Hozzáférés engedélyezése Azure Blob Storage az Azure szerepkör-hozzárendelési feltételeinek használatával (előzetes verzió)

Fontos

Az Azure ABAC és az Azure szerepkör-hozzárendelési feltételei jelenleg előzetes verzióban érhetők el.

Erre az előzetes verzióra nem vonatkozik szolgáltatói szerződés, és a használata nem javasolt éles számítási feladatok esetén. Előfordulhat, hogy néhány funkció nem támogatott, vagy korlátozott képességekkel rendelkezik. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Az attribútumalapú hozzáférés-vezérlés (ABAC) egy engedélyezési stratégia, amely a biztonsági tagokhoz, erőforrásokhoz, kérelmekhez és a környezethez társított attribútumok alapján határozza meg a hozzáférési szinteket. Az ABAC-vel az ilyen attribútumokat használó, predikátumként kifejezett feltétel alapján adhat hozzáférést egy egyszerű biztonsági résztvevőnek egy erőforráshoz.

Az Azure ABAC azure-beli szerepköralapú hozzáférés-vezérlésre (Azure RBAC) épül, és feltételeket ad hozzá az Azure-szerepkör-hozzárendelésekhez. Ez az előzetes verzió támogatja a szerepkör-hozzárendelési feltételeket a blobokon és a Data Lake Storage Gen2. Lehetővé teszi a szerepkör-hozzárendelési feltételek egyszerű, erőforrás- és kérelemattribútumok alapján történő megírását.

Az Azure Storage feltételeinek áttekintése

Az Azure Active Directory (Azure AD) használatával engedélyezheti az Azure Storage-erőforrásokra irányuló kéréseket az Azure RBAC használatával. Az Azure RBAC szerepkör-definíciók és szerepkör-hozzárendelések használatával segít az erőforrásokhoz való hozzáférés kezelésében. Az Azure Storage olyan beépített Azure-szerepköröket definiál, amelyek az Azure Storage-adatok eléréséhez használt általános engedélykészleteket foglalják magukban. Egyéni szerepköröket is meghatározhat bizonyos engedélykészletekkel. Az Azure Storage a tárfiókokhoz és a blobtárolókhoz egyaránt támogatja a szerepkör-hozzárendeléseket.

Az Azure ABAC úgy épít az Azure RBAC-re, hogy adott műveletek kontextusában szerepkör-hozzárendelési feltételeket ad hozzá. A szerepkör-hozzárendelési feltétel egy további ellenőrzés, amely akkor lesz kiértékelve, ha a tárolási erőforráson végzett művelet engedélyezve van. Ez a feltétel predikátumként van kifejezve az alábbiak bármelyikéhez társított attribútumok használatával:

  • Engedélyezést kérő rendszerbiztonsági tag
  • Erőforrás, amelyhez hozzáférést kérnek
  • A kérelem paraméterei
  • Környezet, amelyből a kérés származik

A szerepkör-hozzárendelési feltételek használatának előnyei a következők:

  • Részletesebb hozzáférés engedélyezése az erőforrásokhoz – Ha például csak akkor szeretne olvasási hozzáférést biztosítani egy felhasználónak a tárfiókokban lévő blobokhoz, ha a blobok Project=Sierra címkével vannak el elérhetővé téve, akkor az olvasási művelethez címkéket használva attribútumként használhatja a feltételeket.
  • Csökkentse a létrehozandó és kezelendő szerepkör-hozzárendelések számát – Ezt egy általános szerepkör-hozzárendeléssel teheti meg egy biztonsági csoporthoz, majd a csoport egyes tagjainak hozzáférését egy olyan feltétellel korlátozhatja, amely megfelel egy adott erőforrás attribútumainak (például blobnak vagy tárolónak) az attribútumaival.
  • Expressz hozzáférés-vezérlési szabályok az üzleti jelentéssel rendelkező attribútumok tekintetében – A feltételek például a projekt nevét, az üzleti alkalmazást, a szervezeti függvényt vagy a besorolási szintet képviselő attribútumokkal fejezhetők ki.

A feltételek használatának hátránya, hogy strukturált és konzisztens osztályozásra van szükség, amikor attribútumokat használ a szervezeten belül. Az attribútumokat védeni kell, hogy a hozzáférés ne sérüljön. Emellett a feltételeket gondosan meg kell tervezni és felül kell vizsgálni a hatásuk érdekében.

Az Azure Storage szerepkör-hozzárendelési feltételei támogatottak az Azure Blob Storage-ban. Olyan fiókokkal is használhat feltételeket, amelyeken engedélyezve van a hierarchikus névtér (HNS) funkció (ADLS G2).

Támogatott attribútumok és műveletek

Ezen célok eléréséhez konfigurálhat feltételeket a DataActions szerepkör-hozzárendeléseihez. A feltételeket egyéni szerepkörrel is használhatja, vagy választhat beépített szerepköröket. Vegye figyelembe, hogy a tárolási erőforrás-szolgáltatón keresztüli felügyeleti műveletek nem támogatják a feltételeket.

Ebben az előzetes verzióban feltételeket adhat a beépített szerepkörökhöz vagy egyéni szerepkörökhöz. Az előzetes verzióban a szerepkör-hozzárendelési feltételeket használó beépített szerepkörök a következők:

A feltételeket egyéni szerepkörökkel is használhatja, ha a szerepkör olyan műveleteket tartalmaz, amelyek támogatják a feltételeket.

Ha blobindexcímkéken alapuló feltételekkel dolgozik, akkor a Storage-blobadatok tulajdonosát kell használnia , mivel a címkeműveletek engedélyeit ez a szerepkör tartalmazza.

Megjegyzés

A blobindexcímkék nem támogatottak Data Lake Storage Gen2 tárfiókok esetében, amelyek hierarchikus névteret használnak. A HNS-t engedélyező tárfiókokon nem szabad indexcímkék használatával szerepkör-hozzárendelési feltételeket alkalmazni.

Az Azure-szerepkör-hozzárendelési feltétel formátuma lehetővé teszi az @Principalattribútumok @Resource vagy @Request attribútumok használatát a feltételekben. Az @Principal attribútum egy egyszerű egyéni biztonsági attribútum, például felhasználó, vállalati alkalmazás (szolgáltatásnév) vagy felügyelt identitás. Az @Resource attribútum egy elérhető tárolási erőforrás meglévő attribútumára utal, például egy tárfiókra, egy tárolóra vagy egy blobra. Az @Request attribútum egy tárolási műveletre vonatkozó kérelemben szereplő attribútumra vagy paraméterre utal.

Az Azure RBAC jelenleg 2000 szerepkör-hozzárendelést támogat egy előfizetésben. Ha több ezer Azure-beli szerepkör-hozzárendelést kell létrehoznia, előfordulhat, hogy ezt a korlátot tapasztalja. Több száz vagy ezer szerepkör-hozzárendelés kezelése nehéz lehet. Bizonyos esetekben feltételek használatával csökkentheti a tárfiókban lévő szerepkör-hozzárendelések számát, és egyszerűbben kezelheti őket. A szerepkör-hozzárendelések felügyeletét skálázhatja feltételek és Azure AD egyszerű egyéni biztonsági attribútumok használatával.

Következő lépések

Lásd még