pro kterou chcete protokolovat požadavky. Můžete například zvolit objekt blob pro protokolování požadavků do služby Blob Storage.

5. Vyberte Přidat nastavení diagnostiky.

6. Zadejte název nastavení diagnostiky.

7. V části Kategorie v části Protokoly zvolte StorageRead, StorageWrite a StorageDelete a zaprotokolujte všechny požadavky na data do vybrané služby.

8. V části Podrobnosti o cíli vyberte Možnost Odeslat do pracovního prostoru služby Log Analytics. Vyberte své předplatné a pracovní prostor služby Log Analytics, který jste vytvořili dříve, jak je znázorněno na následujícím obrázku, a pak vyberte Uložit.

   

Po vytvoření nastavení diagnostiky se požadavky na účet úložiště následně zaprotokolují podle daného nastavení. Další informace najdete v tématu Vytvoření nastavení diagnostiky pro shromažďování protokolů prostředků a metrik v Azure.

Dotazování protokolů pro žádosti o kopírování

Protokoly azure Storage zahrnují všechny požadavky na kopírování dat do účtu úložiště z jiného zdroje. Položky protokolu zahrnují název cílového účtu úložiště a identifikátor URI zdrojového objektu spolu s informacemi, které pomáhají identifikovat klienta požadujícího kopii. Kompletní referenční informace o polích dostupných v protokolech služby Azure Storage ve službě Azure Monitor najdete v protokolech prostředků.

Pokud chcete načíst protokoly pro požadavky na kopírování objektů blob provedených za posledních 7 dnů, postupujte takto:

1. Na webu Azure Portal přejděte na svůj účet úložiště.

2. V části Monitorování vyberte Protokoly.

3. Vložte následující dotaz do nového dotazu protokolu a spusťte ho. Tento dotaz zobrazí zdrojové objekty, na které se nejčastěji odkazuje v požadavcích na kopírování dat do zadaného účtu úložiště. V následujícím příkladu nahraďte zástupný text <account-name> vlastním názvem účtu úložiště.

   StorageBlobLogs
   | where OperationName has "CopyBlobSource" and TimeGenerated > ago(7d) and AccountName == "<account-name>"
   | summarize count() by Uri, CallerIpAddress, UserAgentHeader
   

Výsledky dotazu by měly vypadat nějak takto:

Identifikátor URI je úplná cesta ke zdrojovému objektu, který se kopíruje, včetně názvu účtu úložiště, názvu kontejneru a názvu souboru. V seznamu identifikátorů URI určete, jestli by operace kopírování byly blokované, pokud se použilo konkrétní nastavení AllowedCopyScope .

Můžete také nakonfigurovat pravidlo upozornění na základě tohoto dotazu, které vás upozorní na žádosti o kopírování objektů blob pro účet. Další informace najdete v tématu Vytvoření, zobrazení a správa upozornění protokolu pomocí služby Azure Monitor.

Omezení povoleného oboru pro operace kopírování (Preview)

Pokud máte jistotu, že můžete bezpečně omezit zdroje požadavků kopírování na konkrétní obor, můžete nastavit vlastnost AllowedCopyScope pro účet úložiště na tento obor.

Oprávnění ke změně povoleného oboru pro operace kopírování (Preview)

Pokud chcete nastavit vlastnost AllowedCopyScope pro účet úložiště, musí mít uživatel oprávnění k vytvoření a správě účtů úložiště. Role řízení přístupu na základě role Azure (Azure RBAC), které poskytují tato oprávnění, zahrnují akci Microsoft.Storage/storageAccounts/write nebo Microsoft.Storage/storageAccounts/* . Mezi předdefinované role s touto akcí patří:

• Role vlastníka Azure Resource Manageru
• Role Přispěvatel Azure Resource Manageru
• Role Přispěvatel účtu úložiště

Tyto role neposkytují přístup k datům v účtu úložiště prostřednictvím ID Microsoft Entra. Zahrnují však microsoft.Storage/storageAccounts/listkeys/action, která uděluje přístup k přístupovým klíčům účtu. S tímto oprávněním může uživatel používat přístupové klíče účtu pro přístup ke všem datům v účtu úložiště.

Přiřazení rolí musí být vymezena na úroveň účtu úložiště nebo vyšší, aby uživatel omezil rozsah operací kopírování pro účet. Další informace o oboru role najdete v tématu Vysvětlení oboru pro Azure RBAC.

Dávejte pozor, abyste přiřazování těchto rolí omezili jenom na ty, kteří vyžadují možnost vytvořit účet úložiště nebo aktualizovat jeho vlastnosti. Pomocí principu nejnižšího oprávnění se ujistěte, že uživatelé mají nejmenší oprávnění, která potřebují k plnění svých úkolů. Další informace o správě přístupu pomocí Azure RBAC najdete v tématu Osvědčené postupy pro Azure RBAC.

