Objektumreplikálás megakadályozása a Microsoft Entra-bérlők között
Az objektumreplikálás aszinkron módon másolja a blokkblobokat az egyik tárfiók egyik tárolójából egy másik tárfiók egyik tárolójába. Objektumreplikációs szabályzat konfigurálásakor meg kell adnia a forrásfiókot és a tárolót, valamint a célfiókot és a tárolót. A szabályzat konfigurálása után az Azure Storage automatikusan átmásolja a forrásobjektumon végzett létrehozási, frissítési és törlési műveletek eredményeit a célobjektumba. Az Azure Storage-beli objektumreplikálással kapcsolatos további információkért lásd a blokkblobok objektumreplikálását ismertető témakört.
Egy jogosult felhasználó konfigurálhat egy objektumreplikációs szabályzatot, amelyben a forrásfiók egy Microsoft Entra-bérlőben található, a célfiók pedig egy másik bérlőben található, ha a bérlők közötti replikáció engedélyezve van a Microsoft Entra-bérlők között. Ha a biztonsági szabályzatok megkövetelik, hogy az objektumreplikációt olyan tárfiókokra korlátozza, amelyek csak ugyanabban a bérlőben találhatók, letilthatja az olyan házirendek létrehozását, amelyekben a forrás- és célfiókok különböző bérlőkben találhatók. Alapértelmezés szerint a bérlők közötti objektumreplikálás le van tiltva a 2023. december 15. után létrehozott összes új tárfiók esetében, kivéve, ha kifejezetten engedélyezi azt.
Ez a cikk bemutatja, hogyan szervizelheti a bérlők közötti objektumreplikálást a tárfiókok esetében. Azt is ismerteti, hogyan hozhat létre házirendeket az új és a meglévő tárfiókok bérlőközi objektumreplikációs tilalmának kikényszerítéséhez.
További információ az objektumreplikációs szabályzatok konfigurálásáról, beleértve a bérlők közötti házirendeket is, lásd: Objektumreplikálás konfigurálása blokkblobokhoz.
Bérlőközi objektumreplikálás szervizelése
Ha meg szeretné akadályozni az objektumreplikációt a Microsoft Entra-bérlők között, állítsa a tárfiók AllowCrossTenantReplication tulajdonságát hamisra. Ha egy tárfiók jelenleg nem vesz részt bérlők közötti objektumreplikációs szabályzatokban, akkor az AllowCrossTenantReplication tulajdonság hamis értékre állítása megakadályozza a bérlők közötti objektumreplikációs szabályzatok későbbi konfigurálását ezzel a tárfiókkal forrásként vagy célként. Ha azonban egy tárfiók jelenleg egy vagy több bérlőközi objektumreplikációs házirendben vesz részt, akkor az AllowCrossTenantReplication tulajdonság hamis értékre állítása csak akkor engedélyezett, ha törli a meglévő bérlőközi házirendeket.
A bérlők közötti házirendek alapértelmezés szerint nem engedélyezettek a 2023. december 15. után létrehozott tárfiókokhoz. Az AllowCrossTenantReplication tulajdonság azonban alapértelmezés szerint nem lett beállítva a 2023. december 15. előtt létrehozott meglévő tárfiókhoz, és csak akkor ad vissza értéket, ha kifejezetten beállította. A tárfiók részt vehet a bérlők objektumreplikációs szabályzataiban, ha a tulajdonság értéke null vagy igaz a 2023. 15. dev 15. előtt létrehozott fiókok esetében. Az ezt követően létrehozott fiókok esetében a tulajdonságot igaz értékre kell állítani. Az AllowCrossTenantReplication tulajdonság beállítása nem jár leállással a tárfiókban.
Bérlők közötti replikáció szervizelése új fiókhoz
Ha le szeretné tiltani a bérlők közötti replikációt egy új tárfiókhoz, használja az Azure Portalt, a PowerShellt vagy az Azure CLI-t. A tulajdonság alapértelmezés szerint hamis lesz a 2023. december 15. után létrehozott új fiókok esetében, még akkor is, ha nincs explicit módon beállítva.
