Hozzáférés engedélyezése az Azure Blob Storage-hoz azure-szerepkör-hozzárendelési feltételekkel

  • Cikk

Az attribútumalapú hozzáférés-vezérlés (ABAC) egy engedélyezési stratégia, amely a biztonsági tagokhoz, erőforrásokhoz, környezethez és magukhoz a kérésekhez társított attribútumok alapján határozza meg a hozzáférési szinteket. Az ABAC-vel az ilyen attribútumok használatával predikátumként kifejezett feltétel alapján adhat hozzáférést egy erőforráshoz.

Az Azure ABAC az Azure szerepköralapú hozzáférés-vezérlésére (Azure RBAC) épül, ha feltételeket ad hozzá az Azure-szerepkör-hozzárendelésekhez. Lehetővé teszi a szerepkör-hozzárendelési feltételek egyszerű, erőforrás, kérelem és környezeti attribútumok alapján történő megírását.

Fontos

Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage Gen2 és az Azure Queues szolgáltatáshoz requestvaló hozzáférés szabályozásához a resourceenvironmentstandard és principal a prémium szintű tárfiókok teljesítményszintjeiben egyaránt. Jelenleg a tároló metaadat-erőforrásattribútuma és a listablobok kérelemattribútuma előzetes verzióban érhető el. Az Azure Storage-hoz készült ABAC szolgáltatásállapotával kapcsolatos teljes információkért tekintse meg az Azure Storage feltételfunkcióinak állapotát.

A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Az Azure Storage feltételeinek áttekintése

A Microsoft Entra ID (Microsoft Entra ID) használatával engedélyezheti az Azure Storage-erőforrásokra irányuló kéréseket az Azure RBAC használatával. Az Azure RBAC a szerepkördefiníciók és szerepkör-hozzárendelések használatával segít az erőforrásokhoz való hozzáférés kezelésében. Az Azure Storage azure-beli beépített szerepkörök készletét határozza meg, amelyek az Azure Storage-adatok eléréséhez használt általános engedélyeket foglalják magukban. Egyéni szerepköröket is meghatározhat bizonyos engedélykészletekkel. Az Azure Storage a tárfiókokhoz és a blobtárolókhoz egyaránt támogatja a szerepkör-hozzárendeléseket.

Az Azure ABAC az Azure RBAC-re épít úgy, hogy adott műveletek kontextusában szerepkör-hozzárendelési feltételeket ad hozzá. A szerepkör-hozzárendelési feltétel egy további ellenőrzés, amelyet a tárerőforráson végzett művelet engedélyezésekor értékelnek ki. Ez a feltétel predikátumként van kifejezve az alábbiak bármelyikéhez társított attribútumok használatával:

  • Engedélyezést kérő biztonsági tag
  • Erőforrás, amelyhez hozzáférést kérnek
  • A kérelem paraméterei
  • Környezet, amelyben a kérés meg van adva

A szerepkör-hozzárendelési feltételek használatának előnyei a következők:

  • Részletesebb hozzáférés engedélyezése az erőforrásokhoz – Ha például csak akkor szeretne olvasási hozzáférést adni egy felhasználónak a tárfiókokban lévő blobokhoz, ha a blobok Project=Sierra címkével vannak megjelölve, akkor az olvasási művelet feltételeit címkékkel attribútumként használhatja.
  • Csökkentse a létrehozandó és kezelendő szerepkör-hozzárendelések számát – Ezt úgy teheti meg, hogy egy biztonsági csoport általános szerepkör-hozzárendelését használja, majd korlátozza a csoport egyes tagjainak hozzáférését egy olyan feltétel használatával, amely megfelel egy adott erőforrás attribútumainak (például blobnak vagy tárolónak) az attribútumaival.
  • Az expressz hozzáférés-vezérlési szabályok az üzleti jelentéssel rendelkező attribútumok tekintetében – A feltételek kifejezéséhez használhat például olyan attribútumokat, amelyek egy projekt nevét, üzleti alkalmazását, szervezeti függvényét vagy besorolási szintjét jelölik.

A felhasználási feltételekkel való kompromisszum az, hogy strukturált és konzisztens osztályozásra van szükség, amikor attribútumokat használ a szervezeten belül. Az attribútumokat védeni kell, hogy a hozzáférés ne sérüljön. Emellett a feltételeket gondosan kell megtervezni és áttekinteni azok hatásának megfelelően.

