Bagikan melalui


Tutorial: Tambahkan ketentuan penetapan peran untuk membatasi akses ke blob menggunakan portal Microsoft Azure

Dalam kebanyakan kasus, penetapan peran memberikan izin yang Anda butuhkan ke sumber daya Azure. Namun, dalam beberapa kasus Anda mungkin ingin memberikan kontrol akses yang lebih terperinci dengan menambahkan kondisi penetapan peran.

Dalam tutorial ini, Anda akan mempelajari cara:

  • Menambahkan kondisi ke penetapan peran
  • Membatasi akses ke blob berdasarkan tag indeks blob

Penting

Kontrol akses berbasis atribut Azure (Azure ABAC) umumnya tersedia (GA) untuk mengontrol akses ke Azure Blob Storage, Azure Data Lake Storage Gen2, dan Azure Queues menggunakan requestatribut , , resourceenvironment, dan principal di tingkat performa akun penyimpanan standar dan premium. Saat ini, atribut sumber daya metadata kontainer dan blob daftar menyertakan atribut permintaan ada di PRATINJAU. Untuk informasi status fitur lengkap ABAC untuk Azure Storage, lihat Status fitur kondisi di Azure Storage.

Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

Prasyarat

Untuk informasi tentang prasyarat untuk menambah atau mengedit kondisi penetapan peran, lihat Prasyarat kondisi.

Kondisi

Dalam tutorial ini, Anda akan membatasi akses ke blob dengan tag tertentu. Misalnya, Anda menambahkan kondisi ke penetapan peran sehingga Chandra hanya dapat membaca file dengan tag Project=Cascade.

Diagram penetapan peran dengan syarat.

Jika Chandra mencoba membaca blob tanpa tag Project=Cascade, akses tidak diizinkan.

Diagram yang menunjukkan akses baca ke blob dengan tag Project=Cascade.

Berikut tampilan kondisi dalam kode:

(
    (
        !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}
        AND NOT
        SubOperationMatches{'Blob.List'})
    )
    OR
    (
        @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'
    )
)

Langkah 1: Buat pengguna

  1. Masuk ke portal Microsoft Azure sebagai Pemilik langganan.

  2. Pilih Microsoft Entra ID.

  3. Buat pengguna atau temukan pengguna yang sudah ada. Tutorial ini menggunakan Chandra sebagai contoh.

Langkah 2: Siapkan penyimpanan

  1. Buat akun penyimpanan yang kompatibel dengan fitur tag indeks blob. Untuk informasi selengkapnya, lihat Mengelola dan menemukan data Azure Blob dengan tag indeks blob.

  2. Buat kontainer baru dalam akun penyimpanan dan atur tingkat akses anonim ke Privat (tanpa akses anonim).

  3. Di kontainer, pilih Unggah untuk membuka panel Unggah blob.

  4. Temukan file teks untuk diunggah.

  5. Pilih Tingkat Lanjut untuk memperluas panel.

  6. Di bagian Tag indeks blob, tambahkan tag indeks blob berikut ke file teks.

    Jika Anda tidak melihat bagian Tag indeks blob dan Anda baru saja mendaftarkan langganan, mungkin perlu menunggu beberapa menit agar perubahan diterapkan. Untuk informasi selengkapnya, lihat Menggunakan tag indeks blob untuk mengelola dan menemukan data di Azure Blob Storage.

    Catatan

    Blob juga mendukung kemampuan untuk menyimpan metadata nilai-kunci arbitrer yang ditentukan pengguna. Meskipun metadata mirip dengan tag indeks blob, Anda harus menggunakan tag indeks blob dengan kondisi.

    Tombol Nilai
    Project Cascade

Cuplikan layar yang menunjukkan panel blob Unggah dengan bagian Tag indeks blog.

  1. Pilih tombol Unggah untuk mengunggah file.

  2. Unggah file teks kedua.

  3. Tambahkan tag indeks blob berikut ke file teks kedua.

    Tombol Nilai
    Project Baker

Langkah 3: Tetapkan peran data blob penyimpanan

  1. Buka grup sumber daya.

  2. Pilih Kontrol Akses (IAM) .

  3. Pilih tab Penetapan peran untuk melihat penetapan peran pada cakupan ini.

  4. Pilih Tambahkan>Tambahkan penetapan peran. Halaman Tambahkan penetapan peran terbuka:

Cuplikan layar menu Tambahkan > penetapan peran.

