Engedélyezési beállítások az Azure Storage-hoz
Mielőtt továbbfejlesztené a vállalat betegdiagnosztikai rendszerkép-webalkalmazását, szeretné megismerni a biztonságos hozzáférés összes lehetőségét. A közös hozzáférésű jogosultságkóddal (SAS-szel) az ügyfelek biztonságosan hozzáférhetnek az erőforrásokhoz. De nem ez az egyetlen módja a hozzáférés megadásának. Bizonyos helyzetekben más lehetőségek jobb lehetőségeket kínálnak a szervezet számára.
Cége nem csak az SAS-hitelesítést használhatja ki.
Ebben a leckében az Azure Storage-ban tárolt fájlokhoz való hozzáférés hitelesítésének különböző módjait tekintheti meg.
Hozzáférés az Azure Storage-hoz
Az ügyfelek HTTP/HTTPS-en keresztül férnek hozzá az Azure Storage-ban tárolt fájlokhoz. Az Azure minden ügyfélkérést ellenőriz a tárolt adatokhoz való hozzáférés engedélyezéséhez. A blobtároló elérésére négy lehetőség áll rendelkezésre:
- Nyilvános hozzáférés
- Microsoft Entra ID
- Megosztott kulcs
- Közös hozzáférésű jogosultságkód (SAS)
Nyilvános hozzáférés
A nyilvános hozzáférés a tárolók és blobok névtelen nyilvános olvasási hozzáféréseként is ismert.
A nyilvános hozzáférést két külön beállítás befolyásolja:
A tárfiók. Konfigurálja a tárfiókot úgy, hogy engedélyezze a nyilvános hozzáférést az AllowBlobPublicAccess tulajdonság beállításával. Ha igaz értékre van állítva, a blobadatok csak akkor érhetők el nyilvános hozzáféréshez, ha a tároló nyilvános hozzáférési beállítása is be van állítva.
A tároló. A névtelen hozzáférést csak akkor engedélyezheti, ha a tárfiókhoz engedélyezve van a névtelen hozzáférés. A tároló két lehetséges beállítással rendelkezik a nyilvános hozzáféréshez: nyilvános olvasási hozzáférés blobokhoz, vagy nyilvános olvasási hozzáférés egy tárolóhoz és annak blobjaihoz. A névtelen hozzáférés a tároló szintjén van szabályozva, nem az egyes blobok esetében. Ha tehát biztosítani szeretné a fájlok egy részét, egy külön tárolóba kell helyeznie őket, amely nem teszi lehetővé a nyilvános olvasási hozzáférést.
A névtelen nyilvános hozzáférés engedélyezéséhez a tárfiókra és a tárolóbeállításokra is szükség van. Ennek a módszernek az az előnye, hogy nem kell kulcsokat megosztania azokkal az ügyfelekkel, akiknek hozzáférésre van szükségük a fájlokhoz. Emellett nem kell felügyelni SAS-t sem.
Microsoft Entra ID
A Microsoft Entra beállítással biztonságosan hozzáférhet az Azure Storage-hoz anélkül, hogy hitelesítő adatokat tárol a kódban. Az AD-hitelesítés kétlépéses megközelítést alkalmaz. Először hitelesítenie kell egy rendszerbiztonsági tagot, amely egy OAuth 2.0-jogkivonatot ad vissza sikeres művelet esetén. Ezután a jogkivonatot az Azure Storage-nek továbbítva lehetővé teheti a kért erőforrás engedélyezését.
Ezt a hitelesítési formát akkor használja, ha felügyelt identitásokkal vagy biztonsági tagokkal rendelkező alkalmazást futtat.
Megosztott kulcs
Az Azure Storage két 512 bites hozzáférési kulcsot hoz létre minden létrehozott tárfiókhoz. Ezeket a kulcsokat az ügyfelekkel megosztva hozzáférést nyújthat a tárfiókhoz. Ezek a kulcsok gyökérszintű hozzáférést nyújtanak a tárhoz.
Azt javasoljuk, hogy a tárkulcsokat az Azure Key Vaulttal kezelje, mert a tárfiók biztonsága érdekében a kulcsok rendszeres időközönként könnyen elforgathatók.
Közös hozzáférésű jogosultságkód
Az SAS lehetővé teszi, hogy részletes hozzáférést biztosítson az Azure Storage-ban tárolt fájlokhoz, például írásvédett vagy írásvédett hozzáféréshez, a lejárati időhöz, amely után az SAS már nem teszi lehetővé az ügyfél számára a kiválasztott erőforrások elérését. A közös hozzáférésű jogosultságkód olyan kulcs, amely engedélyt ad egy tárolási erőforrásnak, és ugyanúgy kell védeni, mint egy fiókkulcsot.
Az Azure Storage háromféle közös hozzáférésű jogosultságkódot támogat:
- Felhasználódelegálási SAS: Csak a Blob Storage-hoz használható, és a Microsoft Entra hitelesítő adatai védik.
- Service SAS: A szolgáltatás SAS-ét egy tárfiókkulcs védi. A szolgáltatás sasa négy Azure Storage-szolgáltatás bármelyikében delegálja a hozzáférést egy erőforráshoz: Blob, Queue, Table vagy File.
- Fiók SAS: A fiók SAS-ét egy tárfiókkulcs védi. A fiók SAS-jének ugyanazok a vezérlői vannak, mint a szolgáltatás SAS-nek, de a szolgáltatásszintű műveletekhez, például a szolgáltatásstatisztikák lekéréséhez való hozzáférést is szabályozhatja.
A SAS ad-hoc létrehozásához meg kell adnia az összes szabályozni kívánt beállítást, beleértve a kezdési időpontot, a lejárati időt és az engedélyeket.
Ha szolgáltatás SAS-t szeretne létrehozni, lehetősége van arra is, hogy egy tárolt hozzáférési szabályzathoz társítsa. Egy tárolt hozzáférési szabályzat legfeljebb öt aktív SAS-hez társítható. A hozzáférést és a lejáratot a tárolt hozzáférési szabályzat szintjén szabályozhatja. Ez a módszer akkor jó, ha részletes ellenőrzésre van szüksége a lejárat módosításához vagy az SAS visszavonásához. Egy ad-hoc SAS visszavonásának vagy módosításának egyetlen módja a tárfiókkulcsok módosítása.