Mengotorisasi akses ke antrean menggunakan ketentuan penetapan peran Azure
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan tingkat akses berdasarkan atribut yang terkait dengan permintaan akses seperti prinsip keamanan, sumber daya, lingkungan, dan permintaan itu sendiri. Dengan ABAC, Anda dapat memberikan akses prinsip keamanan ke sumber daya berdasarkan ketentuan penetapan peran Azure.
Penting
Kontrol akses berbasis atribut Azure (Azure ABAC) umumnya tersedia (GA) untuk mengontrol akses ke Azure Blob Storage, Azure Data Lake Storage Gen2, dan Azure Queues menggunakan request
atribut , , resource
environment
, dan principal
di tingkat performa akun penyimpanan standar dan premium. Saat ini, atribut sumber daya metadata kontainer dan blob daftar menyertakan atribut permintaan ada di PRATINJAU. Untuk informasi status fitur lengkap ABAC untuk Azure Storage, lihat Status fitur kondisi di Azure Storage.
Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.
Gambaran umum ketentuan di Azure Storage
Anda dapat menggunakan ID Microsoft Entra (ID Microsoft Entra) untuk mengotorisasi permintaan ke sumber daya penyimpanan Azure menggunakan Azure RBAC. Azure RBAC membantu Anda mengelola akses ke sumber daya dengan menetapkan pihak yang memiliki akses ke sumber daya serta menetapkan hal yang dapat mereka lakukan dengan sumber daya tersebut, menggunakan definisi peran dan penetapan peran. Azure Storage mendefinisikan set peran bawaan Azure yang mencakup set izin umum yang digunakan untuk mengakses data penyimpanan Azure. Anda juga dapat menentukan peran khusus, dengan sekumpulan izin tertentu. Azure Storage mendukung penetapan peran untuk akun penyimpanan dan kontainer atau antrean blob.
Azure ABAC dibangun pada Azure RBAC dengan menambahkan ketentuan penetapan peran dalam konteks tindakan tertentu. Ketentuan penetapan peran adalah pemeriksaan tambahan yang dievaluasi ketika tindakan pada sumber daya penyimpanan diotorisasi. Ketentuan ini dinyatakan sebagai predikat menggunakan atribut yang terkait dengan salah satu hal berikut:
- Prinsipal keamanan yang meminta otorisasi
- Sumber daya yang aksesnya diminta
- Parameter permintaan
- Lingkungan tempat permintaan berasal
Keuntungan menggunakan ketentuan penetapan peran adalah:
- Aktifkan akses yang lebih terperinci ke sumber daya - Misalnya, jika Anda ingin memberikan akses pengguna untuk mengintip pesan dalam antrean tertentu, Anda dapat menggunakan pesan intip DataAction dan atribut penyimpanan nama antrean.
- Mengurangi jumlah penetapan peran yang harus Anda buat dan kelola - Anda dapat melakukan ini dengan menggunakan penetapan peran umum untuk grup keamanan, lalu membatasi akses untuk anggota individu grup menggunakan ketentuan yang sesuai dengan atribut prinsipal dengan atribut sumber daya tertentu yang sedang diakses (seperti antrean).
- Menyatakan aturan kontrol akses dalam konteks atribut dengan makna bisnis - Misalnya, Anda dapat menyatakan ketentuan Anda menggunakan atribut yang mewakili nama proyek, aplikasi bisnis, fungsi organisasi, atau tingkat klasifikasi.
Konsekuensi menggunakan ketentuan adalah Anda memerlukan taksonomi yang terstruktur dan konsisten ketika menggunakan atribut di seluruh organisasi Anda. Atribut harus dilindungi agar akses tidak disusupi. Selain itu, ketentuan harus dirancang dengan baik dan dampaknya harus ditinjau.
Atribut dan operasi yang didukung
Anda dapat menentukan ketentuan pada penetapan peran untuk DataActions untuk mencapai tujuan ini. Anda dapat menggunakan ketentuan dengan peran kustom atau memilih peran bawaan. Catatan, ketentuan tidak didukung untuk Tindakan manajemen melalui Penyedia sumber daya penyimpanan.
Anda dapat menambahkan ketentuan ke peran bawaan atau peran kustom. Peran bawaan tempat Anda dapat menggunakan ketentuan penetapan peran termasuk:
- Kontributor Data Antrean Penyimpanan
- Pemroses Pesan Data Antrean Penyimpanan
- Storage Queue Data Message Sender
- Kontributor Data Antrean Penyimpanan
Anda dapat menggunakan ketentuan dengan peran kustom selama peran tersebut mencakup tindakan yang mendukung ketentuan.
Format ketentuan penetapan peran Azure memungkinkan penggunaan atribut @Principal
, @Resource
atau @Request
dalam ketentuan. Atribut @Principal
adalah atribut keamanan kustom pada prinsipal, seperti pengguna, aplikasi perusahaan (perwakilan layanan), atau identitas terkelola. Atribut @Resource
merujuk pada atribut sumber daya penyimpanan yang sudah ada yang sedang diakses, seperti akun penyimpanan atau antrean. Atribut @Request
mengacu pada atribut atau parameter yang disertakan dalam permintaan operasi penyimpanan.
Azure RBAC saat ini mendukung 2.000 penetapan peran dalam langganan. Jika Anda perlu membuat ribuan penetapan peran Azure, Anda akan terkendala batasan ini. Mengelola ratusan atau ribuan penetapan peran mungkin adalah hal yang sulit. Dalam beberapa kasus, Anda dapat menggunakan ketentuan untuk mengurangi jumlah penetapan peran dalam akun penyimpanan Anda agar lebih mudah dikelola. Anda dapat menskalakan manajemen penetapan peran menggunakan kondisi dan atribut keamanan kustom Microsoft Entra untuk prinsipal.
Langkah berikutnya
- Prasyarat ketentuan penetapan peran Azure
- Tindakan dan atribut untuk ketentuan penetapan peran Azure di Azure Storage
- Contoh kondisi penetapan peran Azure
- Memecahkan masalah kondisi penetapan peran Azure
Lihat juga
- Apa itu kontrol akses berbasis atribut Azure (Azure ABAC)?
- FAQ untuk ketentuan penetapan peran Azure
- Format dan sintaks kondisi penetapan peran Azure
- Menskalakan manajemen penetapan peran Azure dengan menggunakan kondisi dan atribut keamanan kustom
- Pertimbangan keamanan untuk ketentuan penetapan peran Azure dalam Azure Storage