A tárfiókok bérlőközi objektumreplikálásának letiltásához kövesse az alábbi lépéseket:
Az Azure Portalon lépjen a Tárfiókok lapra, és válassza a Létrehozás lehetőséget.
Töltse ki az új tárfiók Alapismeretek lapjának kitöltését.
A Speciális lap Blob Storage szakaszában keresse meg a Bérlők közötti replikáció engedélyezése beállítást, és törölje a jelet a jelölőnégyzetből.
Fejezze be a fiók létrehozásának folyamatát.
Bérlők közötti replikáció szervizelése meglévő fiókhoz
Ha le szeretné tiltani a bérlők közötti replikációt egy meglévő tárfiókhoz, használja az Azure Portalt, a PowerShellt vagy az Azure CLI-t.
Ha le szeretné tiltani a bérlőközi objektumreplikálást egy olyan meglévő tárfiók esetében, amely jelenleg nem vesz részt bérlőközi szabályzatokban, kövesse az alábbi lépéseket:
Navigáljon az Azure portálon a címen a tárolófiókjához.
Az Adatkezelés területen válassza az Objektumreplikálás lehetőséget.
Válassza ki a Speciális beállítások elemet.
Törölje a jelet a bérlők közötti replikáció engedélyezése jelölőnégyzetből. Alapértelmezés szerint ez a jelölőnégyzet be van jelölve, mert a bérlők közötti objektumreplikálás csak akkor engedélyezett egy tárfiók esetében, ha kifejezetten nem engedélyezi azt.
A módosítások mentéséhez kattintson az OK gombra .
Ha a tárfiók jelenleg egy vagy több bérlőközi replikációs házirendben vesz részt, nem tilthatja le a bérlők közötti objektumreplikálást, amíg el nem törli ezeket a házirendeket. Ebben a forgatókönyvben a beállítás nem érhető el az Azure Portalon, ahogy az az alábbi képen is látható.
Miután letiltotta a bérlők közötti replikációt, megkísérli konfigurálni a bérlők közötti szabályzatot a tárfiókkal, mert a forrás vagy a cél meghiúsul. Az Azure Storage hibát ad vissza, amely azt jelzi, hogy a bérlők közötti objektumreplikálás nem engedélyezett a tárfiók számára.
Ha a bérlők közötti objektumreplikálás nem engedélyezett egy tárfiók esetében, akkor az ezzel a fiókkal létrehozott új objektumreplikációs szabályzatoknak tartalmazniuk kell a forrás- és célfiók teljes Azure Resource Manager-azonosítóját. Az Azure Storage megköveteli a teljes erőforrás-azonosítót annak ellenőrzéséhez, hogy a forrás- és célfiókok ugyanabban a bérlőben találhatók-e. További információ: A forrás- és célfiókok teljes erőforrásazonosítóinak megadása.
Az AllowCrossTenantReplication tulajdonság csak az Azure Resource Manager üzemi modellt használó tárfiókok esetében támogatott. További információ arról, hogy mely tárfiókok használják az Azure Resource Manager-alapú üzemi modellt, lásd a tárfiókok típusait.
A bérlők közötti replikáció engedélyezésére vagy letiltására vonatkozó engedélyek
A tárfiók AllowCrossTenantReplication tulajdonságának beállításához a felhasználónak rendelkeznie kell a tárfiókok létrehozásához és kezeléséhez szükséges engedélyekkel. Az engedélyeket biztosító Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök közé tartozik a Microsoft.Storage/storageAccounts/write vagy a Microsoft.Storage/storageAccounts/* művelet. A művelettel beépített szerepkörök a következők:
- Az Azure Resource Manager Tulajdonos szerepköre
- Az Azure Resource Manager Hozzájáruló szerepkör
- A Storage Account Contributor szerepkör
Ezek a szerepkörök nem biztosítanak hozzáférést a tárfiókban lévő adatokhoz a Microsoft Entra-azonosítón keresztül. Ezek közé tartozik azonban a Microsoft.Storage/StorageAccounts/listkeys/action, amely hozzáférést biztosít a fiók hozzáférési kulcsaihoz. Ezzel az engedéllyel a felhasználó a fiók hozzáférési kulcsaival hozzáférhet a tárfiók összes adatához.
