Autorizzare l'accesso alle Archiviazione BLOB di Azure usando le condizioni di assegnazione dei ruoli di Azure
Il controllo degli accessi in base all'attributo è una strategia di autorizzazione che definisce i livelli di accesso in base agli attributi associati a entità di sicurezza, risorse, ambiente e richieste stesse. Con il controllo degli accessi in base al ruolo è possibile concedere a un'entità di sicurezza l'accesso a una risorsa in base a una condizione espressa come predicato usando questi attributi.
Il controllo degli accessi in base al ruolo di Azure si basa sul controllo degli accessi in base al ruolo di Azure aggiungendo condizioni alle assegnazioni di ruolo di Azure. Consente di creare condizioni di assegnazione di ruolo in base agli attributi di entità, risorsa, richiesta e ambiente.
Importante
Il controllo degli accessi in base all'attributo di Azure è disponibile a livello generale per controllare l'accesso a Archiviazione BLOB di Azure, Azure Data Lake Archiviazione Gen2 e Code di Azure usando requestgli attributi , resourceenvironment, e principal nei livelli di prestazioni dell'account di archiviazione Standard e Premium. Attualmente, l'attributo della risorsa dei metadati del contenitore e l'attributo di richiesta di inclusione del BLOB di elenco sono disponibili in ANTEPRIMA. Per informazioni complete sullo stato della funzionalità di controllo degli accessi in base all'attributo (ABAC) per Archiviazione di Azure, vedere Stato delle funzionalità relative alle condizioni in Archiviazione di Azure.
Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
Panoramica delle condizioni in Archiviazione di Azure
È possibile usare Microsoft Entra ID (Microsoft Entra ID) per autorizzare le richieste alle risorse di archiviazione di Azure usando il controllo degli accessi in base al ruolo di Azure. Il controllo degli accessi in base al ruolo di Azure consente di gestire l'accesso alle risorse definendo chi può accedere alle risorse e le operazioni che possono eseguire con tali risorse, usando definizioni di ruolo e assegnazioni di ruolo. Archiviazione di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere ai dati di archiviazione di Azure. È anche possibile definire ruoli personalizzati con set di autorizzazioni selezionati. Archiviazione di Azure supporta le assegnazioni di ruolo sia per gli account di archiviazione che per i contenitori BLOB.
Il controllo degli accessi in base al ruolo di Azure si basa sul controllo degli accessi in base al ruolo di Azure aggiungendo condizioni di assegnazione di ruolo nel contesto di azioni specifiche. Una condizione di assegnazione di ruolo è un controllo aggiuntivo che viene valutato quando l'azione sulla risorsa di archiviazione è autorizzata. Questa condizione viene espressa come predicato usando gli attributi associati a uno dei seguenti:
- Entità di sicurezza che richiede l'autorizzazione
- Risorsa a cui viene richiesto l'accesso
- Parametri della richiesta
- Ambiente in cui viene effettuata la richiesta
I vantaggi dell'uso delle condizioni di assegnazione di ruolo sono:
- Abilitare l'accesso più dettagliato alle risorse : ad esempio, se si vuole concedere a un utente l'accesso in lettura ai BLOB negli account di archiviazione solo se i BLOB vengono contrassegnati come Project=Sierra, è possibile usare le condizioni per l'azione di lettura usando tag come attributo.
- Ridurre il numero di assegnazioni di ruolo che è necessario creare e gestire . A tale scopo, è possibile usare un'assegnazione di ruolo generalizzata per un gruppo di sicurezza e quindi limitare l'accesso ai singoli membri del gruppo usando una condizione che corrisponde agli attributi di un'entità con attributi di una risorsa specifica a cui si accede, ad esempio un BLOB o un contenitore.
- Regole di controllo di accesso rapido in termini di attributi con significato aziendale: ad esempio, è possibile esprimere le condizioni usando attributi che rappresentano un nome di progetto, un'applicazione aziendale, una funzione dell'organizzazione o un livello di classificazione.
Il compromesso dell'uso delle condizioni è che è necessaria una tassonomia strutturata e coerente quando si usano attributi all'interno dell'organizzazione. Gli attributi devono essere protetti per impedire la compromissione dell'accesso. Inoltre, le condizioni devono essere progettate e esaminate attentamente per il loro effetto.
Le condizioni di assegnazione di ruolo in Archiviazione di Azure sono supportate per l'archiviazione BLOB di Azure. È anche possibile usare condizioni con gli account con la funzionalità dello spazio dei nomi gerarchico (HNS) abilitata in essi (Data Lake Archiviazione Gen2).
Attributi e operazioni supportati
È possibile configurare le condizioni per le assegnazioni di ruolo per DataActions per raggiungere questi obiettivi. È possibile usare le condizioni con un ruolo personalizzato o selezionare ruoli predefiniti. Si noti che le condizioni non sono supportate per le azioni di gestione tramite il provider di risorse Archiviazione.
