Azure Resource Manager-zárolás alkalmazása tárfiókra
A Microsoft azt javasolja, hogy zárolja az összes tárfiókot egy Azure Resource Manager-zárolással, hogy megakadályozza a tárfiók véletlen vagy rosszindulatú törlését. Az Azure Resource Manager erőforrás-zárolásainak két típusa létezik:
- A CannotDelete-zárolás megakadályozza, hogy a felhasználók töröljék a tárfiókot, de lehetővé teszik a konfiguráció olvasását és módosítását.
- A ReadOnly-zárolás megakadályozza, hogy a felhasználók töröljék a tárfiókot vagy módosítsák annak konfigurációját, de lehetővé teszik a konfiguráció olvasását.
Az Azure Resource Manager-zárolásokról további információt az erőforrások zárolása a módosítások megakadályozása érdekében című témakörben talál.
Figyelemfelhívás
A tárfiók zárolása nem védi meg a fiókon belüli tárolókat vagy blobokat a törléstől vagy felülírástól. A blobadatok védelmével kapcsolatos további információkért tekintse meg az adatvédelem áttekintését.
Ha egy tárfiók zárolását az Azure Portallal szeretné konfigurálni, kövesse az alábbi lépéseket:
Az Azure Portalon nyissa meg a tárfiókot.
A Gépház szakaszban válassza a Zárolások lehetőséget.
Select Add.
Adja meg az erőforrás-zárolás nevét, és adja meg a zárolás típusát. Szükség esetén adjon hozzá egy megjegyzést a zárolásról.
Amikor egy tárfiókra readOnly zárolást alkalmaz, a listakulcsok művelet le lesz tiltva az adott tárfiókhoz. A Listakulcsok művelet egy HTTPS POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. A Listakulcsok művelet visszaadja a fiók hozzáférési kulcsait, amelyek ezután a tárfiókban lévő adatok olvasására és írására használhatók.
Ha egy ügyfél rendelkezik a fiók hozzáférési kulcsával a tárfiók zárolásának alkalmazásakor, akkor az ügyfél továbbra is használhatja a kulcsokat az adatok eléréséhez. Azoknak az ügyfeleknek azonban, akik nem férnek hozzá a kulcsokhoz, a Microsoft Entra hitelesítő adataival kell hozzáférniük a tárfiók blob- vagy üzenetsoradataihoz.
Az Azure Portal felhasználóit érintheti a ReadOnly zárolás alkalmazása, ha korábban blob- vagy üzenetsoradatokat fértek hozzá a portálon a fiók hozzáférési kulcsaival. A zárolás alkalmazása után a portál felhasználóinak a Microsoft Entra hitelesítő adataival kell hozzáférni a blob- vagy üzenetsoradatokhoz a portálon. Ehhez a felhasználónak legalább két RBAC-szerepkörrel kell rendelkeznie: legalább az Azure Resource Manager-olvasó szerepkörrel és az Egyik Azure Storage adathozzáférési szerepkörrel. További információkért tekintse meg az alábbi cikkek egyikét:
- Blobadatokhoz való hozzáférés engedélyezése az Azure Portalon
- Az üzenetsoradatokhoz való hozzáférés engedélyezése az Azure Portalon
Az Azure Filesban vagy a Table szolgáltatásban lévő adatok elérhetetlenné válhatnak azoknak az ügyfeleknek, akik korábban a fiókkulcsokkal fértek hozzá. Ajánlott eljárás, ha ReadOnly-zárolást kell alkalmaznia egy tárfiókra, akkor helyezze át az Azure Files és a Table service számítási feladatait egy olyan tárfiókba, amely nincs ReadOnly-zárolással zárolva.