Tutorial: Tambahkan ketentuan penetapan peran untuk membatasi akses ke blob menggunakan portal Microsoft Azure
Dalam kebanyakan kasus, penetapan peran memberikan izin yang Anda butuhkan ke sumber daya Azure. Namun, dalam beberapa kasus Anda mungkin ingin memberikan kontrol akses yang lebih terperinci dengan menambahkan kondisi penetapan peran.
Dalam tutorial ini, Anda akan mempelajari cara:
- Menambahkan kondisi ke penetapan peran
- Membatasi akses ke blob berdasarkan tag indeks blob
Penting
Kontrol akses berbasis atribut Azure (Azure ABAC) umumnya tersedia (GA) untuk mengontrol akses ke Azure Blob Storage, Azure Data Lake Storage Gen2, dan Azure Queues menggunakan request
atribut , , resource
environment
, dan principal
di tingkat performa akun penyimpanan standar dan premium. Saat ini, atribut sumber daya metadata kontainer dan blob daftar menyertakan atribut permintaan ada di PRATINJAU. Untuk informasi status fitur lengkap ABAC untuk Azure Storage, lihat Status fitur kondisi di Azure Storage.
Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.
Prasyarat
Untuk informasi tentang prasyarat untuk menambah atau mengedit kondisi penetapan peran, lihat Prasyarat kondisi.
Kondisi
Dalam tutorial ini, Anda akan membatasi akses ke blob dengan tag tertentu. Misalnya, Anda menambahkan kondisi ke penetapan peran sehingga Chandra hanya dapat membaca file dengan tag Project=Cascade
.
Jika Chandra mencoba membaca blob tanpa tag Project=Cascade
, akses tidak diizinkan.
Berikut tampilan kondisi dalam kode:
(
(
!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}
AND NOT
SubOperationMatches{'Blob.List'})
)
OR
(
@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'
)
)
Langkah 1: Buat pengguna
Masuk ke portal Microsoft Azure sebagai Pemilik langganan.
Pilih Microsoft Entra ID.
Buat pengguna atau temukan pengguna yang sudah ada. Tutorial ini menggunakan Chandra sebagai contoh.
Langkah 2: Siapkan penyimpanan
Buat akun penyimpanan yang kompatibel dengan fitur tag indeks blob. Untuk informasi selengkapnya, lihat Mengelola dan menemukan data Azure Blob dengan tag indeks blob.
Buat kontainer baru dalam akun penyimpanan dan atur tingkat akses anonim ke Privat (tanpa akses anonim).
Di kontainer, pilih Unggah untuk membuka panel Unggah blob.
Temukan file teks untuk diunggah.
Pilih Tingkat Lanjut untuk memperluas panel.
Di bagian Tag indeks blob, tambahkan tag indeks blob berikut ke file teks.
Jika Anda tidak melihat bagian Tag indeks blob dan Anda baru saja mendaftarkan langganan, mungkin perlu menunggu beberapa menit agar perubahan diterapkan. Untuk informasi selengkapnya, lihat Menggunakan tag indeks blob untuk mengelola dan menemukan data di Azure Blob Storage.
Catatan
Blob juga mendukung kemampuan untuk menyimpan metadata nilai-kunci arbitrer yang ditentukan pengguna. Meskipun metadata mirip dengan tag indeks blob, Anda harus menggunakan tag indeks blob dengan kondisi.
Tombol Nilai Project Cascade
Pilih tombol Unggah untuk mengunggah file.
Unggah file teks kedua.
Tambahkan tag indeks blob berikut ke file teks kedua.
Tombol Nilai Project Baker
Langkah 3: Tetapkan peran data blob penyimpanan
Buka grup sumber daya.
Pilih Kontrol Akses (IAM) .
Pilih tab Penetapan peran untuk melihat penetapan peran pada cakupan ini.
Pilih Tambahkan>Tambahkan penetapan peran. Halaman Tambahkan penetapan peran terbuka:
- Pada tab Peran, pilih peran Pembaca Data Blob Penyimpanan.
- Pada tab Anggota, pilih pengguna yang Anda buat sebelumnya.
(Opsional) Di kotak Deskripsi, masukkan Akses baca ke blob dengan tag Project=Cascade.
Pilih Selanjutnya.
Langkah 4: Tambahkan kondisi
- Pada tab Kondisi (opsional), pilih Tambahkan kondisi. Halaman Tambahkan kondisi penetapan peran muncul:
Di bagian Tambahkan tindakan, pilih Tambahkan tindakan.
Panel Pilih tindakan akan muncul. Panel ini adalah daftar tindakan data yang difilter berdasarkan penetapan peran yang akan menjadi target kondisi Anda. Centang kotak di samping Baca blob, lalu pilih Pilih:
Di bagian Ekspresi build, pilih Tambahkan ekspresi.
Bagian Ekspresi diperluas.
Tentukan pengaturan ekspresi berikut:
Pengaturan Nilai Sumber atribut Sumber daya Atribut Tag indeks blob [Nilai dalam kunci] Tombol Project Operator StringEqualsIgnoreCase Nilai Cascade
Gulir ke atas ke Jenis editor dan pilih Kode.
Kondisi ditampilkan sebagai kode. Anda dapat membuat perubahan pada kondisi di editor kode ini. Untuk kembali ke editor visual, pilih Visual.
Pilih Simpan untuk menambahkan kondisi dan kembali ke halaman Tambahkan penetapan peran.
Pilih Selanjutnya.
Pada tab Tinjau + tetapkan , pilih Tinjau + tetapkan untuk menetapkan peran dengan kondisi.
Setelah beberapa saat, perwakilan keamanan akan ditetapkan peran di cakupan yang dipilih.
Langkah 5: Tetapkan peran Pembaca
Ulangi langkah-langkah sebelumnya untuk menetapkan peran Pembaca ke pengguna yang Anda buat sebelumnya di cakupan grup sumber daya.
Catatan
Biasanya, Anda tidak perlu menetapkan peran Pembaca. Namun, hal ini dilakukan agar Anda dapat menguji kondisi menggunakan portal Azure.
Langkah 6: Uji kondisi
Di jendela baru, masuk ke portal Azure.
Masuk sebagai pengguna yang Anda buat sebelumnya.
Buka akun penyimpanan dan kontainer yang Anda buat.
Pastikan bahwa metode autentikasi diatur ke Akun pengguna Microsoft Entra dan bukan kunci Akses.
Pilih file teks Baker.
Anda TIDAK boleh menampilkan atau mengunduh blob dan pesan otorisasi gagal akan ditampilkan.
Pilih Kaskade file teks.
Anda akan dapat menampilkan dan mengunduh blob.
Langkah 7: Membersihkan sumber daya
Hapus penetapan peran yang Anda tambahkan.
Hapus akun penyimpanan percobaan yang Anda buat.
Hapus pengguna yang Anda buat.