Másolási műveletek forrásának korlátozása tárfiókra

Biztonsági okokból előfordulhat, hogy a tárgazdák korlátozni szeretnék azokat a környezeteket, amelyekből adatok másolhatók biztonságos fiókokba. Az engedélyezett másolási műveletek hatókörének korlátozása segít megakadályozni a nem megbízható bérlők vagy virtuális hálózatok nemkívánatos adatainak beszivárgását.

Ez a cikk bemutatja, hogyan korlátozhatja a másolási műveletek forrásfiókját a célfiókkal azonos bérlőn belüli fiókokra, illetve a célhellyel azonos virtuális hálózatra mutató privát hivatkozásokkal.

Fontos

A másolási műveletek engedélyezett hatóköre jelenleg előzetes verzióban érhető el. A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Tudnivalók a másolási műveletek engedélyezett hatóköréről (előzetes verzió)

A tárfiók AllowedCopyScope tulajdonsága határozza meg azokat a környezeteket, amelyekből az adatok átmásolhatók a célfiókba. Az Azure Portalon konfigurációs beállításként jelenik meg, a másolási műveletek engedélyezett hatóköreként (előzetes verzió). A tulajdonság alapértelmezés szerint nincs beállítva, és csak akkor ad vissza értéket, ha kifejezetten be nem állítja. Három lehetséges értékkel rendelkezik:

• (null) (alapértelmezett): Bármely tárfiókból a célfiókba történő másolás engedélyezése.
• Microsoft Entra-azonosító: Csak a célfiókkal azonos Microsoft Entra-bérlőn belüli fiókokról engedélyezi a másolást.
• PrivateLink: Csak olyan tárfiókokból engedélyezi a másolást, amelyek privát kapcsolatokkal rendelkeznek ugyanahhoz a virtuális hálózathoz, mint a célfiók.

A beállítás a Blob másolása és a Blob másolása URL-műveletekből parancsra vonatkozik. A Copy Blobot használó eszközök például az AzCopy és az Azure Storage Explorer.

Ha a másolási kérelem forrása nem felel meg a beállítás által megadott követelményeknek, a kérés a 403-ra (Tiltott) http-állapotkóddal meghiúsul.

A AllowedCopyScope tulajdonság csak az Azure Resource Manager-alapú üzemi modellt használó tárfiókok esetében támogatott. További információ arról, hogy mely tárfiókok használják az Azure Resource Manager-alapú üzemi modellt, lásd a tárfiókok típusait.

Másolási műveletek forrástárfiókjainak azonosítása

A tárfiók AllowedCopyScope értékének módosítása előtt azonosítsa a módosítás által érintett felhasználókat, alkalmazásokat vagy szolgáltatásokat. Az eredményektől függően előfordulhat, hogy a beállítást olyan hatókörre kell módosítani, amely tartalmazza az összes kívánt másolási forrást, vagy módosítani kell a hálózati vagy a Microsoft Entra-konfigurációt egyes forrástárfiókok esetében.

Az Azure Storage-naplók rögzítik az Azure Monitorban a tárfiókon küldött kérelmek részleteit, beleértve a másolási műveletek forrását és célját. További információt az Azure Storage monitorozása című témakörben talál. Engedélyezze és elemezze a naplókat a céltárfiók AllowedCopyScope módosítása által érintett másolási műveletek azonosításához.

Diagnosztikai beállítás létrehozása az Azure Portalon

Ahhoz, hogy az Azure Storage-adatokat az Azure Monitorral naplózza és elemezze az Azure Log Analyticsszel, először létre kell hoznia egy diagnosztikai beállítást, amely jelzi a kérések típusait és az adatokat naplózni kívánt tárolási szolgáltatásokat. Ha diagnosztikai beállítást szeretne létrehozni az Azure Portalon, kövesse az alábbi lépéseket:

1. Hozzon létre egy új Log Analytics-munkaterületet az Azure Storage-fiókot tartalmazó előfizetésben, vagy használjon egy meglévő Log Analytics-munkaterületet. Miután konfigurálta a tárfiók naplózását, a naplók a Log Analytics-munkaterületen lesznek elérhetők. További információ: Log Analytics-munkaterület létrehozása az Azure Portalon.

2. Az Azure Portalon nyissa meg a tárfiókot.

3. A Figyelés szakaszban válassza a Diagnosztikai beállítások lehetőséget.

4. Válassza ki azt az Azure Storage szolgáltatást, amelyhez naplózni szeretné a kéréseket. Válassza például a blobot a Blob Storage-ba irányuló kérések naplózásához.

5. Válassza a Diagnosztikai beállítások megadása lehetőséget.

6. Adja meg a diagnosztikai beállítás nevét.

7. A Kategóriák csoportban a Naplók szakaszban válassza a StorageRead, a StorageWrite és a StorageDelete lehetőséget az összes adatkérés naplózásához a kiválasztott szolgáltatásba.

8. A Céladatok csoportban válassza a Küldés a Log Analytics-munkaterületre lehetőséget. Válassza ki előfizetését és a korábban létrehozott Log Analytics-munkaterületet az alábbi képen látható módon, majd válassza a Mentés lehetőséget.

   

A diagnosztikai beállítás létrehozása után a rendszer ezt követően naplózza a tárfiókra irányuló kérelmeket. További információ: Diagnosztikai beállítás létrehozása erőforrásnaplók és metrikák gyűjtéséhez az Azure-ban.

Másolási kérelmek lekérdezési naplói

Az Azure Storage-naplók tartalmazzák az összes olyan kérést, amely adatokat másol egy másik forrásból származó tárfiókba. A naplóbejegyzések tartalmazzák a céltárfiók nevét és a forrásobjektum URI-ját, valamint a másolatot kérő ügyfél azonosítását segítő információkat. Az Azure Storage-naplókban az Azure Monitorban elérhető mezők teljes körű referenciáját az erőforrásnaplókban talál.

Az elmúlt hét napban a blobok másolására irányuló kérelmek naplóinak lekéréséhez kövesse az alábbi lépéseket:

1. Az Azure Portalon nyissa meg a tárfiókot.

2. A Figyelés szakaszban válassza a Naplók lehetőséget.

3. Illessze be a következő lekérdezést egy új napló lekérdezésbe, és futtassa. Ez a lekérdezés megjeleníti a kérelemben leggyakrabban hivatkozott forrásobjektumokat, hogy adatokat másoljanak a megadott tárfiókba. Az alábbi példában cserélje le a helyőrző szöveget <account-name> a saját tárfiók nevére.

   StorageBlobLogs
   | where OperationName has "CopyBlobSource" and TimeGenerated > ago(7d) and AccountName == "<account-name>"
   | summarize count() by Uri, CallerIpAddress, UserAgentHeader
   

A lekérdezés eredményeinek a következőhöz hasonlóan kell kinéznie:

Az URI a másolandó forrásobjektum teljes elérési útja, amely tartalmazza a tárfiók nevét, a tároló nevét és a fájlnevet. Az URI-k listájából állapítsa meg, hogy a másolási műveletek le lesznek-e tiltva egy adott AllowedCopyScope-beállítás alkalmazása esetén.

Ezen a lekérdezésen alapuló riasztási szabályt is konfigurálhat, hogy értesítést küldjön a fiók blobkérelmeinek másolásáról. További információ: Naplóriasztások létrehozása, megtekintése és kezelése az Azure Monitor használatával.

Másolási műveletek engedélyezett hatókörének korlátozása (előzetes verzió)

Ha biztos abban, hogy biztonságosan korlátozhatja a másolási kérelmek forrásait egy adott hatókörre, beállíthatja a tárfiók AllowedCopyScope tulajdonságát erre a hatókörre.

Engedélyek a másolási műveletek engedélyezett hatókörének módosításához (előzetes verzió)

A tárfiók AllowedCopyScope tulajdonságának beállításához a felhasználónak rendelkeznie kell a tárfiókok létrehozásához és kezeléséhez szükséges engedélyekkel. Az engedélyeket biztosító Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök közé tartozik a Microsoft.Storage/storageAccounts/write vagy a Microsoft.Storage/storageAccounts/* művelet. A művelettel beépített szerepkörök a következők:

• Az Azure Resource Manager tulajdonosi szerepköre
• Az Azure Resource Manager közreműködői szerepköre
• A tárfiók közreműködői szerepköre

Ezek a szerepkörök nem biztosítanak hozzáférést a tárfiókban lévő adatokhoz a Microsoft Entra-azonosítón keresztül. Ezek közé tartozik azonban a Microsoft.Storage/StorageAccounts/listkeys/action, amely hozzáférést biztosít a fiók hozzáférési kulcsaihoz. Ezzel az engedéllyel a felhasználó a fiók hozzáférési kulcsaival hozzáférhet a tárfiók összes adatához.

A szerepkör-hozzárendeléseket a tárfiók szintjére kell korlátozni, hogy a felhasználó korlátozhassa a fiók másolási műveleteinek hatókörét. A szerepkörök hatóköréről további információt az Azure RBAC hatókörének ismertetése című témakörben talál.

Ügyeljen arra, hogy csak azokra korlátozza a szerepkörök hozzárendelését, akiknek szükségük van tárfiók létrehozására vagy tulajdonságainak frissítésére. Használja a minimális jogosultság elvét annak biztosítására, hogy a felhasználók a legkevesebb engedéllyel rendelkezzenek a feladataik elvégzéséhez. Az Azure RBAC-hozzáférés kezelésével kapcsolatos további információkért tekintse meg az Azure RBAC ajánlott eljárásait.

Megjegyzés:

A klasszikus előfizetés-rendszergazdai szerepkörök a Service Rendszergazda istrator és a Co-Rendszergazda istrator az Azure Resource Manager tulajdonosi szerepkörével egyenértékűek. A Tulajdonos szerepkör minden műveletet tartalmaz, így egy ilyen felügyeleti szerepkörrel rendelkező felhasználó tárfiókokat is létrehozhat és kezelhet. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.

