Oktatóanyag: Szerepkör-hozzárendelési feltétel hozzáadása a blobokhoz való hozzáférés korlátozásához az Azure Portal használatával

  • Cikk

A szerepkör-hozzárendelés a legtöbb esetben megadja az Azure-erőforrásokhoz szükséges engedélyeket. Előfordulhat azonban, hogy egy szerepkör-hozzárendelési feltétel hozzáadásával részletesebb hozzáférés-vezérlést szeretne biztosítani.

Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:

  • Feltétel hozzáadása szerepkör-hozzárendeléshez
  • Blobok hozzáférésének korlátozása blobindexcímke alapján

Fontos

Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage Gen2 és az Azure Queues szolgáltatáshoz requestvaló hozzáférés szabályozásához a resourceenvironmentstandard és principal a prémium szintű tárfiókok teljesítményszintjeiben egyaránt. Jelenleg a tároló metaadat-erőforrásattribútuma és a listablobok kérelemattribútuma előzetes verzióban érhető el. Az Azure Storage-hoz készült ABAC szolgáltatásállapotával kapcsolatos teljes információkért tekintse meg az Azure Storage feltételfunkcióinak állapotát.

A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Előfeltételek

A szerepkör-hozzárendelési feltételek hozzáadásának vagy szerkesztésének előfeltételeiről további információt a Feltételek előfeltételei című témakörben talál.

Feltétel

Ebben az oktatóanyagban egy adott címkével korlátozza a blobokhoz való hozzáférést. Hozzáadhat például egy feltételt egy szerepkör-hozzárendeléshez, hogy a Chandra csak a címkével Project=Cascaderendelkező fájlokat tudja olvasni.

Egy feltétellel rendelkező szerepkör-hozzárendelés diagramja.

Ha Chandra a címke Project=Cascadenélkül próbál blobokat olvasni, a hozzáférés nem engedélyezett.

A Blobok olvasási hozzáférését bemutató ábra a Project=Cascade címkével.

Így néz ki a feltétel a kódban:

(
    (
        !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}
        AND NOT
        SubOperationMatches{'Blob.List'})
    )
    OR
    (
        @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'
    )
)

1. lépés: Felhasználó létrehozása

  1. Jelentkezzen be az Azure Portalra előfizetés tulajdonosaként.

  2. Válassza ki a Microsoft Entra ID.

  3. Hozzon létre egy felhasználót, vagy keressen egy meglévő felhasználót. Ez az oktatóanyag a Chandrát használja példaként.

2. lépés: Tároló beállítása

  1. Hozzon létre egy tárfiókot, amely kompatibilis a blobindexcímkék funkcióval. További információ: Azure Blob-adatok kezelése és megkeresése blobindexcímkékkel.

  2. Hozzon létre egy új tárolót a tárfiókon belül, és állítsa a névtelen hozzáférési szintet privátra (névtelen hozzáférés nélkül).

  3. A tárolóban válassza a Feltöltés lehetőséget a Blob feltöltése panel megnyitásához.

  4. Keresse meg a feltölteni kívánt szövegfájlt.

  5. A Speciális elemet választva bontsa ki a panelt.

  6. A Blob indexcímkék szakaszban adja hozzá a következő blobindexcímkét a szövegfájlhoz.

    Ha nem látja a Blob indexcímkék szakaszt, és most regisztrálta az előfizetését, előfordulhat, hogy néhány percet várnia kell a módosítások propagálására. További információ: Blobindexcímkék használata adatok kezeléséhez és kereséséhez az Azure Blob Storage-ban.

    Feljegyzés

    A blobok emellett támogatják a felhasználó által meghatározott kulcs-érték metaadatok tárolását is. Bár a metaadatok hasonlóak a blobindex-címkékhez, a blobindex-címkéket feltételekkel kell használnia.

    Kulcs Érték
    Project Cascade

Képernyőkép a Blob feltöltése panelről a Blog indexcímkék szakaszával.

  1. A fájl feltöltéséhez válassza a Feltöltés gombot.

  2. Töltsön fel egy második szövegfájlt.

  3. Adja hozzá a következő blobindexcímkét a második szövegfájlhoz.

    Kulcs Érték
    Project Baker

3. lépés: Tárblobadat-szerepkör hozzárendelése

  1. Nyissa meg az erőforráscsoportot.

  2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. Válassza a Szerepkör-hozzárendelések lapot a hatókörben lévő szerepkör-hozzárendeléseinek megtekintéséhez.

