Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Replikasi objek menyalin blok blob secara asinkron dari kontainer dalam satu akun penyimpanan ke kontainer pada akun penyimpanan lain. Saat mengonfigurasi kebijakan replikasi objek, Anda menentukan akun sumber dan kontainer serta akun dan kontainer tujuan. Setelah kebijakan dikonfigurasi, Azure Storage secara otomatis menyalin hasil operasi buat, perbarui, dan hapus pada objek sumber ke objek tujuan. Untuk informasi selengkapnya tentang replikasi objek di Azure Storage, lihat Replikasi objek untuk blob blok.
Pengguna yang berwenang dapat mengonfigurasi kebijakan replikasi objek di mana akun sumber berada dalam satu penyewa Microsoft Entra dan akun tujuan berada di penyewa yang berbeda jika replikasi lintas penyewa diizinkan di seluruh penyewa Microsoft Entra. Jika kebijakan keamanan Anda mengharuskan Anda membatasi replikasi objek ke akun penyimpanan yang hanya berada dalam penyewa yang sama, Anda dapat melarang pembuatan kebijakan di mana akun sumber dan tujuan berada di penyewa yang berbeda. Secara default, replikasi objek lintas penyewa dinonaktifkan untuk semua akun penyimpanan baru yang dibuat setelah 15 Des 2023, kecuali Anda secara eksplisit mengizinkannya.
Artikel ini menjelaskan cara memulihkan replikasi objek lintas penyewa untuk akun penyimpanan Anda. Ini juga menjelaskan cara membuat kebijakan untuk memberlakukan larangan replikasi objek lintas penyewa untuk akun penyimpanan baru dan yang sudah ada.
Untuk informasi selengkapnya tentang pengaturan kebijakan replikasi objek, termasuk kebijakan lintas penyewa, lihat di Pengaturan replikasi objek untuk blok blob.
Memperbaiki replikasi objek lintas penyewa
Untuk mencegah replikasi objek di seluruh penyewa Microsoft Entra, atur properti AllowCrossTenantReplication untuk akun penyimpanan ke false. Jika akun penyimpanan saat ini tidak berpartisipasi dalam kebijakan replikasi objek lintas penyewa, maka mengatur properti AllowCrossTenantReplication ke false mencegah konfigurasi kebijakan replikasi objek lintas penyewa di masa mendatang dengan akun penyimpanan ini sebagai sumber atau tujuan. Namun, jika akun penyimpanan saat ini berpartisipasi dalam satu atau beberapa kebijakan replikasi objek lintas penyewa, maka mengatur properti AllowCrossTenantReplication ke false tidak diizinkan sampai Anda menghapus kebijakan lintas penyewa yang ada.
Kebijakan lintas penyewa tidak diizinkan secara default untuk akun penyimpanan yang dibuat setelah 15 Des 2023. Namun, properti AllowCrossTenantReplication tidak diatur secara default untuk akun penyimpanan yang ada yang dibuat sebelum 15 Des 2023, dan tidak mengembalikan nilai hingga Anda secara eksplisit mengaturnya. Akun penyimpanan dapat berpartisipasi dalam kebijakan replikasi objek di seluruh penyewa ketika nilai properti null atau true untuk akun yang dibuat sebelum 15 Desember 2023. Untuk akun yang dibuat setelah waktu tersebut, properti perlu diatur ke "true". Mengatur properti AllowCrossTenantReplication tidak menimbulkan waktu henti pada akun penyimpanan.
Mengatasi replikasi lintas pengguna untuk akun baru
Untuk melarang replikasi lintas penyewa untuk akun penyimpanan baru, gunakan portal Microsoft Azure, PowerShell, atau Azure CLI. Properti secara default menjadi false untuk akun baru yang dibuat setelah 15 Des 2023, bahkan jika tidak diatur secara eksplisit.
Untuk melarang replikasi objek lintas penyewa untuk akun penyimpanan, ikuti langkah-langkah berikut:
Di portal Microsoft Azure, navigasikan ke halaman Akun penyimpanan , dan pilih Buat.