A szerepkör-hozzárendeléseket a tárfiók szintjére kell korlátozni, hogy a felhasználó engedélyezhesse vagy tiltsa le a bérlők közötti objektumreplikálást a tárfiókhoz. A szerepkörök hatóköréről további információt az Azure RBAC hatókörének ismertetése című témakörben talál.
Ügyeljen arra, hogy csak azokra korlátozza a szerepkörök hozzárendelését, akiknek szükségük van tárfiók létrehozására vagy tulajdonságainak frissítésére. Használja a minimális jogosultság elvét annak biztosítására, hogy a felhasználók a legkevesebb engedéllyel rendelkezzenek a feladataik elvégzéséhez. Az Azure RBAC-hozzáférés kezelésével kapcsolatos további információkért tekintse meg az Azure RBAC ajánlott eljárásait.
Megjegyzés:
A klasszikus előfizetés-rendszergazdai szerepkörök a Service Rendszergazda istrator és a Co-Rendszergazda istrator az Azure Resource Manager tulajdonosi szerepkörével egyenértékűek. A Tulajdonos szerepkör minden műveletet tartalmaz, így egy ilyen felügyeleti szerepkörrel rendelkező felhasználó tárfiókokat is létrehozhat és kezelhet. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.
Megfelelőség naplózása az Azure Policy használatával
Ha nagy számú tárfiókkal rendelkezik, érdemes lehet naplózni, hogy ezek a fiókok konfigurálva legyenek a bérlők közötti objektumreplikálás megakadályozására. A megfelelőségi tárfiókok naplózásához használja az Azure Policyt. Az Azure Policy olyan szolgáltatás, amellyel szabályokat alkalmazó szabályzatokat hozhat létre, rendelhet hozzá és kezelhet az Azure-erőforrásokra. Az Azure Policy segít ezeknek az erőforrásoknak a vállalati szabványoknak és szolgáltatásiszint-szerződéseknek való megfelelésében. További információ: Az Azure Policy áttekintése.
Szabályzat létrehozása naplózási effektussal
Az Azure Policy támogatja azokat a effektusokat, amelyek meghatározzák, hogy mi történik, ha egy szabályzatszabályt kiértékelnek egy erőforráson. A naplózási effektus figyelmeztetést hoz létre, ha egy erőforrás nem felel meg a megfelelőségnek, de nem állítja le a kérést. Az effektusokról további információt az Azure Policy-effektusok ismertetése című témakörben talál.
Ha naplózási effektussal szeretne létrehozni egy szabályzatot egy tárfiók bérlőközi objektumreplikációs beállításához az Azure Portalon, kövesse az alábbi lépéseket:
In the Azure portal, navigate to the Azure Policy service.
A Létrehozás szakaszban válassza a Definíciók lehetőséget.
Új szabályzatdefiníció létrehozásához válassza a Szabályzatdefiníció hozzáadása lehetőséget.
A Definíció helye mezőben válassza a Továbbiak gombot a naplózási szabályzat erőforrásának helyének megadásához.
Specify a name for the policy. You can optionally specify a description and category.
A Szabályzatszabály területen adja hozzá a következő szabályzatdefiníciót a policyRule szakaszhoz.
{ "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Storage/storageAccounts" }, { "not": { "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication", "equals": "false" } } ] }, "then": { "effect": "audit" } }
Save the policy.
Assign the policy
Next, assign the policy to a resource. The scope of the policy corresponds to that resource and any resources beneath it. A szabályzat-hozzárendeléssel kapcsolatos további információkért tekintse meg az Azure Policy hozzárendelési struktúráját.
To assign the policy with the Azure portal, follow these steps:
- In the Azure portal, navigate to the Azure Policy service.
- A Létrehozás szakaszban válassza a Hozzárendelések lehetőséget.
- Új szabályzat-hozzárendelés létrehozásához válassza a Szabályzat hozzárendelése lehetőséget.
