Objektumreplikálás megakadályozása a Microsoft Entra-bérlők között

Az objektumreplikálás aszinkron módon másolja a blokkblobokat az egyik tárfiók egyik tárolójából egy másik tárfiók egyik tárolójába. Objektumreplikációs szabályzat konfigurálásakor meg kell adnia a forrásfiókot és a tárolót, valamint a célfiókot és a tárolót. A szabályzat konfigurálása után az Azure Storage automatikusan átmásolja a forrásobjektumon végzett létrehozási, frissítési és törlési műveletek eredményeit a célobjektumba. Az Azure Storage-beli objektumreplikálással kapcsolatos további információkért lásd a blokkblobok objektumreplikálását ismertető témakört.

Egy jogosult felhasználó konfigurálhat egy objektumreplikációs szabályzatot, amelyben a forrásfiók egy Microsoft Entra-bérlőben található, a célfiók pedig egy másik bérlőben található, ha a bérlők közötti replikáció engedélyezve van a Microsoft Entra-bérlők között. Ha a biztonsági szabályzatok megkövetelik, hogy az objektumreplikációt olyan tárfiókokra korlátozza, amelyek csak ugyanabban a bérlőben találhatók, letilthatja az olyan házirendek létrehozását, amelyekben a forrás- és célfiókok különböző bérlőkben találhatók. Alapértelmezés szerint a bérlők közötti objektumreplikálás le van tiltva a 2023. december 15. után létrehozott összes új tárfiók esetében, kivéve, ha kifejezetten engedélyezi azt.

Ez a cikk bemutatja, hogyan szervizelheti a bérlők közötti objektumreplikálást a tárfiókok esetében. Azt is ismerteti, hogyan hozhat létre házirendeket az új és a meglévő tárfiókok bérlőközi objektumreplikációs tilalmának kikényszerítéséhez.

További információ az objektumreplikációs szabályzatok konfigurálásáról, beleértve a bérlők közötti házirendeket is, lásd: Objektumreplikálás konfigurálása blokkblobokhoz.

Bérlőközi objektumreplikálás szervizelése

Ha meg szeretné akadályozni az objektumreplikációt a Microsoft Entra-bérlők között, állítsa a tárfiók AllowCrossTenantReplication tulajdonságát hamisra. Ha egy tárfiók jelenleg nem vesz részt bérlők közötti objektumreplikációs szabályzatokban, akkor az AllowCrossTenantReplication tulajdonság hamis értékre állítása megakadályozza a bérlők közötti objektumreplikációs szabályzatok későbbi konfigurálását ezzel a tárfiókkal forrásként vagy célként. Ha azonban egy tárfiók jelenleg egy vagy több bérlőközi objektumreplikációs házirendben vesz részt, akkor az AllowCrossTenantReplication tulajdonság hamis értékre állítása csak akkor engedélyezett, ha törli a meglévő bérlőközi házirendeket.

A bérlők közötti házirendek alapértelmezés szerint nem engedélyezettek a 2023. december 15. után létrehozott tárfiókokhoz. Az AllowCrossTenantReplication tulajdonság azonban alapértelmezés szerint nem lett beállítva a 2023. december 15. előtt létrehozott meglévő tárfiókhoz, és csak akkor ad vissza értéket, ha kifejezetten beállította. A tárfiók részt vehet a bérlők objektumreplikációs szabályzataiban, ha a tulajdonság értéke null vagy igaz a 2023. 15. dev 15. előtt létrehozott fiókok esetében. Az ezt követően létrehozott fiókok esetében a tulajdonságot igaz értékre kell állítani. Az AllowCrossTenantReplication tulajdonság beállítása nem jár leállással a tárfiókban.

Bérlők közötti replikáció szervizelése új fiókhoz

Ha le szeretné tiltani a bérlők közötti replikációt egy új tárfiókhoz, használja az Azure Portalt, a PowerShellt vagy az Azure CLI-t. A tulajdonság alapértelmezés szerint hamis lesz a 2023. december 15. után létrehozott új fiókok esetében, még akkor is, ha nincs explicit módon beállítva.