Poznámka:

Role klasického správce předplatného Service Správa istrator a Spolu Správa istrator zahrnují ekvivalent role vlastníka Azure Resource Manageru. Role Vlastník zahrnuje všechny akce, takže uživatel s jednou z těchto rolí pro správu může také vytvářet a spravovat účty úložiště. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.

Konfigurace povoleného oboru pro operace kopírování (Preview)

Pomocí účtu, který má potřebná oprávnění, nakonfigurujte povolený obor pro operace kopírování na webu Azure Portal pomocí PowerShellu nebo pomocí Azure CLI.

Azure Portal

Pokud chcete nakonfigurovat povolený obor pro operace kopírování pro existující účet úložiště na webu Azure Portal, postupujte takto:

1. Na webu Azure Portal přejděte na svůj účet úložiště.

2. V části Nastavení vyberte Konfigurace.

3. Nastavte povolený obor pro operace kopírování (Preview) na jednu z následujících možností:

   • Z libovolného účtu úložiště
   • Z účtů úložiště ve stejném tenantovi Microsoft Entra
   • Z účtů úložiště, které mají privátní koncový bod do stejné virtuální sítě

   

4. Zvolte Uložit.

PowerShell

Pokud chcete nakonfigurovat povolený obor pro operace kopírování pro nový nebo existující účet úložiště pomocí PowerShellu, nainstalujte modul Az.Storage PowerShell verze 4.9.0 nebo novější. Dále nakonfigurujte vlastnost AllowedCopyScope pro nový nebo existující účet úložiště. Jediné podporované hodnoty pro povolený parametrCopyScope jsou Microsoft Entra ID nebo PrivateLink. Pokud chcete nastavit AllowedCopyScope na výchozí nastavení z libovolného účtu úložiště, budete ho muset změnit na webu Azure Portal.

Následující příklad ukazuje, jak nastavit Vlastnost AllowedCopyScope pro existující účet úložiště tak, aby umožňovala kopírování dat pouze z účtů úložiště ve stejném tenantovi Microsoft Entra. Zástupné hodnoty v lomených závorkách (<>) nahraďte vlastními hodnotami:

Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -AccountName <storage-account> `
    -allowedCopyScope "AAD"

Následující příklad ukazuje, jak nastavit AllowedCopyScope vlastnost pro existující účet úložiště povolit kopírování dat pouze z účtů úložiště s privátními propojeními do stejné virtuální sítě. Zástupné hodnoty v lomených závorkách (<>) nahraďte vlastními hodnotami:

Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -AccountName <storage-account> `
    -allowedCopyScope "PrivateLink"

Azure CLI

Pokud chcete nakonfigurovat povolený obor pro operace kopírování pro nový nebo existující účet úložiště pomocí Azure CLI, proveďte následující kroky:

1. Nainstalujte si nejnovější verzi Azure CLI. Další informace najdete v tématu Instalace Azure CLI.

2. Nainstalujte rozšíření Azure CLI Storage ve verzi Preview pomocí příkazu az extension add -n storage-preview.

   Důležité

   Rozšíření Azure CLI Storage ve verzi Preview přidává podporu pro funkce nebo argumenty, které jsou aktuálně ve verzi PREVIEW.

   Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

3. Pomocí argumentu povoleného rozsahuaz storage account create kopírování nebo az storage account update příkazu nakonfigurujte vlastnost AllowedCopyScope pro nový nebo existující účet úložiště. Jedinými podporovanými hodnotami argumentu jsou Microsoft Entra ID nebo PrivateLink. Pokud chcete nastavit AllowedCopyScope na výchozí nastavení z libovolného účtu úložiště, budete ho muset změnit na webu Azure Portal.

Následující příklad ukazuje, jak nakonfigurovat Vlastnost AllowedCopyScope pro existující účet úložiště tak, aby umožňovala kopírování dat do cílového účtu pouze z účtů úložiště ve stejném tenantovi Microsoft Entra. Zástupné hodnoty v lomených závorkách (<>) nahraďte vlastními hodnotami:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allowed-copy-scope "AAD"

Následující příklad ukazuje, jak nakonfigurovat povolený rozsah operací kopírování pro existující účet úložiště tak, aby umožňoval kopírování dat do cílového účtu pouze z účtů úložiště s privátními propojeními do stejné virtuální sítě. Zástupné hodnoty v lomených závorkách (<>) nahraďte vlastními hodnotami:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allowed-copy-scope "PrivateLink"

Další kroky

• Vyžadovat zabezpečený přenos, aby se zajistila zabezpečená připojení
• Náprava anonymního přístupu pro čtení k datům objektů blob (nasazení Azure Resource Manageru)
• Zabránění autorizaci sdíleného klíče pro účet služby Azure Storage