È possibile aggiungere condizioni ai ruoli predefiniti o ai ruoli personalizzati. I ruoli predefiniti in cui è possibile usare le condizioni di assegnazione di ruolo includono:
- Lettore dei dati del BLOB di archiviazione
- Collaboratore dati BLOB di archiviazione
- Proprietario dei dati del BLOB di archiviazione
È possibile usare condizioni con ruoli personalizzati, purché il ruolo includa azioni che supportano le condizioni.
Se si usano condizioni basate sui tag di indice BLOB, è consigliabile usare il Archiviazione Proprietario dati BLOB perché le autorizzazioni per le operazioni sui tag sono incluse in questo ruolo.
Nota
I tag di indice BLOB non sono supportati per gli account di archiviazione di Data Lake Archiviazione Gen2, che usano uno spazio dei nomi gerarchico. Non è consigliabile creare condizioni di assegnazione di ruolo usando tag di indice per gli account di archiviazione con HNS abilitato.
Il formato della condizione di assegnazione di ruolo di Azure consente l'uso di @Principalattributi , @Resource@Request o @Environment nelle condizioni. Un @Principal attributo è un attributo di sicurezza personalizzato per un'entità, ad esempio un utente, un'applicazione aziendale (entità servizio) o un'identità gestita. Un @Resource attributo fa riferimento a un attributo esistente di una risorsa di archiviazione a cui si accede, ad esempio un account di archiviazione, un contenitore o un BLOB. Un @Request attributo fa riferimento a un attributo o a un parametro incluso in una richiesta di operazione di archiviazione. Un @Environment attributo fa riferimento all'ambiente di rete o alla data e all'ora di una richiesta.
Il controllo degli accessi in base al ruolo di Azure supporta un numero limitato di assegnazioni di ruolo per ogni sottoscrizione. Se è necessario creare migliaia di assegnazioni di ruolo di Azure, è possibile che si verifichi questo limite. La gestione di centinaia o migliaia di assegnazioni di ruolo può essere difficile. In alcuni casi, è possibile usare le condizioni per ridurre il numero di assegnazioni di ruolo nell'account di archiviazione e semplificarne la gestione. È possibile ridimensionare la gestione delle assegnazioni di ruolo usando le condizioni e gli attributi di sicurezza personalizzati di Microsoft Entra per le entità.
Stato delle funzionalità della condizione in Archiviazione di Azure
Il controllo degli accessi in base all'attributo di Azure è disponibile a livello generale per controllare l'accesso a Archiviazione BLOB di Azure, Azure Data Lake Archiviazione Gen2 e Code di Azure usando requestgli attributi , resourceenvironment, e principal nei livelli di prestazioni dell'account di archiviazione Standard e Premium. Attualmente, l'attributo della risorsa dei metadati del contenitore e l'attributo di richiesta di inclusione del BLOB di elenco sono disponibili in ANTEPRIMA.
Nella tabella seguente viene illustrato lo stato corrente del controllo degli accessi in base al tipo di risorsa di archiviazione e al tipo di attributo. Vengono visualizzate anche eccezioni per attributi specifici.
| Tipi di risorse | Tipi di attributo | Attributi | Disponibilità |
|---|---|---|---|
| BLOB Data Lake Storage Gen2 Code |
Richiedi Conto risorse Ambiente Entità di sicurezza |
Tutti gli attributi tranne quelli indicati in questa tabella | Disponibilità generale |
| Data Lake Storage Gen2 | Conto risorse | Snapshot | Anteprima |
| BLOB Data Lake Storage Gen2 |
Conto risorse | Metadati del contenitore | Anteprima |
| BLOB | Richiedi | Inclusione BLOB elenco | Anteprima |
Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
Nota
Alcune funzionalità di archiviazione non sono supportate per gli account di archiviazione di Data Lake Archiviazione Gen2, che usano uno spazio dei nomi gerarchico (HNS). Per altre informazioni, vedere Supporto delle funzionalità di archiviazione BLOB.
Gli attributi ABAC seguenti non sono supportati quando lo spazio dei nomi gerarchico è abilitato per un account di archiviazione:
Passaggi successivi
- Prerequisiti per le condizioni di assegnazione dei ruoli di Azure
- Esercitazione: Aggiungere una condizione di assegnazione di ruolo per limitare l'accesso ai BLOB tramite il portale di Azure
- Azioni e attributi per le condizioni di assegnazione di ruolo di Azure in Archiviazione di Azure
- Esempi di condizioni di assegnazione di ruolo
- Risolvere i problemi relativi alle condizioni di assegnazione dei ruoli di Azure
Vedi anche
- Che cos'è il controllo degli accessi in base all'attributo di Azure?
- Domande frequenti sulle condizioni di assegnazione dei ruoli di Azure
- Formato e sintassi della condizione di assegnazione dei ruoli di Azure
- Ridimensionare la gestione delle assegnazioni di ruolo di Azure usando condizioni e attributi di sicurezza personalizzati
- Considerazioni sulla sicurezza per le condizioni di assegnazione dei ruoli di Azure in Archiviazione di Azure