Portal

A tárfiókok bérlőközi objektumreplikálásának letiltásához kövesse az alábbi lépéseket:

1. Az Azure Portalon lépjen a Tárfiókok lapra, és válassza a Létrehozás lehetőséget.

2. Töltse ki az új tárfiók Alapismeretek lapjának kitöltését.

3. A Speciális lap Blob Storage szakaszában keresse meg a Bérlők közötti replikáció engedélyezése beállítást, és törölje a jelet a jelölőnégyzetből.

   

4. Fejezze be a fiók létrehozásának folyamatát.

PowerShell

Ha le szeretné tiltani egy új tárfiók bérlőközi objektumreplikálását, hívja meg a New-AzStorageAccount parancsot, és adja meg a AllowCrossTenantReplication paramétert $false értékkel.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account and disallow cross-tenant replication.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_LRS `
    -AllowBlobPublicAccess $false `
    -AllowCrossTenantReplication $false

# Read the property for the new storage account
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowCrossTenantReplication

Azure CLI

Ha le szeretné tiltani a bérlőközi objektumreplikálást egy új tárfiók esetében, hívja meg az az storage account create parancsot, és adja meg a allow-cross-tenant-replication paramétert hamis értékkel.

# Create a storage account with cross-tenant replication disallowed.
az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_LRS \
    --allow-blob-public-access false \
    --allow-cross-tenant-replication false

# Read the property for the new storage account
az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowCrossTenantReplication \
    --output tsv

Bérlők közötti replikáció szervizelése meglévő fiókhoz

Ha le szeretné tiltani a bérlők közötti replikációt egy meglévő tárfiókhoz, használja az Azure Portalt, a PowerShellt vagy az Azure CLI-t.

Azure Portal

Ha le szeretné tiltani a bérlőközi objektumreplikálást egy olyan meglévő tárfiók esetében, amely jelenleg nem vesz részt bérlőközi szabályzatokban, kövesse az alábbi lépéseket:

1. Navigáljon az Azure portálon a címen a tárolófiókjához.

2. Az Adatkezelés területen válassza az Objektumreplikálás lehetőséget.

3. Válassza ki a Speciális beállítások elemet.

4. Törölje a jelet a bérlők közötti replikáció engedélyezése jelölőnégyzetből. Alapértelmezés szerint ez a jelölőnégyzet be van jelölve, mert a bérlők közötti objektumreplikálás csak akkor engedélyezett egy tárfiók esetében, ha kifejezetten nem engedélyezi azt.

   

5. A módosítások mentéséhez kattintson az OK gombra .

Ha a tárfiók jelenleg egy vagy több bérlőközi replikációs házirendben vesz részt, nem tilthatja le a bérlők közötti objektumreplikálást, amíg el nem törli ezeket a házirendeket. Ebben a forgatókönyvben a beállítás nem érhető el az Azure Portalon, ahogy az az alábbi képen is látható.

PowerShell

Ha le szeretné tiltani a bérlőközi objektumreplikálást egy olyan meglévő tárfiók esetében, amely jelenleg nem vesz részt bérlőközi szabályzatokban, először telepítse az Az.Storage PowerShell-modult, amely 3.7.0-s vagy újabb verziójú. Ezután konfigurálja a tárfiók AllowCrossTenantReplication tulajdonságát.

Az alábbi példa bemutatja, hogyan tilthatja le a bérlők közötti objektumreplikálást egy meglévő tárfiókhoz a PowerShell-lel. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"

Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -AllowCrossTenantReplication $false

Ha a tárfiók jelenleg egy vagy több bérlőközi replikációs házirendben vesz részt, nem tilthatja le a bérlők közötti objektumreplikálást, amíg el nem törli ezeket a házirendeket. A PowerShell hibát jelez, amely azt jelzi, hogy a művelet a meglévő bérlőközi replikációs szabályzatok miatt meghiúsult.