A másolási műveletek engedélyezett hatókörének konfigurálása (előzetes verzió)

A szükséges engedélyekkel rendelkező fiók használatával konfigurálja a másolási műveletek engedélyezett hatókörét az Azure Portalon a PowerShell használatával vagy az Azure CLI használatával.

Azure Portal

Ha egy meglévő tárfiók másolási műveleteinek engedélyezett hatókörét szeretné konfigurálni az Azure Portalon, kövesse az alábbi lépéseket:

1. Az Azure Portalon nyissa meg a tárfiókot.

2. A Beállítások területen válassza a Konfiguráció elemet.

3. A másolási műveletek engedélyezett hatókörének (előzetes verzió) beállítása az alábbiak egyikére:

   • Bármely tárfiókból
   • Ugyanabban a Microsoft Entra-bérlőben lévő tárfiókokból
   • Privát végpontot tartalmazó tárfiókoktól ugyanarra a virtuális hálózatra

   

4. Válassza a Mentés parancsot.

PowerShell

Ha egy új vagy meglévő tárfiók másolási műveleteinek engedélyezett hatókörét szeretné konfigurálni a PowerShell-lel, telepítse az Az.Storage PowerShell-modult, amely 4.9.0-s vagy újabb verziójú. Ezután konfigurálja az AllowedCopyScope tulajdonságot egy új vagy meglévő tárfiókhoz. Az engedélyezettCopyScope paraméter egyetlen támogatott értéke a Microsoft Entra ID vagy a PrivateLink. Ha a AllowedCopyScope alapértelmezett beállítását szeretné beállítani bármely tárfiókból, azt módosítania kell az Azure Portalon.

Az alábbi példa bemutatja, hogyan állíthatja be egy meglévő tárfiók AllowedCopyScope tulajdonságát úgy, hogy csak az ugyanazon Microsoft Entra-bérlőn belüli tárfiókokból engedélyezze az adatok másolását. Cserélje le a szögletes zárójelek (<>) helyőrző értékeit a saját értékeire:

Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -AccountName <storage-account> `
    -allowedCopyScope "AAD"

Az alábbi példa bemutatja, hogyan állíthatja be egy meglévő tárfiók AllowedCopyScope tulajdonságát úgy, hogy csak az ugyanazon virtuális hálózathoz privát kapcsolatokkal rendelkező tárfiókokból másolja az adatokat. Cserélje le a szögletes zárójelek (<>) helyőrző értékeit a saját értékeire:

Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -AccountName <storage-account> `
    -allowedCopyScope "PrivateLink"

Azure CLI

Ha egy új vagy meglévő tárfiók másolási műveleteinek engedélyezett hatókörét szeretné konfigurálni az Azure CLI-vel, hajtsa végre a következő lépéseket:

1. Telepítse az Azure CLI legújabb verzióját. További információ: Az Azure CLI telepítése.

2. Telepítse az Azure CLI Storage előzetes verziójú bővítményét a paranccsal az extension add -n storage-preview.

   Fontos

   Az Azure CLI storage előzetes verziójú bővítménye támogatja az előzetes verzióban jelenleg elérhető funkciókat vagy argumentumokat.

   A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

3. A parancs engedélyezett másolási hatókör argumentumával az storage account createaz storage account update konfigurálhatja az AllowedCopyScope tulajdonságot egy új vagy meglévő tárfiókhoz. Az argumentum egyetlen támogatott értéke a Microsoft Entra ID vagy a PrivateLink. Ha a AllowedCopyScope alapértelmezett beállítását szeretné beállítani bármely tárfiókból, azt módosítania kell az Azure Portalon.

Az alábbi példa bemutatja, hogyan konfigurálható egy meglévő tárfiók AllowedCopyScope tulajdonsága, hogy az adatokat csak az ugyanazon Microsoft Entra-bérlőn belüli tárfiókokból másolja a célfiókba. Cserélje le a szögletes zárójelek (<>) helyőrző értékeit a saját értékeire:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allowed-copy-scope "AAD"

Az alábbi példa bemutatja, hogyan konfigurálható a másolási műveletek engedélyezett hatóköre egy meglévő tárfiók esetében, hogy az adatok csak a célfiókba való másolást engedélyezve legyen az ugyanazon virtuális hálózathoz privát kapcsolattal rendelkező tárfiókokból. Cserélje le a szögletes zárójelek (<>) helyőrző értékeit a saját értékeire:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allowed-copy-scope "PrivateLink"

Következő lépések

• Biztonságos átvitel megkövetelése a biztonságos kapcsolatok biztosításához
• Blobadatokhoz való névtelen olvasási hozzáférés szervizelése (Azure Resource Manager-környezetek)
• Megosztott kulcs engedélyezésének megakadályozása Azure Storage-fiókhoz