Táblákhoz való hozzáférés engedélyezése a Microsoft Entra-azonosítóval
Az Azure Storage támogatja a Microsoft Entra ID használatát az adatok táblázására irányuló kérések engedélyezéséhez. A Microsoft Entra ID-val azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) adhat engedélyeket egy biztonsági tagnak, amely lehet felhasználó, csoport vagy alkalmazásszolgáltatás-tag. A biztonsági tagot a Microsoft Entra ID hitelesíti egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat ezután a Table szolgáltatással kapcsolatos kérések engedélyezésére használható.
Az Azure Storage-ra irányuló kérelmek Microsoft Entra-azonosítóval való engedélyezése kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A Microsoft azt javasolja, hogy ha lehetséges, használja a Microsoft Entra-hitelesítést a táblaalkalmazásokkal a minimálisan szükséges jogosultságokkal való hozzáférés biztosítása érdekében.
A Microsoft Entra-azonosítóval való engedélyezés minden általános célú szolgáltatáshoz elérhető az összes nyilvános régióban és nemzeti felhőben. Csak az Azure Resource Manager-alapú üzemi modellel létrehozott tárfiókok támogatják a Microsoft Entra engedélyezését.
A TáblákHoz készült Microsoft Entra-azonosító áttekintése
Amikor egy biztonsági tag (felhasználó, csoport vagy alkalmazás) megpróbál hozzáférni egy táblaerőforráshoz, a kérést engedélyezni kell. A Microsoft Entra-azonosítóval az erőforráshoz való hozzáférés kétlépéses folyamat. Először a rendszer hitelesíti a biztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad vissza. Ezután a rendszer a jogkivonatot egy kérés részeként továbbítja a Table szolgáltatásnak, és a szolgáltatás a megadott erőforráshoz való hozzáférés engedélyezésére használja.
A hitelesítési lépés megköveteli, hogy egy alkalmazás futásidőben OAuth 2.0 hozzáférési jogkivonatot kérjen. Ha egy alkalmazás egy Azure-entitáson belül fut, például egy Azure-beli virtuális gépről, egy virtuálisgép-méretezési csoportról vagy egy Azure Functions-alkalmazásról, akkor egy felügyelt identitással érheti el a táblákat.
Az engedélyezési lépéshez egy vagy több Azure-szerepkört kell hozzárendelni a biztonsági taghoz. Az Azure Storage olyan Azure-szerepköröket biztosít, amelyek a táblaadatok általános engedélykészleteit foglalják magukban. A rendszerbiztonsági taghoz rendelt szerepkörök határozzák meg, hogy a rendszerbiztonsági tag milyen engedélyekkel rendelkezzen. Ha többet szeretne megtudni az Azure-szerepkörök táblahozzáféréshez való hozzárendeléséről, olvassa el az Azure-szerepkörök hozzárendelése a táblaadatokhoz való hozzáféréshez című témakört.
Az alábbi táblázat további információkra mutat az adatokhoz való hozzáférés engedélyezéséhez különböző forgatókönyvekben:
Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz
A Microsoft Entra az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyezi az erőforrások védelmére vonatkozó hozzáférési jogosultságokat. Az Azure Storage beépített Azure-szerepkörök készletét határozza meg, amelyek a táblaadatok eléréséhez használt közös engedélykészleteket foglalják magukban. A táblaadatokhoz való hozzáféréshez egyéni szerepköröket is definiálhat.
Ha egy Azure-szerepkör egy Microsoft Entra biztonsági taghoz van rendelve, az Azure hozzáférést biztosít ezekhez az erőforrásokhoz az adott biztonsági tag számára. A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz.
Erőforrás hatóköre
Mielőtt Azure RBAC-szerepkört rendel egy biztonsági taghoz, határozza meg, hogy milyen hozzáférési hatókörrel kell rendelkeznie a biztonsági tagnak. Az ajánlott eljárások azt diktálják, hogy mindig a lehető legszűkebb hatókört érdemes megadni. A szélesebb hatókörben definiált Azure RBAC-szerepköröket az alattuk lévő erőforrások öröklik.
