Megosztás a következőn keresztül:

Oktatóanyag: Szerepkör-hozzárendelési feltétel hozzáadása a blobokhoz való hozzáférés korlátozásához az Azure Portal használatával

A szerepkör-hozzárendelés a legtöbb esetben megadja az Azure-erőforrásokhoz szükséges engedélyeket. Előfordulhat azonban, hogy egy szerepkör-hozzárendelési feltétel hozzáadásával részletesebb hozzáférés-vezérlést szeretne biztosítani.

Ebben az oktatóanyagban a következőket sajátíthatja el:

  • Feltétel hozzáadása szerepkör-hozzárendeléshez
  • Blobok hozzáférésének korlátozása blobindexcímke alapján

Fontos

Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage Gen2 és az Azure Queues hozzáférésének szabályozására request, resource, environment, és principal attribútumokkal, mind a standard, mind a prémium teljesítményszintű tárfiókok esetében. A "list blob" jelenleg előnézeti verzióban tartalmazza a kérésattribútumokat és a pillanatkép-kérés attribútumait a hierarchikus névtérhez. Az Azure Storage-hoz készült ABAC szolgáltatásállapotával kapcsolatos teljes információkért tekintse meg az Azure Storage feltételfunkcióinak állapotát.

A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Előfeltételek

A szerepkör-hozzárendelési feltételek hozzáadásának vagy szerkesztésének előfeltételeiről további információt a Feltételek előfeltételei című témakörben talál.

Állapot

Ebben az oktatóanyagban egy adott címkével korlátozza a blobokhoz való hozzáférést. Hozzáadhat például egy feltételt egy szerepkör-hozzárendeléshez, hogy a Chandra csak a címkével Project=Cascaderendelkező fájlokat tudja olvasni.

Egy feltétellel rendelkező szerepkör-hozzárendelés diagramja.

Ha Chandra a címke Project=Cascadenélkül próbál blobokat olvasni, a hozzáférés nem engedélyezett.

A Blobok olvasási hozzáférését bemutató ábra a Project=Cascade címkével.

Így néz ki a feltétel a kódban:

(
    (
        !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}
        AND NOT
        SubOperationMatches{'Blob.List'})
    )
    OR
    (
        @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'
    )
)

1. lépés: Felhasználó létrehozása

  1. Jelentkezzen be az Azure Portalra egy előfizetés tulajdonosaként.

  2. Válassza ki a Microsoft Entra ID.

  3. Hozzon létre egy felhasználót, vagy keressen egy meglévő felhasználót. Ez az oktatóanyag a Chandrát használja példaként.

2. lépés: Tároló beállítása

  1. Hozzon létre egy tárfiókot, amely kompatibilis a blobindexcímkék funkcióval. További információ: Azure Blob-adatok kezelése és megkeresése blobindexcímkékkel.

  2. Hozzon létre egy új tárolót a tárfiókon belül, és állítsa a névtelen hozzáférési szintet privátra (névtelen hozzáférés nélkül).

  3. A tárolóban válassza a Feltöltés lehetőséget a blob feltöltési panel megnyitásához.

  4. Keresse meg a feltölteni kívánt szövegfájlt.

  5. A Speciális elemet választva bontsa ki a panelt.

  6. A Blob indexcímkék szakaszban adja hozzá a következő blobindexcímkét a szövegfájlhoz.

    Ha nem látja a Blob indexcímkék szakaszt, és most regisztrálta az előfizetését, előfordulhat, hogy néhány percet várnia kell a módosítások végrehajtásához. További információ: Blobindexcímkék használata adatok kezeléséhez és kereséséhez az Azure Blob Storage-ban.

    Megjegyzés:

    A blobok emellett támogatják a felhasználó által meghatározott kulcs-érték metaadatok tárolását is. Bár a metaadatok hasonlóak a blobindex-címkékhez, a blobindex-címkéket feltételekkel kell használnia.

    Billentyű Érték
    Projekt Vízesés

Képernyőkép a Blob feltöltése panelről a Blog indexcímkék szakaszával.

  1. A fájl feltöltéséhez válassza a Feltöltés gombot.

  2. Töltsön fel egy második szövegfájlt.

  3. Adja hozzá a következő blobindexcímkét a második szövegfájlhoz.

    Billentyű Érték
    Projekt Pék

3. lépés: Tárblobadat-szerepkör hozzárendelése

  1. Nyissa meg az erőforráscsoportot.

  2. Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.