  4. Válassza a Hozzáadás>Szerepkör-hozzárendelés hozzáadása lehetőséget. Megnyílik a Szerepkör-hozzárendelés hozzáadása lap:

Képernyőkép a Szerepkör-hozzárendelés hozzáadása > menüről.

  1. A Szerepkörök lapon válassza a Storage Blob Adatolvasó szerepkört.

Képernyőkép a Szerepkör-hozzárendelés hozzáadása lapról a Szerepkörök lapon.

  1. A Tagok lapon válassza ki a korábban létrehozott felhasználót.

Képernyőkép a Szerepkör-hozzárendelés hozzáadása lapról a Tagok lapon.

  1. (Nem kötelező) A Leírás mezőben adja meg a Blobok olvasási hozzáférését a Project=Cascade címkével.

  2. Válassza a Tovább lehetőséget.

4. lépés: Feltétel hozzáadása

  1. A Feltételek (nem kötelező) lapon válassza a Feltétel hozzáadása lehetőséget. Megjelenik a Szerepkör-hozzárendelés hozzáadása feltétellap:

Képernyőkép egy új feltétel szerepkör-hozzárendelési feltételének hozzáadásáról.

  1. A Művelet hozzáadása szakaszban válassza a Művelet hozzáadása lehetőséget.

    Megjelenik a Művelet kiválasztása panel. Ez a panel az adatműveletek szűrt listája azon szerepkör-hozzárendelés alapján, amely a feltétel célhelye lesz. Jelölje be a Blob olvasása melletti jelölőnégyzetet, majd válassza a Kiválasztás lehetőséget:

A Művelet kijelölése panel képernyőképe, amelyen egy művelet van kijelölve.

  1. A Kifejezés összeállítása szakaszban válassza a Kifejezés hozzáadása lehetőséget.

    A Kifejezés szakasz kibővül.

  2. Adja meg a következő kifejezésbeállításokat:

    Beállítás Érték
    Attribútumforrás Erőforrás
    Attribútum Blobindex-címkék [Értékek a kulcsban]
    Kulcs Project
    Operátor StringEqualsIgnoreCase
    Érték Cascade

Képernyőkép a blobindexcímkék Kifejezés összeállítása szakaszáról.

  1. Görgessen fel a Szerkesztő típusához, és válassza a Kód lehetőséget.

    A feltétel kódként jelenik meg. Ebben a kódszerkesztőben módosíthatja a feltételt. Ha vissza szeretne lépni a vizualizációszerkesztőbe, válassza a Vizualizáció lehetőséget.

Képernyőkép a kódszerkesztőben megjelenő feltételről.

  1. A Mentés gombra kattintva adja hozzá a feltételt, és térjen vissza a Szerepkör-hozzárendelés hozzáadása lapra.

  2. Válassza a Tovább lehetőséget.

  3. A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a szerepkör feltétellel való hozzárendeléséhez.

    Néhány pillanat múlva a rendszerbiztonsági tagot a rendszer hozzárendeli a szerepkörhöz a kiválasztott hatókörben.

A szerepkör-hozzárendelési lista képernyőképe a szerepkör hozzárendelése után.

5. lépés: Olvasói szerepkör hozzárendelése

  • Ismételje meg az előző lépéseket, és rendelje hozzá az Olvasó szerepkört az erőforráscsoport hatókörében korábban létrehozott felhasználóhoz.

    Feljegyzés

    Általában nem kell hozzárendelnie az Olvasó szerepkört. Ez azonban azért történik, hogy tesztelhesse a feltételt az Azure Portalon.

6. lépés: A feltétel tesztelése

  1. Egy új ablakban jelentkezzen be az Azure Portalra.

  2. Jelentkezzen be a korábban létrehozott felhasználóként.

  3. Nyissa meg a létrehozott tárfiókot és tárolót.

  4. Győződjön meg arról, hogy a hitelesítési módszer a Microsoft Entra felhasználói fiókra van állítva, és nem az Access-kulcsra.

Képernyőkép a tárolóról tesztfájlokkal.

  1. Válassza ki a Baker szövegfájlt.

    Nem lehet megtekinteni vagy letölteni a blobot, és meg kell jelennie egy sikertelen engedélyezési üzenetnek.

  2. Válassza a Kaszkádolt szövegfájl lehetőséget.

    Meg kell tudnia tekinteni és letölteni a blobot.

7. lépés: Erőforrások törlése

  1. Távolítsa el a hozzáadott szerepkör-hozzárendelést.

  2. Törölje a létrehozott teszttárfiókot.

  3. Törölje a létrehozott felhasználót.

Következő lépések