  1. Pada tab Peran, pilih peran Pembaca Data Blob Penyimpanan.

Cuplikan layar halaman Tambahkan penetapan peran dengan tab Peran.

  1. Pada tab Anggota, pilih pengguna yang Anda buat sebelumnya.

Cuplikan layar halaman Tambahkan penetapan peran dengan tab Anggota.

  1. (Opsional) Di kotak Deskripsi, masukkan Akses baca ke blob dengan tag Project=Cascade.

  2. Pilih Selanjutnya.

Langkah 4: Tambahkan kondisi

  1. Pada tab Kondisi (opsional), pilih Tambahkan kondisi. Halaman Tambahkan kondisi penetapan peran muncul:

Cuplikan layar halaman Tambahkan kondisi penetapan peran untuk kondisi baru.

  1. Di bagian Tambahkan tindakan, pilih Tambahkan tindakan.

    Panel Pilih tindakan akan muncul. Panel ini adalah daftar tindakan data yang difilter berdasarkan penetapan peran yang akan menjadi target kondisi Anda. Centang kotak di samping Baca blob, lalu pilih Pilih:

Cuplikan layar panel Pilih tindakan dengan tindakan yang dipilih.

  1. Di bagian Ekspresi build, pilih Tambahkan ekspresi.

    Bagian Ekspresi diperluas.

  2. Tentukan pengaturan ekspresi berikut:

    Pengaturan Nilai
    Sumber atribut Sumber daya
    Atribut Tag indeks blob [Nilai dalam kunci]
    Tombol Project
    Operator StringEqualsIgnoreCase
    Nilai Cascade

Cuplikan layar bagian Buat ekspresi untuk tag indeks blob.

  1. Gulir ke atas ke Jenis editor dan pilih Kode.

    Kondisi ditampilkan sebagai kode. Anda dapat membuat perubahan pada kondisi di editor kode ini. Untuk kembali ke editor visual, pilih Visual.

Cuplikan layar kondisi yang ditampilkan di editor kode.

  1. Pilih Simpan untuk menambahkan kondisi dan kembali ke halaman Tambahkan penetapan peran.

  2. Pilih Selanjutnya.

  3. Pada tab Tinjau + tetapkan , pilih Tinjau + tetapkan untuk menetapkan peran dengan kondisi.

    Setelah beberapa saat, perwakilan keamanan akan ditetapkan peran di cakupan yang dipilih.

Cuplikan layar daftar penetapan peran setelah menetapkan peran.

Langkah 5: Tetapkan peran Pembaca

  • Ulangi langkah-langkah sebelumnya untuk menetapkan peran Pembaca ke pengguna yang Anda buat sebelumnya di cakupan grup sumber daya.

    Catatan

    Biasanya, Anda tidak perlu menetapkan peran Pembaca. Namun, hal ini dilakukan agar Anda dapat menguji kondisi menggunakan portal Azure.

Langkah 6: Uji kondisi

  1. Di jendela baru, masuk ke portal Azure.

  2. Masuk sebagai pengguna yang Anda buat sebelumnya.

  3. Buka akun penyimpanan dan kontainer yang Anda buat.

  4. Pastikan bahwa metode autentikasi diatur ke Akun pengguna Microsoft Entra dan bukan kunci Akses.

Cuplikan layar kontainer penyimpanan dengan file pengujian.

  1. Pilih file teks Baker.

    Anda TIDAK boleh menampilkan atau mengunduh blob dan pesan otorisasi gagal akan ditampilkan.

  2. Pilih Kaskade file teks.

    Anda akan dapat menampilkan dan mengunduh blob.

Langkah 7: Membersihkan sumber daya

  1. Hapus penetapan peran yang Anda tambahkan.

  2. Hapus akun penyimpanan percobaan yang Anda buat.

  3. Hapus pengguna yang Anda buat.

Langkah berikutnya