- A Hatókör mezőben válassza ki a szabályzat-hozzárendelés hatókörét.
- A Szabályzatdefiníció mezőnél válassza az Egyebek gombot, majd válassza ki az előző szakaszban definiált szabályzatot a listából.
- Provide a name for the policy assignment. The description is optional.
- Hagyja engedélyezve a házirend-kényszerítési beállítást. This setting has no effect on the audit policy.
- Válassza a Véleményezés + létrehozás lehetőséget a hozzárendelés létrehozásához.
Megfelelőségi jelentés megtekintése
Miután hozzárendelte a szabályzatot, megtekintheti a megfelelőségi jelentést. A naplózási szabályzat megfelelőségi jelentése tájékoztatást nyújt arról, hogy mely tárfiókok engedélyezik a bérlők közötti objektumreplikációs szabályzatokat. További információ: Szabályzatmegfelelési adatok lekérése.
A szabályzat-hozzárendelés létrehozása után eltarthat néhány percig, amíg a megfelelőségi jelentés elérhetővé válik.
A megfelelőségi jelentés azure portalon való megtekintéséhez kövesse az alábbi lépéseket:
In the Azure portal, navigate to the Azure Policy service.
Válassza a Megfelelőség lehetőséget.
Szűrje az előző lépésben létrehozott szabályzat-hozzárendelés nevének eredményeit. A jelentés olyan erőforrásokat jelenít meg, amelyek nem felelnek meg a szabályzatnak.
További részletekért részletezheti a jelentést, beleértve a nem megfelelő tárfiókok listáját is.
Azonos bérlői replikációs szabályzatok kényszerítése az Azure Policy használatával
Az Azure Policy támogatja a felhőszabályozást azáltal, hogy biztosítja, hogy az Azure-erőforrások megfeleljenek a követelményeknek és szabványoknak. Annak érdekében, hogy a szervezet tárfiókja ne tiltsa le a bérlők közötti replikációt, létrehozhat egy olyan szabályzatot, amely megakadályozza egy olyan új tárfiók létrehozását, amely lehetővé teszi a bérlők közötti objektumreplikációs szabályzatokat. A kényszerítési szabályzat a Megtagadás effektussal megakadályozza, hogy egy tárfiókot létrehozó vagy módosító kérés engedélyezze a bérlők közötti objektumreplikálást. A Megtagadási szabályzat akkor is megakadályozza a meglévő fiók konfigurációs módosításait, ha az adott fiók bérlőközi objektumreplikációs beállítása nem felel meg a szabályzatnak. A Megtagadási effektusról további információt az Azure Policy-effektusok ismertetése című témakörben talál.
Ha megtagadási effektussal rendelkező szabályzatot szeretne létrehozni a bérlők közötti objektumreplikáláshoz, kövesse az Azure Policy használata a megfelelőség naplózásához leírt lépéseket, de adja meg a következő JSON-t a szabályzatdefiníció PolicyRule szakaszában:
{
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"not": {
"field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
"equals": "false"
}
}
]
},
"then": {
"effect": "deny"
}
}
Miután létrehozta a házirendet a Megtagadás effektussal, és hozzárendelte egy hatókörhöz, a felhasználó nem tud olyan tárfiókot létrehozni, amely lehetővé teszi a bérlők közötti objektumreplikálást. A felhasználók nem módosíthatják a meglévő tárfiókok konfigurációját, amelyek jelenleg lehetővé teszik a bérlők közötti objektumreplikálást. Ha megkísérli ezt megtenni, az hibát eredményez. A tárfiók AllowCrossTenantReplication tulajdonságát hamis értékre kell állítani a fióklétrehozási vagy konfigurációfrissítések folytatásához, a szabályzatnak megfelelően.
Az alábbi képen az a hiba látható, amely akkor fordul elő, ha olyan tárfiókot próbál létrehozni, amely engedélyezi a bérlők közötti objektumreplikálást (az új fiók esetében az alapértelmezett), ha egy megtagadási effektusú szabályzat megköveteli a bérlők közötti objektumreplikálás letiltását.
Kapcsolódó információk
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: