Oktatóanyag: Szerepkör-hozzárendelési feltétel hozzáadása a blobokhoz való hozzáférés korlátozásához az Azure Portal használatával
A szerepkör-hozzárendelés a legtöbb esetben megadja az Azure-erőforrásokhoz szükséges engedélyeket. Előfordulhat azonban, hogy egy szerepkör-hozzárendelési feltétel hozzáadásával részletesebb hozzáférés-vezérlést szeretne biztosítani.
Ebben az oktatóanyagban az alábbiakkal fog megismerkedni:
- Feltétel hozzáadása szerepkör-hozzárendeléshez
- Blobok hozzáférésének korlátozása blobindexcímke alapján
Fontos
Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage Gen2 és az Azure Queues szolgáltatáshoz request
való hozzáférés szabályozásához a resource
environment
standard és principal
a prémium szintű tárfiókok teljesítményszintjeiben egyaránt. Jelenleg a tároló metaadat-erőforrásattribútuma és a listablobok kérelemattribútuma előzetes verzióban érhető el. Az Azure Storage-hoz készült ABAC szolgáltatásállapotával kapcsolatos teljes információkért tekintse meg az Azure Storage feltételfunkcióinak állapotát.
A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Előfeltételek
A szerepkör-hozzárendelési feltételek hozzáadásának vagy szerkesztésének előfeltételeiről további információt a Feltételek előfeltételei című témakörben talál.
Feltétel
Ebben az oktatóanyagban egy adott címkével korlátozza a blobokhoz való hozzáférést. Hozzáadhat például egy feltételt egy szerepkör-hozzárendeléshez, hogy a Chandra csak a címkével Project=Cascade
rendelkező fájlokat tudja olvasni.
Ha Chandra a címke Project=Cascade
nélkül próbál blobokat olvasni, a hozzáférés nem engedélyezett.
Így néz ki a feltétel a kódban:
(
(
!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}
AND NOT
SubOperationMatches{'Blob.List'})
)
OR
(
@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'
)
)
1. lépés: Felhasználó létrehozása
Jelentkezzen be az Azure Portalra előfizetés tulajdonosaként.
Válassza ki a Microsoft Entra ID.
Hozzon létre egy felhasználót, vagy keressen egy meglévő felhasználót. Ez az oktatóanyag a Chandrát használja példaként.
2. lépés: Tároló beállítása
Hozzon létre egy tárfiókot, amely kompatibilis a blobindexcímkék funkcióval. További információ: Azure Blob-adatok kezelése és megkeresése blobindexcímkékkel.
Hozzon létre egy új tárolót a tárfiókon belül, és állítsa a névtelen hozzáférési szintet privátra (névtelen hozzáférés nélkül).
A tárolóban válassza a Feltöltés lehetőséget a Blob feltöltése panel megnyitásához.
Keresse meg a feltölteni kívánt szövegfájlt.
A Speciális elemet választva bontsa ki a panelt.
A Blob indexcímkék szakaszban adja hozzá a következő blobindexcímkét a szövegfájlhoz.
Ha nem látja a Blob indexcímkék szakaszt, és most regisztrálta az előfizetését, előfordulhat, hogy néhány percet várnia kell a módosítások propagálására. További információ: Blobindexcímkék használata adatok kezeléséhez és kereséséhez az Azure Blob Storage-ban.
Feljegyzés
A blobok emellett támogatják a felhasználó által meghatározott kulcs-érték metaadatok tárolását is. Bár a metaadatok hasonlóak a blobindex-címkékhez, a blobindex-címkéket feltételekkel kell használnia.
Kulcs Érték Project Cascade
A fájl feltöltéséhez válassza a Feltöltés gombot.
Töltsön fel egy második szövegfájlt.
Adja hozzá a következő blobindexcímkét a második szövegfájlhoz.
Kulcs Érték Project Baker
3. lépés: Tárblobadat-szerepkör hozzárendelése
Nyissa meg az erőforráscsoportot.
Válassza a Hozzáférés-vezérlés (IAM) lehetőséget.
Válassza a Szerepkör-hozzárendelések lapot a hatókörben lévő szerepkör-hozzárendeléseinek megtekintéséhez.
Válassza a Hozzáadás>Szerepkör-hozzárendelés hozzáadása lehetőséget. Megnyílik a Szerepkör-hozzárendelés hozzáadása lap:
- A Szerepkörök lapon válassza a Storage Blob Adatolvasó szerepkört.
- A Tagok lapon válassza ki a korábban létrehozott felhasználót.
(Nem kötelező) A Leírás mezőben adja meg a Blobok olvasási hozzáférését a Project=Cascade címkével.
Válassza a Tovább lehetőséget.
4. lépés: Feltétel hozzáadása
- A Feltételek (nem kötelező) lapon válassza a Feltétel hozzáadása lehetőséget. Megjelenik a Szerepkör-hozzárendelés hozzáadása feltétellap:
A Művelet hozzáadása szakaszban válassza a Művelet hozzáadása lehetőséget.
Megjelenik a Művelet kiválasztása panel. Ez a panel az adatműveletek szűrt listája azon szerepkör-hozzárendelés alapján, amely a feltétel célhelye lesz. Jelölje be a Blob olvasása melletti jelölőnégyzetet, majd válassza a Kiválasztás lehetőséget:
A Kifejezés összeállítása szakaszban válassza a Kifejezés hozzáadása lehetőséget.
A Kifejezés szakasz kibővül.
Adja meg a következő kifejezésbeállításokat:
Beállítás Érték Attribútumforrás Erőforrás Attribútum Blobindex-címkék [Értékek a kulcsban] Kulcs Project Operátor StringEqualsIgnoreCase Érték Cascade
Görgessen fel a Szerkesztő típusához, és válassza a Kód lehetőséget.
A feltétel kódként jelenik meg. Ebben a kódszerkesztőben módosíthatja a feltételt. Ha vissza szeretne lépni a vizualizációszerkesztőbe, válassza a Vizualizáció lehetőséget.
A Mentés gombra kattintva adja hozzá a feltételt, és térjen vissza a Szerepkör-hozzárendelés hozzáadása lapra.
Válassza a Tovább lehetőséget.
A Véleményezés + hozzárendelés lapon válassza a Véleményezés + hozzárendelés lehetőséget a szerepkör feltétellel való hozzárendeléséhez.
Néhány pillanat múlva a rendszerbiztonsági tagot a rendszer hozzárendeli a szerepkörhöz a kiválasztott hatókörben.
5. lépés: Olvasói szerepkör hozzárendelése
Ismételje meg az előző lépéseket, és rendelje hozzá az Olvasó szerepkört az erőforráscsoport hatókörében korábban létrehozott felhasználóhoz.
Feljegyzés
Általában nem kell hozzárendelnie az Olvasó szerepkört. Ez azonban azért történik, hogy tesztelhesse a feltételt az Azure Portalon.
6. lépés: A feltétel tesztelése
Egy új ablakban jelentkezzen be az Azure Portalra.
Jelentkezzen be a korábban létrehozott felhasználóként.
Nyissa meg a létrehozott tárfiókot és tárolót.
Győződjön meg arról, hogy a hitelesítési módszer a Microsoft Entra felhasználói fiókra van állítva, és nem az Access-kulcsra.
Válassza ki a Baker szövegfájlt.
Nem lehet megtekinteni vagy letölteni a blobot, és meg kell jelennie egy sikertelen engedélyezési üzenetnek.
Válassza a Kaszkádolt szövegfájl lehetőséget.
Meg kell tudnia tekinteni és letölteni a blobot.
7. lépés: Erőforrások törlése
Távolítsa el a hozzáadott szerepkör-hozzárendelést.
Törölje a létrehozott teszttárfiókot.
Törölje a létrehozott felhasználót.