Másolási műveletek forrásának korlátozása tárfiókra
Biztonsági okokból előfordulhat, hogy a tárgazdák korlátozni szeretnék azokat a környezeteket, amelyekből adatok másolhatók biztonságos fiókokba. Az engedélyezett másolási műveletek hatókörének korlátozása segít megakadályozni a nem megbízható bérlők vagy virtuális hálózatok nemkívánatos adatainak beszivárgását.
Ez a cikk bemutatja, hogyan korlátozhatja a másolási műveletek forrásfiókját a célfiókkal azonos bérlőn belüli fiókokra, illetve a célhellyel azonos virtuális hálózatra mutató privát hivatkozásokkal.
Fontos
A másolási műveletek engedélyezett hatóköre jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Tudnivalók a másolási műveletek engedélyezett hatóköréről (előzetes verzió)
A tárfiók AllowedCopyScope tulajdonsága határozza meg azokat a környezeteket, amelyekből az adatok átmásolhatók a célfiókba. Az Azure Portalon konfigurációs beállításként jelenik meg, a másolási műveletek engedélyezett hatóköreként (előzetes verzió). A tulajdonság alapértelmezés szerint nincs beállítva, és csak akkor ad vissza értéket, ha kifejezetten be nem állítja. Három lehetséges értékkel rendelkezik:
- (null) (alapértelmezett): Bármely tárfiókból a célfiókba történő másolás engedélyezése.
- Microsoft Entra-azonosító: Csak a célfiókkal azonos Microsoft Entra-bérlőn belüli fiókokról engedélyezi a másolást.
- PrivateLink: Csak olyan tárfiókokból engedélyezi a másolást, amelyek privát kapcsolatokkal rendelkeznek ugyanahhoz a virtuális hálózathoz, mint a célfiók.
A beállítás a Blob másolása és a Blob másolása URL-műveletekből parancsra vonatkozik. A Copy Blobot használó eszközök például az AzCopy és az Azure Storage Explorer.
Ha a másolási kérelem forrása nem felel meg a beállítás által megadott követelményeknek, a kérés a 403-ra (Tiltott) http-állapotkóddal meghiúsul.
A AllowedCopyScope tulajdonság csak az Azure Resource Manager-alapú üzemi modellt használó tárfiókok esetében támogatott. További információ arról, hogy mely tárfiókok használják az Azure Resource Manager-alapú üzemi modellt, lásd a tárfiókok típusait.
Másolási műveletek forrástárfiókjainak azonosítása
A tárfiók AllowedCopyScope értékének módosítása előtt azonosítsa a módosítás által érintett felhasználókat, alkalmazásokat vagy szolgáltatásokat. Az eredményektől függően előfordulhat, hogy a beállítást olyan hatókörre kell módosítani, amely tartalmazza az összes kívánt másolási forrást, vagy módosítani kell a hálózati vagy a Microsoft Entra-konfigurációt egyes forrástárfiókok esetében.
Az Azure Storage-naplók rögzítik az Azure Monitorban a tárfiókon küldött kérelmek részleteit, beleértve a másolási műveletek forrását és célját. További információt az Azure Storage monitorozása című témakörben talál. Engedélyezze és elemezze a naplókat a céltárfiók AllowedCopyScope módosítása által érintett másolási műveletek azonosításához.
Diagnosztikai beállítás létrehozása az Azure Portalon
Ahhoz, hogy az Azure Storage-adatokat az Azure Monitorral naplózza és elemezze az Azure Log Analyticsszel, először létre kell hoznia egy diagnosztikai beállítást, amely jelzi a kérések típusait és az adatokat naplózni kívánt tárolási szolgáltatásokat. Ha diagnosztikai beállítást szeretne létrehozni az Azure Portalon, kövesse az alábbi lépéseket:
Hozzon létre egy új Log Analytics-munkaterületet az Azure Storage-fiókot tartalmazó előfizetésben, vagy használjon egy meglévő Log Analytics-munkaterületet. Miután konfigurálta a tárfiók naplózását, a naplók a Log Analytics-munkaterületen lesznek elérhetők. További információ: Log Analytics-munkaterület létrehozása az Azure Portalon.
Az Azure Portalon nyissa meg a tárfiókot.
A Figyelés szakaszban válassza a Diagnosztikai beállítások lehetőséget.
Válassza ki azt az Azure Storage szolgáltatást, amelyhez naplózni szeretné a kéréseket. Válassza például a blobot a Blob Storage-ba irányuló kérések naplózásához.
Válassza a Diagnosztikai beállítások megadása lehetőséget.
Adja meg a diagnosztikai beállítás nevét.
A Kategóriák csoportban a Naplók szakaszban válassza a StorageRead, a StorageWrite és a StorageDelete lehetőséget az összes adatkérés naplózásához a kiválasztott szolgáltatásba.
A Céladatok csoportban válassza a Küldés a Log Analytics-munkaterületre lehetőséget. Válassza ki előfizetését és a korábban létrehozott Log Analytics-munkaterületet az alábbi képen látható módon, majd válassza a Mentés lehetőséget.
A diagnosztikai beállítás létrehozása után a rendszer ezt követően naplózza a tárfiókra irányuló kérelmeket. További információ: Diagnosztikai beállítás létrehozása erőforrásnaplók és metrikák gyűjtéséhez az Azure-ban.
Másolási kérelmek lekérdezési naplói
Az Azure Storage-naplók tartalmazzák az összes olyan kérést, amely adatokat másol egy másik forrásból származó tárfiókba. A naplóbejegyzések tartalmazzák a céltárfiók nevét és a forrásobjektum URI-ját, valamint a másolatot kérő ügyfél azonosítását segítő információkat. Az Azure Storage-naplókban az Azure Monitorban elérhető mezők teljes körű referenciáját az erőforrásnaplókban talál.
Az elmúlt hét napban a blobok másolására irányuló kérelmek naplóinak lekéréséhez kövesse az alábbi lépéseket:
Az Azure Portalon nyissa meg a tárfiókot.
A Figyelés szakaszban válassza a Naplók lehetőséget.
Illessze be a következő lekérdezést egy új napló lekérdezésbe, és futtassa. Ez a lekérdezés megjeleníti a kérelemben leggyakrabban hivatkozott forrásobjektumokat, hogy adatokat másoljanak a megadott tárfiókba. Az alábbi példában cserélje le a helyőrző szöveget
<account-name>
a saját tárfiók nevére.StorageBlobLogs | where OperationName has "CopyBlobSource" and TimeGenerated > ago(7d) and AccountName == "<account-name>" | summarize count() by Uri, CallerIpAddress, UserAgentHeader
A lekérdezés eredményeinek a következőhöz hasonlóan kell kinéznie:
Az URI a másolandó forrásobjektum teljes elérési útja, amely tartalmazza a tárfiók nevét, a tároló nevét és a fájlnevet. Az URI-k listájából állapítsa meg, hogy a másolási műveletek le lesznek-e tiltva egy adott AllowedCopyScope-beállítás alkalmazása esetén.
Ezen a lekérdezésen alapuló riasztási szabályt is konfigurálhat, hogy értesítést küldjön a fiók blobkérelmeinek másolásáról. További információ: Naplóriasztások létrehozása, megtekintése és kezelése az Azure Monitor használatával.
Másolási műveletek engedélyezett hatókörének korlátozása (előzetes verzió)
Ha biztos abban, hogy biztonságosan korlátozhatja a másolási kérelmek forrásait egy adott hatókörre, beállíthatja a tárfiók AllowedCopyScope tulajdonságát erre a hatókörre.
Engedélyek a másolási műveletek engedélyezett hatókörének módosításához (előzetes verzió)
A tárfiók AllowedCopyScope tulajdonságának beállításához a felhasználónak rendelkeznie kell a tárfiókok létrehozásához és kezeléséhez szükséges engedélyekkel. Az engedélyeket biztosító Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök közé tartozik a Microsoft.Storage/storageAccounts/write vagy a Microsoft.Storage/storageAccounts/* művelet. A művelettel beépített szerepkörök a következők:
- Az Azure Resource Manager tulajdonosi szerepköre
- Az Azure Resource Manager közreműködői szerepköre
- A tárfiók közreműködői szerepköre
Ezek a szerepkörök nem biztosítanak hozzáférést a tárfiókban lévő adatokhoz a Microsoft Entra-azonosítón keresztül. Ezek közé tartozik azonban a Microsoft.Storage/StorageAccounts/listkeys/action, amely hozzáférést biztosít a fiók hozzáférési kulcsaihoz. Ezzel az engedéllyel a felhasználó a fiók hozzáférési kulcsaival hozzáférhet a tárfiók összes adatához.
A szerepkör-hozzárendeléseket a tárfiók szintjére kell korlátozni, hogy a felhasználó korlátozhassa a fiók másolási műveleteinek hatókörét. A szerepkörök hatóköréről további információt az Azure RBAC hatókörének ismertetése című témakörben talál.
Ügyeljen arra, hogy csak azokra korlátozza a szerepkörök hozzárendelését, akiknek szükségük van tárfiók létrehozására vagy tulajdonságainak frissítésére. Használja a minimális jogosultság elvét annak biztosítására, hogy a felhasználók a legkevesebb engedéllyel rendelkezzenek a feladataik elvégzéséhez. Az Azure RBAC-hozzáférés kezelésével kapcsolatos további információkért tekintse meg az Azure RBAC ajánlott eljárásait.
Megjegyzés:
A klasszikus előfizetés-rendszergazdai szerepkörök a Service Rendszergazda istrator és a Co-Rendszergazda istrator az Azure Resource Manager tulajdonosi szerepkörével egyenértékűek. A Tulajdonos szerepkör minden műveletet tartalmaz, így egy ilyen felügyeleti szerepkörrel rendelkező felhasználó tárfiókokat is létrehozhat és kezelhet. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.
A másolási műveletek engedélyezett hatókörének konfigurálása (előzetes verzió)
A szükséges engedélyekkel rendelkező fiók használatával konfigurálja a másolási műveletek engedélyezett hatókörét az Azure Portalon a PowerShell használatával vagy az Azure CLI használatával.
Ha egy meglévő tárfiók másolási műveleteinek engedélyezett hatókörét szeretné konfigurálni az Azure Portalon, kövesse az alábbi lépéseket:
Az Azure Portalon nyissa meg a tárfiókot.
A Beállítások területen válassza a Konfiguráció elemet.
A másolási műveletek engedélyezett hatókörének (előzetes verzió) beállítása az alábbiak egyikére:
- Bármely tárfiókból
- Ugyanabban a Microsoft Entra-bérlőben lévő tárfiókokból
- Privát végpontot tartalmazó tárfiókoktól ugyanarra a virtuális hálózatra
Válassza a Mentés parancsot.