Autorizace přístupu k frontám pomocí podmínek přiřazení rolí Azure
Řízení přístupu na základě atributů (ABAC) je strategie autorizace, která definuje úrovně přístupu na základě atributů přidružených k žádosti o přístup, jako je objekt zabezpečení, prostředek, prostředí a samotný požadavek. Pomocí ABAC můžete udělit přístup objektu zabezpečení k prostředku na základě podmínek přiřazení role Azure.
Důležité
Řízení přístupu na základě atributů Azure (Azure ABAC) je obecně dostupné (GA) pro řízení přístupu ke službě Azure Blob Storage, Azure Data Lake Storage Gen2 a Frontám Azure pomocí requestresourceenvironment, a atributů v úrovních výkonu účtu služby Azure Storage úrovně Standard i principal Premium Storage. Atribut prostředku metadat kontejneru a objekt blob seznamu obsahují atribut požadavku v náhledu. Úplné informace o stavu funkcí ABAC pro Azure Storage najdete v tématu Stav funkcí podmínky ve službě Azure Storage.
Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.
Přehled podmínek ve službě Azure Storage
K autorizaci požadavků na prostředky úložiště Azure pomocí Azure RBAC můžete použít Microsoft Entra ID (Microsoft Entra ID). Azure RBAC pomáhá spravovat přístup k prostředkům tím, že definuje, kdo má přístup k prostředkům a co může s těmito prostředky dělat, pomocí definic rolí a přiřazení rolí. Azure Storage definuje sadu předdefinovaných rolí Azure, které zahrnují běžné sady oprávnění používaných pro přístup k datům úložiště Azure. Vlastní role můžete definovat také pomocí vybraných sad oprávnění. Azure Storage podporuje přiřazení rolí pro účty úložiště i kontejnery objektů blob nebo fronty.
Azure ABAC staví na Azure RBAC přidáním podmínek přiřazení rolí v kontextu konkrétních akcí. Podmínka přiřazení role je další kontrola, která se vyhodnocuje při autorizaci akce s prostředkem úložiště. Tato podmínka je vyjádřena jako predikát pomocí atributů přidružených k některé z následujících:
- Objekt zabezpečení, který žádá o autorizaci
- Prostředek, ke kterému se požaduje přístup
- Parametry požadavku
- Prostředí, ze kterého žádost pochází
Výhody používání podmínek přiřazení rolí:
- Povolte jemně odstupňovaný přístup k prostředkům – například pokud chcete uživateli udělit přístup k náhledu zpráv v konkrétní frontě, můžete použít náhled zpráv DataAction a atribut úložiště názvů front.
- Snižte počet přiřazení rolí, které musíte vytvořit a spravovat – můžete to provést pomocí zobecněného přiřazení role pro skupinu zabezpečení a následným omezením přístupu jednotlivých členů skupiny pomocí podmínky, která odpovídá atributům objektu zabezpečení s atributy konkrétního prostředku, ke kterému se přistupuje (například fronta).
- Pravidla expresního řízení přístupu z hlediska atributů s obchodním významem – můžete například vyjádřit své podmínky pomocí atributů, které představují název projektu, obchodní aplikaci, funkci organizace nebo úroveň klasifikace.
Nevýhodou používání podmínek je, že při používání atributů ve vaší organizaci potřebujete strukturovanou a konzistentní taxonomii. Atributy musí být chráněné, aby se zabránilo ohrožení přístupu. Podmínky musí být také pečlivě navrženy a zkontrolovány pro jejich účinek.
Podporované atributy a operace
K dosažení těchto cílů můžete nakonfigurovat podmínky přiřazení rolí pro DataActions . Podmínky můžete použít s vlastní rolí nebo vybrat předdefinované role. Všimněte si, že podmínky nejsou podporovány pro akce správy prostřednictvím poskytovatele prostředků úložiště.
Do předdefinovaných rolí nebo vlastních rolí můžete přidat podmínky. Mezi předdefinované role, pro které můžete použít podmínky přiřazení role, patří:
- Přispěvatel dat fronty služby Storage
- Zpracovatel zpráv fronty úložiště
- Odesílatel datové zprávy fronty úložiště
- Čtenář dat fronty úložiště
Podmínky můžete použít s vlastními rolemi, pokud role obsahuje akce, které podporují podmínky.
Formát podmínky přiřazení role Azure umožňuje použití @Principal@Resource atributů v @Request podmínkách. Atribut @Principal je vlastní atribut zabezpečení objektu zabezpečení, jako je uživatel, podniková aplikace (instanční objekt) nebo spravovaná identita. Atribut @Resource odkazuje na existující atribut prostředku úložiště, ke kterému se přistupuje, například účet úložiště nebo fronta. Atribut @Request odkazuje na atribut nebo parametr zahrnutý v požadavku operace úložiště.
Azure RBAC v současné době podporuje 2 000 přiřazení rolí v předplatném. Pokud potřebujete vytvořit tisíce přiřazení rolí Azure, můžete narazit na tento limit. Správa stovek nebo tisíců přiřazení rolí může být obtížná. V některých případech můžete pomocí podmínek snížit počet přiřazení rolí v účtu úložiště a usnadnit jejich správu. Správu přiřazení rolí můžete škálovat pomocí podmínek a vlastních atributů zabezpečení Microsoft Entra pro objekty zabezpečení.
Další kroky
- Požadavky na podmínky přiřazení rolí Azure
- Akce a atributy pro podmínky přiřazení rolí Azure ve službě Azure Storage
- Příklady podmínek přiřazení rolí Azure
- Řešení potíží s podmínkami přiřazení rolí Azure
Viz také
- Co je řízení přístupu na základě atributů Azure (Azure ABAC)?
- Nejčastější dotazy k podmínkám přiřazení rolí Azure
- Formát a syntaxe podmínky přiřazení role Azure
- Škálování správy přiřazení rolí Azure pomocí podmínek a vlastních atributů zabezpečení
- Aspekty zabezpečení pro podmínky přiřazení rolí Azure ve službě Azure Storage
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro