Megosztás a következőn keresztül:

Üzenetsorokhoz való hozzáférés engedélyezése azure-beli szerepkör-hozzárendelési feltételekkel

  • Cikk

Az attribútumalapú hozzáférés-vezérlés (ABAC) egy engedélyezési stratégia, amely hozzáférési szinteket határoz meg egy hozzáférési kérelemhez társított attribútumok alapján, például a biztonsági tag, az erőforrás, a környezet és a kérés alapján. Az ABAC-vel egy azure-beli szerepkör-hozzárendelési feltételek alapján adhat hozzáférést egy erőforráshoz.

Fontos

Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) általánosan elérhető (GA) az Azure Blob Storage, az Azure Data Lake Storage Gen2 és az Azure Queues szolgáltatáshoz requestvaló hozzáférés szabályozásához a resourceenvironmentstandard és principal a prémium szintű tárfiókok teljesítményszintjeiben egyaránt. Jelenleg a tároló metaadat-erőforrásattribútuma és a listablobok kérelemattribútuma előzetes verzióban érhető el. Az Azure Storage-hoz készült ABAC szolgáltatásállapotával kapcsolatos teljes információkért tekintse meg az Azure Storage feltételfunkcióinak állapotát.

A bétaverziójú, előzetes verziójú vagy másként még általánosan nem elérhető Azure-szolgáltatások jogi feltételeit lásd: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

Az Azure Storage feltételeinek áttekintése

A Microsoft Entra ID (Microsoft Entra ID) használatával engedélyezheti az Azure Storage-erőforrásokra irányuló kérelmeket az Azure RBAC használatával. Az Azure RBAC a szerepkördefiníciók és szerepkör-hozzárendelések használatával segít az erőforrásokhoz való hozzáférés kezelésében. Az Azure Storage azure-beli beépített szerepkörök készletét határozza meg, amelyek az Azure Storage-adatok eléréséhez használt általános engedélyeket foglalják magukban. Egyéni szerepköröket is meghatározhat bizonyos engedélykészletekkel. Az Azure Storage mind a tárfiókok, mind a blobtárolók vagy üzenetsorok szerepkör-hozzárendeléseit támogatja.

Az Azure ABAC az Azure RBAC-re épít úgy, hogy adott műveletek kontextusában szerepkör-hozzárendelési feltételeket ad hozzá. A szerepkör-hozzárendelési feltétel egy további ellenőrzés, amelyet a tárerőforráson végzett művelet engedélyezésekor értékelnek ki. Ez a feltétel predikátumként van kifejezve az alábbiak bármelyikéhez társított attribútumok használatával:

  • Engedélyezést kérő biztonsági tag
  • Erőforrás, amelyhez hozzáférést kérnek
  • A kérelem paraméterei
  • Környezet, ahonnan a kérés származik

A szerepkör-hozzárendelési feltételek használatának előnyei a következők:

  • Részletesebb hozzáférés engedélyezése az erőforrásokhoz – Ha például hozzáférést szeretne adni egy felhasználónak egy adott üzenetsorba betekintő üzenetekhez, használhatja a DataAction betekintő üzeneteket és az üzenetsornév tárolási attribútumát.
  • Csökkentse a létrehozandó és kezelendő szerepkör-hozzárendelések számát – Ezt úgy teheti meg, hogy egy biztonsági csoport általános szerepkör-hozzárendelését használja, majd korlátozza a csoport egyes tagjainak hozzáférését egy olyan feltétel használatával, amely egy adott erőforrás attribútumaival egyezik meg egy adott erőforrás attribútumaival (például üzenetsor).
  • Az expressz hozzáférés-vezérlési szabályok az üzleti jelentéssel rendelkező attribútumok tekintetében – A feltételek kifejezéséhez használhat például olyan attribútumokat, amelyek egy projekt nevét, üzleti alkalmazását, szervezeti függvényét vagy besorolási szintjét jelölik.

A feltételek használatának kompromisszuma az, hogy strukturált és konzisztens osztályozásra van szükség, amikor attribútumokat használ a szervezeten belül. Az attribútumokat védeni kell, hogy a hozzáférés ne sérüljön. Emellett a feltételeket gondosan kell megtervezni és áttekinteni azok hatásának megfelelően.

Támogatott attribútumok és műveletek

Ezen célok eléréséhez konfigurálhatja a DataActions szerepkör-hozzárendeléseinek feltételeit. A feltételeket egyéni szerepkörrel is használhatja, vagy kiválaszthatja a beépített szerepköröket. Vegye figyelembe, hogy a tárolási erőforrás-szolgáltatón keresztüli felügyeleti műveletek esetében a feltételek nem támogatottak.

Feltételeket adhat a beépített szerepkörökhöz vagy egyéni szerepkörökhöz. A szerepkör-hozzárendelési feltételek használatára szolgáló beépített szerepkörök a következők:

Az egyéni szerepkörökhöz tartozó feltételeket mindaddig használhatja, amíg a szerepkör olyan műveleteket tartalmaz , amelyek támogatják a feltételeket.

Az Azure-szerepkör-hozzárendelési feltétel formátuma lehetővé teszi a @Principalfeltételekben szereplő attribútumok @Resource vagy @Request attribútumok használatát. Az @Principal attribútum egy egyszerű egyéni biztonsági attribútum, például felhasználó, vállalati alkalmazás (szolgáltatásnév) vagy felügyelt identitás. Az @Resource attribútum egy elérhető tárolási erőforrás meglévő attribútumára hivatkozik, például egy tárfiókra vagy egy üzenetsorra. Az @Request attribútum egy tárolási művelet kérésében szereplő attribútumra vagy paraméterre utal.

Az Azure RBAC jelenleg 2000 szerepkör-hozzárendelést támogat egy előfizetésben. Ha azure-beli szerepkör-hozzárendelések ezreit kell létrehoznia, akkor ezt a korlátot tapasztalhatja. Több száz vagy több ezer szerepkör-hozzárendelés kezelése nehéz lehet. Bizonyos esetekben feltételekkel csökkentheti a tárfiók szerepkör-hozzárendeléseinek számát, és egyszerűbben kezelheti őket. A szerepkör-hozzárendelések felügyeletét a feltételek és a Microsoft Entra egyéni biztonsági attribútumai segítségével skálázhatja a rendszerbiztonsági tagok számára.

Következő lépések

Lásd még