Isi tab Dasar untuk akun penyimpanan baru.
Pada tab Tingkat Lanjut , di bagian Penyimpanan blob , temukan pengaturan Izinkan replikasi lintas penyewa , dan hapus centang pada kotak.
Selesaikan proses pembuatan akun.
Memperbaiki replikasi lintas penyewa untuk akun yang sudah ada
Untuk melarang replikasi lintas penyewa untuk akun penyimpanan yang ada, gunakan portal Microsoft Azure, PowerShell, atau Azure CLI.
Untuk melarang replikasi objek lintas penyewa untuk akun penyimpanan yang ada yang saat ini tidak berpartisipasi dalam kebijakan lintas penyewa apa pun, ikuti langkah-langkah berikut:
Navigasikan ke akun penyimpanan Anda di portal Microsoft Azure.
Di bawah Manajemen data, pilih Replikasi objek.
Pilih Pengaturan tingkat lanjut.
Hapus centang Izinkan replikasi lintas penyewa. Secara default, kotak ini dicentang, karena replikasi objek lintas penyewa diizinkan untuk akun penyimpanan kecuali Anda secara eksplisit melarangnya.
Pilih OK untuk menyimpan perubahan Anda.
Jika akun penyimpanan saat ini berpartisipasi dalam satu atau beberapa kebijakan replikasi lintas penyewa, Anda tidak akan dapat melarang replikasi objek lintas penyewa hingga Anda menghapus kebijakan tersebut. Dalam skenario ini, pengaturan tidak tersedia di portal Microsoft Azure, seperti yang ditunjukkan pada gambar berikut.
Setelah Anda melarang replikasi lintas penyewa, mencoba mengonfigurasi kebijakan lintas penyewa dengan akun penyimpanan sebagai sumber atau tujuan akan gagal. Azure Storage mengembalikan kesalahan yang menunjukkan bahwa replikasi objek lintas penyewa tidak diizinkan untuk akun penyimpanan.
Saat replikasi objek lintas penyewa tidak diizinkan untuk akun penyimpanan, kebijakan replikasi objek baru yang Anda buat dengan akun tersebut harus menyertakan ID Azure Resource Manager lengkap untuk akun sumber dan tujuan. Azure Storage memerlukan ID sumber daya lengkap untuk memverifikasi apakah akun sumber dan tujuan berada dalam penyewa yang sama. Untuk informasi selengkapnya, lihat Menentukan ID sumber daya lengkap untuk akun sumber dan tujuan.
Properti AllowCrossTenantReplication didukung untuk akun penyimpanan yang hanya menggunakan model penyebaran Azure Resource Manager. Untuk informasi tentang akun penyimpanan mana yang menggunakan model penyebaran Azure Resource Manager, lihat Jenis akun penyimpanan.
Izin untuk mengizinkan atau melarang replikasi lintas penyewa
Untuk mengatur properti AllowCrossTenantReplication untuk akun penyimpanan, pengguna harus memiliki izin untuk membuat dan mengelola akun penyimpanan. Peran kontrol akses berbasis peran Azure (Azure RBAC) yang memberikan izin ini mencakup tindakan Microsoft.Storage/storageAccounts/write atau Microsoft.Storage/storageAccounts/*. Peran yang sudah ada dengan tindakan ini meliputi:
- Azure Resource Manager Peran Pemilik
- Peran Kontributor pada Azure Resource Manager
- Peran Storage Account Kontributor
Peran ini tidak menyediakan akses ke data di akun penyimpanan melalui ID Microsoft Entra. Namun, mereka mencakup Microsoft.Storage/storageAccounts/listkeys/action, yang memberikan akses ke kunci akses akun. Dengan izin ini, pengguna dapat menggunakan kunci akses akun untuk mengakses semua data di akun penyimpanan.