Azure CLI

Ha le szeretné tiltani a bérlőközi objektumreplikálást egy olyan meglévő tárfiók esetében, amely jelenleg nem vesz részt bérlőközi szabályzatokban, először telepítse az Azure CLI 2.24.0-s vagy újabb verzióját. További információ: Az Azure CLI telepítése. Ezután konfigurálja az allowCrossTenantReplication tulajdonságot egy új vagy meglévő tárfiókhoz.

Az alábbi példa bemutatja, hogyan tilthatja le a bérlők közötti objektumreplikálást egy meglévő tárfiók esetében az Azure CLI-vel. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allow-cross-tenant-replication false

Ha a tárfiók jelenleg egy vagy több bérlőközi replikációs házirendben vesz részt, nem tilthatja le a bérlők közötti objektumreplikálást, amíg el nem törli ezeket a házirendeket. Az Azure CLI hibát jelez, amely azt jelzi, hogy a művelet a bérlők közötti replikációs szabályzatok miatt meghiúsult.

Miután letiltotta a bérlők közötti replikációt, megkísérli konfigurálni a bérlők közötti szabályzatot a tárfiókkal, mert a forrás vagy a cél meghiúsul. Az Azure Storage hibát ad vissza, amely azt jelzi, hogy a bérlők közötti objektumreplikálás nem engedélyezett a tárfiók számára.

Ha a bérlők közötti objektumreplikálás nem engedélyezett egy tárfiók esetében, akkor az ezzel a fiókkal létrehozott új objektumreplikációs szabályzatoknak tartalmazniuk kell a forrás- és célfiók teljes Azure Resource Manager-azonosítóját. Az Azure Storage megköveteli a teljes erőforrás-azonosítót annak ellenőrzéséhez, hogy a forrás- és célfiókok ugyanabban a bérlőben találhatók-e. További információ: A forrás- és célfiókok teljes erőforrásazonosítóinak megadása.

Az AllowCrossTenantReplication tulajdonság csak az Azure Resource Manager üzemi modellt használó tárfiókok esetében támogatott. További információ arról, hogy mely tárfiókok használják az Azure Resource Manager-alapú üzemi modellt, lásd a tárfiókok típusait.

A bérlők közötti replikáció engedélyezésére vagy letiltására vonatkozó engedélyek

A tárfiók AllowCrossTenantReplication tulajdonságának beállításához a felhasználónak rendelkeznie kell a tárfiókok létrehozásához és kezeléséhez szükséges engedélyekkel. Az engedélyeket biztosító Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök közé tartozik a Microsoft.Storage/storageAccounts/write vagy a Microsoft.Storage/storageAccounts/* művelet. A művelettel beépített szerepkörök a következők:

• Az Azure Resource Manager Tulajdonos szerepköre
• Az Azure Resource Manager Hozzájáruló szerepkör
• A Storage Account Contributor szerepkör

Ezek a szerepkörök nem biztosítanak hozzáférést a tárfiókban lévő adatokhoz a Microsoft Entra-azonosítón keresztül. Ezek közé tartozik azonban a Microsoft.Storage/StorageAccounts/listkeys/action, amely hozzáférést biztosít a fiók hozzáférési kulcsaihoz. Ezzel az engedéllyel a felhasználó a fiók hozzáférési kulcsaival hozzáférhet a tárfiók összes adatához.

A szerepkör-hozzárendeléseket a tárfiók szintjére kell korlátozni, hogy a felhasználó engedélyezhesse vagy tiltsa le a bérlők közötti objektumreplikálást a tárfiókhoz. A szerepkörök hatóköréről további információt az Azure RBAC hatókörének ismertetése című témakörben talál.

Ügyeljen arra, hogy csak azokra korlátozza a szerepkörök hozzárendelését, akiknek szükségük van tárfiók létrehozására vagy tulajdonságainak frissítésére. Használja a minimális jogosultság elvét annak biztosítására, hogy a felhasználók a legkevesebb engedéllyel rendelkezzenek a feladataik elvégzéséhez. Az Azure RBAC-hozzáférés kezelésével kapcsolatos további információkért tekintse meg az Azure RBAC ajánlott eljárásait.

Megjegyzés:

A klasszikus előfizetés-rendszergazdai szerepkörök a Service Rendszergazda istrator és a Co-Rendszergazda istrator az Azure Resource Manager tulajdonosi szerepkörével egyenértékűek. A Tulajdonos szerepkör minden műveletet tartalmaz, így egy ilyen felügyeleti szerepkörrel rendelkező felhasználó tárfiókokat is létrehozhat és kezelhet. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.

Megfelelőség naplózása az Azure Policy használatával

Ha nagy számú tárfiókkal rendelkezik, érdemes lehet naplózni, hogy ezek a fiókok konfigurálva legyenek a bérlők közötti objektumreplikálás megakadályozására. A megfelelőségi tárfiókok naplózásához használja az Azure Policyt. Az Azure Policy olyan szolgáltatás, amellyel szabályokat alkalmazó szabályzatokat hozhat létre, rendelhet hozzá és kezelhet az Azure-erőforrásokra. Az Azure Policy segít ezeknek az erőforrásoknak a vállalati szabványoknak és szolgáltatásiszint-szerződéseknek való megfelelésében. További információ: Az Azure Policy áttekintése.

Szabályzat létrehozása naplózási effektussal

Az Azure Policy támogatja azokat a effektusokat, amelyek meghatározzák, hogy mi történik, ha egy szabályzatszabályt kiértékelnek egy erőforráson. A naplózási effektus figyelmeztetést hoz létre, ha egy erőforrás nem felel meg a megfelelőségnek, de nem állítja le a kérést. Az effektusokról további információt az Azure Policy-effektusok ismertetése című témakörben talál.

Ha naplózási effektussal szeretne létrehozni egy szabályzatot egy tárfiók bérlőközi objektumreplikációs beállításához az Azure Portalon, kövesse az alábbi lépéseket:

1. In the Azure portal, navigate to the Azure Policy service.

2. A Létrehozás szakaszban válassza a Definíciók lehetőséget.

3. Új szabályzatdefiníció létrehozásához válassza a Szabályzatdefiníció hozzáadása lehetőséget.

4. A Definíció helye mezőben válassza a Továbbiak gombot a naplózási szabályzat erőforrásának helyének megadásához.

5. Specify a name for the policy. You can optionally specify a description and category.

6. A Szabályzatszabály területen adja hozzá a következő szabályzatdefiníciót a policyRule szakaszhoz.

   {
     "if": {
       "allOf": [
         {
           "field": "type",
           "equals": "Microsoft.Storage/storageAccounts"
         },
         {
           "not": {
             "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
             "equals": "false"
           }
         }
       ]
     },
     "then": {
       "effect": "audit"
     }
   }
   

7. Save the policy.

Assign the policy

Next, assign the policy to a resource. The scope of the policy corresponds to that resource and any resources beneath it. A szabályzat-hozzárendeléssel kapcsolatos további információkért tekintse meg az Azure Policy hozzárendelési struktúráját.

To assign the policy with the Azure portal, follow these steps:

1. In the Azure portal, navigate to the Azure Policy service.
2. A Létrehozás szakaszban válassza a Hozzárendelések lehetőséget.
3. Új szabályzat-hozzárendelés létrehozásához válassza a Szabályzat hozzárendelése lehetőséget.
4. A Hatókör mezőben válassza ki a szabályzat-hozzárendelés hatókörét.
5. A Szabályzatdefiníció mezőnél válassza az Egyebek gombot, majd válassza ki az előző szakaszban definiált szabályzatot a listából.
6. Provide a name for the policy assignment. The description is optional.
7. Hagyja engedélyezve a házirend-kényszerítési beállítást. This setting has no effect on the audit policy.
8. Válassza a Véleményezés + létrehozás lehetőséget a hozzárendelés létrehozásához.

Megfelelőségi jelentés megtekintése

Miután hozzárendelte a szabályzatot, megtekintheti a megfelelőségi jelentést. A naplózási szabályzat megfelelőségi jelentése tájékoztatást nyújt arról, hogy mely tárfiókok engedélyezik a bérlők közötti objektumreplikációs szabályzatokat. További információ: Szabályzatmegfelelési adatok lekérése.

A szabályzat-hozzárendelés létrehozása után eltarthat néhány percig, amíg a megfelelőségi jelentés elérhetővé válik.

A megfelelőségi jelentés azure portalon való megtekintéséhez kövesse az alábbi lépéseket:

1. In the Azure portal, navigate to the Azure Policy service.

2. Válassza a Megfelelőség lehetőséget.

3. Szűrje az előző lépésben létrehozott szabályzat-hozzárendelés nevének eredményeit. A jelentés olyan erőforrásokat jelenít meg, amelyek nem felelnek meg a szabályzatnak.

4. További részletekért részletezheti a jelentést, beleértve a nem megfelelő tárfiókok listáját is.

   

Azonos bérlői replikációs szabályzatok kényszerítése az Azure Policy használatával

Az Azure Policy támogatja a felhőszabályozást azáltal, hogy biztosítja, hogy az Azure-erőforrások megfeleljenek a követelményeknek és szabványoknak. Annak érdekében, hogy a szervezet tárfiókja ne tiltsa le a bérlők közötti replikációt, létrehozhat egy olyan szabályzatot, amely megakadályozza egy olyan új tárfiók létrehozását, amely lehetővé teszi a bérlők közötti objektumreplikációs szabályzatokat. A kényszerítési szabályzat a Megtagadás effektussal megakadályozza, hogy egy tárfiókot létrehozó vagy módosító kérés engedélyezze a bérlők közötti objektumreplikálást. A Megtagadási szabályzat akkor is megakadályozza a meglévő fiók konfigurációs módosításait, ha az adott fiók bérlőközi objektumreplikációs beállítása nem felel meg a szabályzatnak. A Megtagadási effektusról további információt az Azure Policy-effektusok ismertetése című témakörben talál.

Ha megtagadási effektussal rendelkező szabályzatot szeretne létrehozni a bérlők közötti objektumreplikáláshoz, kövesse az Azure Policy használata a megfelelőség naplózásához leírt lépéseket, de adja meg a következő JSON-t a szabályzatdefiníció PolicyRule szakaszában:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Miután létrehozta a házirendet a Megtagadás effektussal, és hozzárendelte egy hatókörhöz, a felhasználó nem tud olyan tárfiókot létrehozni, amely lehetővé teszi a bérlők közötti objektumreplikálást. A felhasználók nem módosíthatják a meglévő tárfiókok konfigurációját, amelyek jelenleg lehetővé teszik a bérlők közötti objektumreplikálást. Ha megkísérli ezt megtenni, az hibát eredményez. A tárfiók AllowCrossTenantReplication tulajdonságát hamis értékre kell állítani a fióklétrehozási vagy konfigurációfrissítések folytatásához, a szabályzatnak megfelelően.

Az alábbi képen az a hiba látható, amely akkor fordul elő, ha olyan tárfiókot próbál létrehozni, amely engedélyezi a bérlők közötti objektumreplikálást (az új fiók esetében az alapértelmezett), ha egy megtagadási effektusú szabályzat megköveteli a bérlők közötti objektumreplikálás letiltását.

Kapcsolódó információk

• Objektumreplikálás blokkblobokhoz
• Objektumreplikálás konfigurálása blokkblobokhoz
• Biztonsági javaslatok a Blob Storage-hoz