Az Azure Storage szerepkör-hozzárendelési feltételei támogatottak az Azure Blob Storage-ban. Olyan fiókokkal is használhat feltételeket, amelyeken engedélyezve van a hierarchikus névtér (HNS) funkció (Data Lake Storage Gen2).

Támogatott attribútumok és műveletek

Ezen célok eléréséhez konfigurálhatja a DataActions szerepkör-hozzárendeléseinek feltételeit. A feltételeket egyéni szerepkörrel is használhatja, vagy kiválaszthatja a beépített szerepköröket. Vegye figyelembe, hogy a tárolási erőforrás-szolgáltatón keresztüli felügyeleti műveletek nem támogatják a feltételeket.

Feltételeket adhat a beépített szerepkörökhöz vagy egyéni szerepkörökhöz. A szerepkör-hozzárendelési feltételek használatára szolgáló beépített szerepkörök a következők:

Az egyéni szerepkörökhöz tartozó feltételeket mindaddig használhatja, amíg a szerepkör olyan műveleteket tartalmaz , amelyek támogatják a feltételeket.

Ha blobindexcímkéken alapuló feltételekkel dolgozik, akkor a Storage Blob Data Ownert kell használnia, mivel a címkeműveletek engedélyeit ez a szerepkör tartalmazza.

Feljegyzés

A blobindex-címkék nem támogatottak a hierarchikus névteret használó Data Lake Storage Gen2-tárfiókok esetében. A HNS-t engedélyező tárfiókokon nem szabad indexcímkéket használó szerepkör-hozzárendelési feltételeket szerződnie.

Az Azure-szerepkör-hozzárendelési feltétel formátuma lehetővé teszi , vagy @Environment attribútumok használatát @Principal@Resource@Request a feltételekben. Az @Principal attribútum egy egyszerű egyéni biztonsági attribútum, például felhasználó, vállalati alkalmazás (szolgáltatásnév) vagy felügyelt identitás. Az @Resource attribútum egy elérhető tárolási erőforrás meglévő attribútumára utal, például egy tárfiókra, egy tárolóra vagy egy blobra. Az @Request attribútum egy tárolási művelet kérésében szereplő attribútumra vagy paraméterre utal. Az @Environment attribútum a hálózati környezetre vagy a kérés dátumára és időpontjára hivatkozik.

Az Azure RBAC előfizetésenként korlátozott számú szerepkör-hozzárendelést támogat. Ha több ezer Azure-szerepkör-hozzárendelést kell létrehoznia, előfordulhat, hogy ez a korlát jelenik meg. Több száz vagy több ezer szerepkör-hozzárendelés kezelése nehéz lehet. Bizonyos esetekben feltételekkel csökkentheti a tárfiók szerepkör-hozzárendeléseinek számát, és egyszerűbben kezelheti őket. A szerepkör-hozzárendelések felügyeletét a feltételek és a Microsoft Entra egyéni biztonsági attribútumai segítségével skálázhatja a rendszerbiztonsági tagok számára.

Feltételfunkciók állapota az Azure Storage-ban

Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage Gen2 és az Azure Queues szolgáltatáshoz requestvaló hozzáférés szabályozásához a resourceenvironmentstandard és principal a prémium szintű tárfiókok teljesítményszintjeiben egyaránt. Jelenleg a tároló metaadat-erőforrásattribútuma és a listablobok kérelemattribútuma előzetes verzióban érhető el.

Az alábbi táblázat az ABAC aktuális állapotát mutatja be tárolási erőforrástípus és attribútumtípus szerint. Bizonyos attribútumok kivételei is megjelennek.

Erőforrástípusok Attribútumtípusok Attribútumok Elérhetőség
Blobok
2. generációs Data Lake Storage
Várólisták		 Kérés
Erőforrás
Környezet
Rendszerbiztonsági tag		 Az összes attribútum, kivéve az ebben a táblázatban feljegyzett attribútumokat FE
2. generációs Data Lake Storage Erőforrás Pillanatkép Előnézet
Blobok
2. generációs Data Lake Storage		 Erőforrás Tároló metaadatai Előnézet
Blobok Kérés Blobok listázása Előnézet

A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Feljegyzés

Egyes tárolási funkciók nem támogatottak a Data Lake Storage Gen2-tárfiókok esetében, amelyek hierarchikus névteret (HNS) használnak. További információ: A Blob Storage szolgáltatás támogatása.

A következő ABAC-attribútumok nem támogatottak, ha a hierarchikus névtér engedélyezve van egy tárfiókhoz:

Következő lépések

Lásd még