Az Azure-táblaerőforrásokhoz való hozzáférést a következő szinteken, a legszűkebb hatókörtől kezdve használhatja:
- Egy különálló tábla. Ebben a hatókörben a szerepkör-hozzárendelés a megadott táblára vonatkozik.
- A tárfiók. Ebben a hatókörben a szerepkör-hozzárendelés a fiók összes táblájára vonatkozik.
- Az erőforráscsoport. Ebben a hatókörben a szerepkör-hozzárendelés az erőforráscsoport összes tárfiókjának összes táblájára vonatkozik.
- Az előfizetés. Ebben a hatókörben a szerepkör-hozzárendelés az előfizetés összes erőforráscsoportjának összes tárfiókjában lévő összes táblára vonatkozik.
- Egy felügyeleti csoport. Ebben a hatókörben a szerepkör-hozzárendelés a felügyeleti csoport összes előfizetésében lévő összes erőforráscsoport összes tárfiókjának összes táblájára vonatkozik.
További információ az Azure RBAC-szerepkör-hozzárendelések hatóköréről: Az Azure RBAC hatókörének ismertetése.
Azure beépített szerepkörök táblákhoz
Az Azure RBAC beépített szerepköröket biztosít a táblaadatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID és az OAuth használatával. Az Azure Storage-táblákhoz engedélyeket biztosító beépített szerepkörök a következők:
- Storage Table Data Közreműködő: Olvasási/írási/törlési engedélyek megadására használható a Table Storage-erőforrások számára.
- Storage Table Data Reader: Írásvédett engedélyeket adhat a Table Storage-erőforrásokhoz.
Ha tudni szeretné, hogyan rendelhet azure-beli beépített szerepkört egy biztonsági taghoz, olvassa el az Azure-szerepkör hozzárendelése a táblaadatokhoz való hozzáféréshez című témakört. Az Azure RBAC-szerepkörök és azok engedélyeinek listázásához tekintse meg az Azure-szerepkördefiníciók listáját.
A beépített szerepkörök Azure Storage-hoz való definiálásáról további információt a szerepkördefiníciók ismertetése című témakörben talál. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörökben talál.
Csak az adathozzáféréshez explicit módon definiált szerepkörök teszik lehetővé, hogy a biztonsági tagok hozzáférjenek a táblaadatokhoz. A beépített szerepkörök, például a Tulajdonos, a Közreműködő és a Tárfiók közreműködője lehetővé teszik a biztonsági tagok számára a tárfiókok kezelését, de nem biztosítanak hozzáférést a fiók táblaadataihoz a Microsoft Entra-azonosítón keresztül. Ha azonban egy szerepkör tartalmazza a Microsoft.Storage/storageAccounts/listKeys/action függvényt, akkor a szerepkörrel rendelkező felhasználók a fiók hozzáférési kulcsaival megosztott kulcsok engedélyezésével férhetnek hozzá a tárfiók adataihoz.
Az Azure Storage beépített Azure-szerepköreiről az adatszolgáltatásokhoz és a felügyeleti szolgáltatáshoz készült Azure-beli beépített szerepkörökről az Azure RBAC beépített Azure-szerepköreinek Storage szakaszában olvashat. Emellett az Azure-ban engedélyeket biztosító szerepkörök különböző típusaival kapcsolatos információkért tekintse meg az Azure-szerepköröket, a Microsoft Entra szerepköröket és a klasszikus előfizetés-rendszergazdai szerepköröket.
Fontos
Az Azure-szerepkör-hozzárendelések propagálása akár 30 percet is igénybe vehet.
Hozzáférési engedélyek adatműveletekhez
Az adott Table Service-műveletek meghívásához szükséges engedélyekről az adatműveletek meghívására vonatkozó engedélyek című témakörben olvashat.