Üzenetsorokhoz való hozzáférés engedélyezése azure-beli szerepkör-hozzárendelési feltételekkel
Az attribútumalapú hozzáférés-vezérlés (ABAC) egy engedélyezési stratégia, amely hozzáférési szinteket határoz meg egy hozzáférési kérelemhez társított attribútumok alapján, például a biztonsági tag, az erőforrás, a környezet és a kérés alapján. Az ABAC-vel egy azure-beli szerepkör-hozzárendelési feltételek alapján adhat hozzáférést egy erőforráshoz.
Fontos
Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage Gen2 és az Azure Queues szolgáltatáshoz request
való hozzáférés szabályozásához a resource
environment
standard és principal
a prémium szintű tárfiókok teljesítményszintjeiben egyaránt. Jelenleg a tároló metaadat-erőforrásattribútuma és a listablobok kérelemattribútuma előzetes verzióban érhető el. Az Azure Storage-hoz készült ABAC szolgáltatásállapotával kapcsolatos teljes információkért tekintse meg az Azure Storage feltételfunkcióinak állapotát.
A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.
Az Azure Storage feltételeinek áttekintése
A Microsoft Entra ID (Microsoft Entra ID) használatával engedélyezheti az Azure Storage-erőforrásokra irányuló kérelmeket az Azure RBAC használatával. Az Azure RBAC a szerepkördefiníciók és szerepkör-hozzárendelések használatával segít az erőforrásokhoz való hozzáférés kezelésében. Az Azure Storage azure-beli beépített szerepkörök készletét határozza meg, amelyek az Azure Storage-adatok eléréséhez használt általános engedélyeket foglalják magukban. Egyéni szerepköröket is meghatározhat bizonyos engedélykészletekkel. Az Azure Storage mind a tárfiókok, mind a blobtárolók vagy üzenetsorok szerepkör-hozzárendeléseit támogatja.
Az Azure ABAC az Azure RBAC-re épít úgy, hogy adott műveletek kontextusában szerepkör-hozzárendelési feltételeket ad hozzá. A szerepkör-hozzárendelési feltétel egy további ellenőrzés, amelyet a tárerőforráson végzett művelet engedélyezésekor értékelnek ki. Ez a feltétel predikátumként van kifejezve az alábbiak bármelyikéhez társított attribútumok használatával:
- Engedélyezést kérő biztonsági tag
- Erőforrás, amelyhez hozzáférést kérnek
- A kérelem paraméterei
- Környezet, ahonnan a kérés származik
A szerepkör-hozzárendelési feltételek használatának előnyei a következők:
- Részletesebb hozzáférés engedélyezése az erőforrásokhoz – Ha például hozzáférést szeretne adni egy felhasználónak egy adott üzenetsorba betekintő üzenetekhez, használhatja a DataAction betekintő üzeneteket és az üzenetsornév tárolási attribútumát.
- Csökkentse a létrehozandó és kezelendő szerepkör-hozzárendelések számát – Ezt úgy teheti meg, hogy egy biztonsági csoport általános szerepkör-hozzárendelését használja, majd korlátozza a csoport egyes tagjainak hozzáférését egy olyan feltétel használatával, amely egy adott erőforrás attribútumaival egyezik meg egy adott erőforrás attribútumaival (például üzenetsor).
- Az expressz hozzáférés-vezérlési szabályok az üzleti jelentéssel rendelkező attribútumok tekintetében – A feltételek kifejezéséhez használhat például olyan attribútumokat, amelyek egy projekt nevét, üzleti alkalmazását, szervezeti függvényét vagy besorolási szintjét jelölik.
A feltételek használatának kompromisszuma az, hogy strukturált és konzisztens osztályozásra van szükség, amikor attribútumokat használ a szervezeten belül. Az attribútumokat védeni kell, hogy a hozzáférés ne sérüljön. Emellett a feltételeket gondosan kell megtervezni és áttekinteni azok hatásának megfelelően.
Támogatott attribútumok és műveletek
Ezen célok eléréséhez konfigurálhatja a DataActions szerepkör-hozzárendeléseinek feltételeit. A feltételeket egyéni szerepkörrel is használhatja, vagy kiválaszthatja a beépített szerepköröket. Vegye figyelembe, hogy a tárolási erőforrás-szolgáltatón keresztüli felügyeleti műveletek esetében a feltételek nem támogatottak.
Feltételeket adhat a beépített szerepkörökhöz vagy egyéni szerepkörökhöz. A szerepkör-hozzárendelési feltételek használatára szolgáló beépített szerepkörök a következők:
- Tárolási várólista adatszolgáltatója
- Tárolósor adatüzenet-feldolgozója
- Storage-üzenetsor adatüzenet-küldője
- Tárolósor adatolvasója
Az egyéni szerepkörökhöz tartozó feltételeket mindaddig használhatja, amíg a szerepkör olyan műveleteket tartalmaz , amelyek támogatják a feltételeket.
Az Azure-szerepkör-hozzárendelési feltétel formátuma lehetővé teszi a @Principal
feltételekben szereplő attribútumok @Resource
vagy @Request
attribútumok használatát. Az @Principal
attribútum egy egyszerű egyéni biztonsági attribútum, például felhasználó, vállalati alkalmazás (szolgáltatásnév) vagy felügyelt identitás. Az @Resource
attribútum egy elérhető tárolási erőforrás meglévő attribútumára hivatkozik, például egy tárfiókra vagy egy üzenetsorra. Az @Request
attribútum egy tárolási művelet kérésében szereplő attribútumra vagy paraméterre utal.
Az Azure RBAC jelenleg 2000 szerepkör-hozzárendelést támogat egy előfizetésben. Ha azure-beli szerepkör-hozzárendelések ezreit kell létrehoznia, akkor ezt a korlátot tapasztalhatja. Több száz vagy több ezer szerepkör-hozzárendelés kezelése nehéz lehet. Bizonyos esetekben feltételekkel csökkentheti a tárfiók szerepkör-hozzárendeléseinek számát, és egyszerűbben kezelheti őket. A szerepkör-hozzárendelések felügyeletét a feltételek és a Microsoft Entra egyéni biztonsági attribútumai segítségével skálázhatja a rendszerbiztonsági tagok számára.
Következő lépések
- Az Azure-szerepkör-hozzárendelés feltételeinek előfeltételei
- Az Azure-szerepkör-hozzárendelési feltételek műveletei és attribútumai az Azure Storage-ban
- Példa Azure-szerepkör-hozzárendelési feltételekre
- Azure-szerepkör-hozzárendelési feltételek hibaelhárítása
Lásd még
- Mi az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?
- Gyakori kérdések az Azure szerepkör-hozzárendelési feltételeiről
- Azure-beli szerepkör-hozzárendelés feltételeinek formátuma és szintaxisa
- Az Azure-szerepkör-hozzárendelések felügyeletének skálázása feltételek és egyéni biztonsági attribútumok használatával
- Az Azure-szerepkörök hozzárendelési feltételeinek biztonsági szempontjai az Azure Storage-ban