  3. Válassza a Szerepkör-hozzárendelések lapot a hatókörben lévő szerepkör-hozzárendeléseinek megtekintéséhez.

  4. Válassza a Hozzáadás>Szerepkör-hozzárendelés hozzáadása lehetőséget. Megnyílik a Szerepkör hozzárendelése lap:

Képernyőkép a Szerepkör-hozzárendelés hozzáadása > menüről.

  1. A Szerepkörök lapon válassza a Storage Blob Adatolvasó szerepkört.

Képernyőkép a Szerepkör-hozzárendelés hozzáadása lapról a Szerepkörök fülön.

  1. A Tagok lapon válassza ki a korábban létrehozott felhasználót.

Képernyőkép a Szerepkör-hozzárendelés hozzáadása lapról a Tagok lapon.

  1. (Nem kötelező) A Leírás mezőben adja meg a Blobok olvasási hozzáférését a Project=Cascade címkével.

  2. Válassza a Következőlehetőséget.

4. lépés: Feltétel hozzáadása

  1. A Feltételek (nem kötelező) lapon válassza a Feltétel hozzáadása lehetőséget. Megjelenik a Szerepkör-hozzárendelés hozzáadása feltétellap:

Képernyőkép egy új feltétel szerepkör-hozzárendelési feltételének hozzáadásáról.

  1. A Művelet hozzáadása szakaszban válassza a Művelet hozzáadása lehetőséget.

    Megjelenik a Művelet kiválasztása panel. Ez a panel a szerepkör-hozzárendelés alapján kiszűrt adatműveletek listáját tartalmazza, amely a feltétel célja lesz. Jelölje be a Blob olvasása melletti jelölőnégyzetet, majd válassza a Kiválasztás lehetőséget:

A Művelet kijelölése panel képernyőképe, amelyen egy művelet van kijelölve.

  1. A Kifejezés összeállítása szakaszban válassza a Kifejezés hozzáadása lehetőséget.

    A Kifejezés szakasz kibővül.

  2. Adja meg a következő kifejezésbeállításokat:

    Beállítás Érték
    Attribútumforrás Erőforrás
    Attribútum Blobindex-címkék [Értékek a kulcsban]
    Billentyű Projekt
    Operátor StringEqualsIgnoreCase
    Érték Vízesés

Képernyőkép a blob index címkék kifejezésépítő szakaszáról.

  1. Görgessen fel a Szerkesztő típusához , és válassza a Kód lehetőséget.

    A feltétel kódként jelenik meg. Ebben a kódszerkesztőben módosíthatja a feltételt. Ha vissza szeretne lépni a vizualizációszerkesztőbe, válassza a Vizualizáció lehetőséget.

Képernyőkép a kódszerkesztőben megjelenő feltételről.

  1. A feltétel hozzáadásához kattintson a Mentés gombra, majd térjen vissza a Szerepkör-hozzárendelés hozzáadása oldalra.

  2. Válassza a Következőlehetőséget.

  3. A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a szerepkör feltétellel való hozzárendeléséhez.

    Néhány pillanat múlva a rendszerbiztonsági tagot a rendszer hozzárendeli a szerepkörhöz a kiválasztott hatókörben.

A szerepkör-hozzárendelési lista képernyőképe a szerepkör hozzárendelése után.

5. lépés: Olvasói szerepkör hozzárendelése

  • Ismételje meg az előző lépéseket, és rendelje hozzá az Olvasó szerepkört az erőforráscsoport hatókörében korábban létrehozott felhasználóhoz.

    Megjegyzés:

    Általában nem kell hozzárendelnie az Olvasó szerepkört. Ez azonban azért történik, hogy tesztelhesse a feltételt az Azure Portalon.

6. lépés: A feltétel tesztelése

  1. Egy új ablakban jelentkezzen be az Azure Portalra.

  2. Jelentkezzen be a korábban létrehozott felhasználóként.

  3. Nyissa meg a létrehozott tárfiókot és tárolót.

  4. Győződjön meg arról, hogy a hitelesítési módszer a Microsoft Entra felhasználói fiókra van állítva, és nem az Access-kulcsra.

Képernyőkép a tárolóról tesztfájlokkal.

  1. Válassza ki a Baker szövegfájlt.

    Nem lehet megtekinteni vagy letölteni a blobot, és meg kell jelennie egy sikertelen engedélyezési üzenetnek.

  2. Válassza a Kaszkád szövegfájlt.

    Meg kell tudnia tekinteni és letölteni a blobot.

7. lépés: Erőforrások törlése

  1. Távolítsa el a hozzáadott szerepkör-hozzárendelést.

  2. Törölje a létrehozott teszttárfiókot.

  3. Törölje a létrehozott felhasználót.

Következő lépések

  • Last updated on