Penetapan peran harus dicakup ke tingkat akun penyimpanan atau tingkat yang lebih tinggi untuk memungkinkan pengguna mengizinkan atau melarang replikasi objek lintas penyewa untuk akun penyimpanan. Untuk informasi selengkapnya tentang cakupan peran, lihat Memahami cakupan Azure RBAC.
Berhati-hatilah untuk membatasi penetapan peran ini hanya kepada mereka yang membutuhkan kemampuan untuk membuat akun penyimpanan atau memperbarui propertinya. Gunakan prinsip hak istimewa paling sedikit untuk memastikan bahwa pengguna memiliki izin terkecil yang dibutuhkan dalam menyelesaikan tugasnya. Untuk informasi selengkapnya tentang pengelolaan akses dengan Azure RBAC, lihat Praktik terbaik untuk Azure RBAC.
Nota
Peran klasik dalam administrasi langganan seperti Administrator Layanan dan Administrator Bersama mencakup peran setara sebagai Pemilik di Azure Resource Manager. Peran Pemilik mencakup semua tindakan, sehingga pengguna dengan salah satu peran administratif ini juga dapat membuat dan mengelola akun penyimpanan. Untuk informasi selengkapnya, lihat Peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik.
Menggunakan Azure Policy untuk mengaudit kepatuhan
Jika Anda memiliki sejumlah besar akun penyimpanan, Anda mungkin ingin melakukan audit untuk memastikan bahwa akun tersebut dikonfigurasi untuk mencegah replikasi objek lintas penyewa. Untuk mengaudit sekumpulan akun penyimpanan atas kepatuhannya, gunakan Azure Policy. Azure Policy adalah layanan yang dapat Anda gunakan untuk membuat, menetapkan, dan mengelola kebijakan yang menerapkan aturan ke sumber daya Azure. Azure Policy membantu Anda menjaga sumber daya tersebut sesuai dengan standar perusahaan dan perjanjian tingkat layanan Anda. Untuk mengetahui informasi selengkapnya, lihat Gambaran Umum Azure Policy.
Buat kebijakan dengan efek Audit
Azure Policy mendukung efek yang menentukan apa yang terjadi jika aturan kebijakan dievaluasi terhadap sumber daya. Efek Audit membuat peringatan saat sumber daya tidak sesuai, tetapi tidak menghentikan permintaan. Untuk informasi selengkapnya tentang efek, lihat Memahami efek Azure Policy.
Untuk membuat kebijakan dengan efek Audit untuk pengaturan replikasi objek lintas penyewa untuk akun penyimpanan dengan portal Microsoft Azure, ikuti langkah-langkah berikut:
Di portal Microsoft Azure, navigasikan ke layanan Azure Policy.
Di bagian Penulisan, pilih Definisi.
Pilih Tambahkan definisi kebijakan untuk membuat definisi kebijakan baru.
Untuk bidang Lokasi definisi, pilih tombol Lainnya untuk menentukan tempat sumber daya kebijakan audit berada.
Tentukan nama untuk kebijakan tersebut. Anda dapat menentukan deskripsi dan kategori secara opsional.
Pada Aturan kebijakan, tambahkan definisi kebijakan berikut ke bagian policyRule.
{ "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Storage/storageAccounts" }, { "not": { "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication", "equals": "false" } } ] }, "then": { "effect": "audit" } }Simpan kebijakan.
Menetapkan kebijakan
Selanjutnya, tetapkan kebijakan pada sumber daya. Cakupan kebijakan sesuai dengan sumber daya tersebut dan sumber daya apa pun di bawahnya. Untuk informasi selengkapnya tentang penetapan kebijakan, lihat Struktur penetapan Azure Policy.
Untuk menetapkan kebijakan dengan portal Microsoft Azure, ikuti langkah-langkah berikut:
- Di portal Microsoft Azure, navigasikan ke layanan Azure Policy.
- Di bagian Penulisan, pilih Penugasan.
- Pilih Tetapkan kebijakan untuk membuat penetapan kebijakan baru.
