Előző

Következő

Engedélyezési beállítások az Azure Storage-hoz

Befejeződött

Mielőtt továbbfejlesztené a vállalat betegdiagnosztikai rendszerkép-webalkalmazását, szeretné megismerni a biztonságos hozzáférés összes lehetőségét. A közös hozzáférésű jogosultságkóddal (SAS-szel) az ügyfelek biztonságosan hozzáférhetnek az erőforrásokhoz. De nem ez az egyetlen módja a hozzáférés megadásának. Bizonyos helyzetekben más lehetőségek jobb lehetőségeket kínálnak a szervezet számára.

Cége nem csak az SAS-hitelesítést használhatja ki.

Ebben a leckében az Azure Storage-ban tárolt fájlokhoz való hozzáférés hitelesítésének különböző módjait tekintheti meg.

Hozzáférés az Azure Storage-hoz

Az ügyfelek HTTP/HTTPS-en keresztül férnek hozzá az Azure Storage-ban tárolt fájlokhoz. Az Azure minden ügyfélkérést ellenőriz a tárolt adatokhoz való hozzáférés engedélyezéséhez. A blobtároló elérésére négy lehetőség áll rendelkezésre:

• Nyilvános hozzáférés
• Microsoft Entra ID
• Megosztott kulcs
• Közös hozzáférésű jogosultságkód (SAS)

Nyilvános hozzáférés

A nyilvános hozzáférés a tárolók és blobok névtelen nyilvános olvasási hozzáféréseként is ismert.

A nyilvános hozzáférést két külön beállítás befolyásolja:

• A tárfiók. Konfigurálja a tárfiókot úgy, hogy engedélyezze a nyilvános hozzáférést az AllowBlobPublicAccess tulajdonság beállításával. Ha igaz értékre van állítva, a blobadatok csak akkor érhetők el nyilvános hozzáféréshez, ha a tároló nyilvános hozzáférési beállítása is be van állítva.

• A tároló. A névtelen hozzáférést csak akkor engedélyezheti, ha a tárfiókhoz engedélyezve van a névtelen hozzáférés. A tároló két lehetséges beállítással rendelkezik a nyilvános hozzáféréshez: nyilvános olvasási hozzáférés blobokhoz, vagy nyilvános olvasási hozzáférés egy tárolóhoz és annak blobjaihoz. A névtelen hozzáférés a tároló szintjén van szabályozva, nem az egyes blobok esetében. Ha tehát biztosítani szeretné a fájlok egy részét, egy külön tárolóba kell helyeznie őket, amely nem teszi lehetővé a nyilvános olvasási hozzáférést.

A névtelen nyilvános hozzáférés engedélyezéséhez a tárfiókra és a tárolóbeállításokra is szükség van. Ennek a módszernek az az előnye, hogy nem kell kulcsokat megosztania azokkal az ügyfelekkel, akiknek hozzáférésre van szükségük a fájlokhoz. Emellett nem kell felügyelni SAS-t sem.

Microsoft Entra ID

A Microsoft Entra beállítással biztonságosan hozzáférhet az Azure Storage-hoz anélkül, hogy hitelesítő adatokat tárol a kódban. Az AD-hitelesítés kétlépéses megközelítést alkalmaz. Először hitelesítenie kell egy rendszerbiztonsági tagot, amely egy OAuth 2.0-jogkivonatot ad vissza sikeres művelet esetén. Ezután a jogkivonatot az Azure Storage-nek továbbítva lehetővé teheti a kért erőforrás engedélyezését.

Ezt a hitelesítési formát akkor használja, ha felügyelt identitásokkal vagy biztonsági tagokkal rendelkező alkalmazást futtat.

Megosztott kulcs

Az Azure Storage két 512 bites hozzáférési kulcsot hoz létre minden létrehozott tárfiókhoz. Ezeket a kulcsokat az ügyfelekkel megosztva hozzáférést nyújthat a tárfiókhoz. Ezek a kulcsok gyökérszintű hozzáférést nyújtanak a tárhoz.

Azt javasoljuk, hogy a tárkulcsokat az Azure Key Vaulttal kezelje, mert a tárfiók biztonsága érdekében a kulcsok rendszeres időközönként könnyen elforgathatók.

Közös hozzáférésű jogosultságkód

Az SAS lehetővé teszi, hogy részletes hozzáférést biztosítson az Azure Storage-ban tárolt fájlokhoz, például írásvédett vagy írásvédett hozzáféréshez, a lejárati időhöz, amely után az SAS már nem teszi lehetővé az ügyfél számára a kiválasztott erőforrások elérését. A közös hozzáférésű jogosultságkód olyan kulcs, amely engedélyt ad egy tárolási erőforrásnak, és ugyanúgy kell védeni, mint egy fiókkulcsot.

Az Azure Storage háromféle közös hozzáférésű jogosultságkódot támogat:

• Felhasználódelegálási SAS: Csak a Blob Storage-hoz használható, és a Microsoft Entra hitelesítő adatai védik.
• Service SAS: A szolgáltatás SAS-ét egy tárfiókkulcs védi. A szolgáltatás sasa négy Azure Storage-szolgáltatás bármelyikében delegálja a hozzáférést egy erőforráshoz: Blob, Queue, Table vagy File.
• Fiók SAS: A fiók SAS-ét egy tárfiókkulcs védi. A fiók SAS-jének ugyanazok a vezérlői vannak, mint a szolgáltatás SAS-nek, de a szolgáltatásszintű műveletekhez, például a szolgáltatásstatisztikák lekéréséhez való hozzáférést is szabályozhatja.

A SAS ad-hoc létrehozásához meg kell adnia az összes szabályozni kívánt beállítást, beleértve a kezdési időpontot, a lejárati időt és az engedélyeket.

Ha szolgáltatás SAS-t szeretne létrehozni, lehetősége van arra is, hogy egy tárolt hozzáférési szabályzathoz társítsa. Egy tárolt hozzáférési szabályzat legfeljebb öt aktív SAS-hez társítható. A hozzáférést és a lejáratot a tárolt hozzáférési szabályzat szintjén szabályozhatja. Ez a módszer akkor jó, ha részletes ellenőrzésre van szüksége a lejárat módosításához vagy az SAS visszavonásához. Egy ad-hoc SAS visszavonásának vagy módosításának egyetlen módja a tárfiókkulcsok módosítása.

Tesztelje tudását

1.

A szervezete egy belső rendszerrel oszt meg betegellátási adatokat és jegyzeteket. A felhasználók hozzáférését a Microsoft Entra-csoportokban való tagságuk alapján is biztonságossá teheti. Milyen típusú hitelesítés támogatja ezt a forgatókönyvet a legjobban, és miért?

Közös hozzáférésű jogosultságkód (SAS) tokenjének használata. A Microsoft Entra hitelesítő adatait és a felhasználódelegálási SAS-jogkivonatot használja.

Használja a Microsoft Entra-azonosítót. A Microsoft Entra ID használatával létrehozhat egy egyszerű szolgáltatást az alkalmazás hitelesítéséhez.

Megosztott kulcs használata. Az Azure Storage-fiók létrehozhatja és visszavonhatja az alkalmazásban használt kulcsokat.

2.

A nyilvános statikus webhelye minden nyilvános UI-képet a blobtárolóban tárol. A webhelynek engedélyezés nélkül kell megjelenítenie az ábrákat. Melyik a legjobb megoldás?

Nyilvános hozzáférés

Megosztott kulcs

Közös hozzáférésű jogosultságkód

A munka ellenőrzése előtt minden kérdésre válaszolnia kell.

Folytatás