- Untuk bidang Cakupan, pilih cakupan penetapan kebijakan.
- Untuk bidang Definisi kebijakan, pilih tombol Lainnya, lalu pilih kebijakan yang Anda tentukan di bagian sebelumnya dari daftar.
- Berikan nama untuk tugas kebijakan. Deskripsi bersifat opsional.
- Biarkan Pemberlakuan kebijakan diatur ke Aktif. Pengaturan ini tidak berpengaruh pada kebijakan audit.
- Pilih Tinjau + buat untuk membuat tugas.
Melihat laporan kepatuhan
Setelah menetapkan kebijakan, Anda dapat melihat laporan kepatuhan. Laporan kepatuhan untuk kebijakan audit memberikan informasi tentang akun penyimpanan mana yang masih mengizinkan kebijakan replikasi objek lintas penyewa. Untuk informasi selengkapnya, lihat Mendapatkan data kepatuhan kebijakan.
Mungkin perlu waktu beberapa menit agar laporan kepatuhan tersedia setelah penetapan kebijakan dibuat.
Untuk melihat laporan kepatuhan dalam portal Microsoft Azure, ikuti langkah-langkah berikut ini:
Di portal Microsoft Azure, navigasikan ke layanan Azure Policy.
Pilih Kepatuhan.
Saring hasil untuk nama penetapan kebijakan yang Anda buat di langkah sebelumnya. Laporan menunjukkan sumber daya yang tidak mematuhi kebijakan.
Anda dapat menggali lebih dalam laporan untuk menemukan detail tambahan, termasuk daftar akun penyimpanan yang tidak memenuhi kepatuhan.
Gunakan Azure Policy untuk menerapkan kebijakan replikasi tenant yang sama
Azure Policy mendukung tata kelola cloud dengan memastikan sumber daya Azure mematuhi persyaratan dan standar. Untuk memastikan bahwa akun penyimpanan di organisasi Anda melarang replikasi lintas penyewa, Anda dapat membuat kebijakan yang mencegah pembuatan akun penyimpanan baru yang memungkinkan kebijakan replikasi objek lintas penyewa. Kebijakan penegakan menggunakan efek Tolak untuk mencegah permintaan yang akan membuat atau memodifikasi akun penyimpanan untuk memungkinkan replikasi objek lintas penyewa. Kebijakan Tolak juga akan mencegah semua perubahan konfigurasi pada akun yang ada jika pengaturan replikasi objek lintas penyewa untuk akun tersebut tidak sesuai dengan kebijakan. Untuk informasi selengkapnya tentang efek Tolak, lihat Memahami efek Azure Policy.
Untuk membuat kebijakan dengan efek Tolak untuk replikasi objek lintas penyewa, ikuti langkah yang sama yang dijelaskan dalam Menggunakan Azure Policy untuk mengaudit kepatuhan, tetapi berikan JSON berikut di bagian policyRule dari definisi kebijakan:
{
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"not": {
"field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
"equals": "false"
}
}
]
},
"then": {
"effect": "deny"
}
}
Setelah Anda membuat kebijakan dengan efek Tolak dan menetapkannya ke cakupan, pengguna tidak dapat membuat akun penyimpanan yang memungkinkan replikasi objek lintas penyewa. Pengguna juga tidak dapat membuat perubahan konfigurasi apa pun pada akun penyimpanan yang ada yang saat ini memungkinkan replikasi objek lintas penyewa. Mencoba melakukannya menghasilkan kesalahan. Properti AllowCrossTenantReplication untuk akun penyimpanan harus diatur ke false untuk melanjutkan pembuatan akun atau pembaruan konfigurasi, sesuai dengan kebijakan.
Gambar berikut menunjukkan kesalahan yang terjadi jika Anda mencoba membuat akun penyimpanan yang memungkinkan replikasi objek lintas penyewa (default untuk akun baru) ketika kebijakan dengan efek Tolak mengharuskan replikasi objek lintas penyewa tidak diizinkan.
