Delen via


Toegang tot Azure Blob Storage autoriseren met behulp van voorwaarden voor Azure-roltoewijzing

Op kenmerken gebaseerd toegangsbeheer (ABAC) is een autorisatiestrategie waarmee toegangsniveaus worden gedefinieerd op basis van kenmerken die zijn gekoppeld aan beveiligingsprinciplen, resources, de omgeving en de aanvragen zelf. Met ABAC kunt u een beveiligingsprincipaal toegang verlenen tot een resource op basis van een voorwaarde die wordt uitgedrukt als predicaat met behulp van deze kenmerken.

Azure ABAC bouwt voort op op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) door voorwaarden toe te voegen aan Azure-roltoewijzingen. Hiermee kunt u voorwaarden voor roltoewijzing maken op basis van principal-, resource-, aanvraag- en omgevingskenmerken.

Belangrijk

Op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC) is algemeen beschikbaar (GA) voor het beheren van de toegang tot Azure Blob Storage, Azure Data Lake Storage Gen2 en Azure Queues met behulp van request, resourceen environmentprincipal kenmerken in de prestatielagen standard en Premium Storage-account. Momenteel zijn het resourcekenmerk voor containermetagegevens en de lijst-blob inclusief het aanvraagkenmerk in PREVIEW. Zie Status van voorwaardefuncties in Azure Storage voor volledige informatie over de functiestatus van ABAC voor Azure Storage.

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Overzicht van voorwaarden in Azure Storage

U kunt Microsoft Entra ID (Microsoft Entra ID) gebruiken om aanvragen voor Azure-opslagbronnen te autoriseren met behulp van Azure RBAC. Met Azure RBAC kunt u de toegang tot resources beheren door te definiëren wie toegang heeft tot resources en wat ze met deze resources kunnen doen, met behulp van roldefinities en roltoewijzingen. Azure Storage definieert een set ingebouwde Azure-rollen die algemene sets machtigingen omvatten die worden gebruikt voor toegang tot Azure-opslaggegevens. U kunt ook aangepaste rollen definiëren met bepaalde sets machtigingen. Azure Storage ondersteunt roltoewijzingen voor zowel opslagaccounts als blobcontainers.

Azure ABAC bouwt voort op Azure RBAC door roltoewijzingsvoorwaarden toe te voegen in de context van specifieke acties. Een voorwaarde voor roltoewijzing is een extra controle die wordt geëvalueerd wanneer de actie op de opslagresource wordt geautoriseerd. Deze voorwaarde wordt uitgedrukt als een predicaat met behulp van kenmerken die zijn gekoppeld aan een van de volgende:

  • Beveiligingsprincipaal die autorisatie aanvraagt
  • Resource waarvoor toegang wordt aangevraagd
  • Parameters van de aanvraag
  • Omgeving waarin de aanvraag wordt ingediend

De voordelen van het gebruik van voorwaarden voor roltoewijzing zijn:

  • Gedetailleerdere toegang tot resources inschakelen: als u bijvoorbeeld een gebruiker leestoegang wilt verlenen tot blobs in uw opslagaccounts als de blobs zijn gelabeld als Project=Sierra, kunt u voorwaarden voor de leesactie gebruiken met behulp van tags als kenmerk.
  • Verminder het aantal roltoewijzingen dat u moet maken en beheren . U kunt dit doen met behulp van een gegeneraliseerde roltoewijzing voor een beveiligingsgroep en vervolgens de toegang beperken voor afzonderlijke leden van de groep met een voorwaarde die overeenkomt met kenmerken van een principal met kenmerken van een specifieke resource die wordt geopend (zoals een blob of een container).
  • Regels voor expresstoegangsbeheer in termen van kenmerken met zakelijke betekenis : u kunt bijvoorbeeld uw voorwaarden uitdrukken met behulp van kenmerken die een projectnaam, bedrijfstoepassing, organisatiefunctie of classificatieniveau vertegenwoordigen.

Het nadeel van het gebruik van voorwaarden is dat u een gestructureerde en consistente taxonomie nodig hebt bij het gebruik van kenmerken in uw organisatie. Kenmerken moeten worden beveiligd om te voorkomen dat toegang wordt aangetast. Ook moeten voorwaarden zorgvuldig worden ontworpen en gecontroleerd op hun effect.

Voorwaarden voor roltoewijzing in Azure Storage worden ondersteund voor Azure Blob Storage. U kunt ook voorwaarden gebruiken voor accounts waarvoor de HNS-functie (hiërarchische naamruimte ) is ingeschakeld (Data Lake Storage Gen2).

Ondersteunde kenmerken en bewerkingen

U kunt voorwaarden voor roltoewijzingen voor DataActions configureren om deze doelen te bereiken. U kunt voorwaarden gebruiken met een aangepaste rol of ingebouwde rollen selecteren. Opmerking: voorwaarden worden niet ondersteund voor beheeracties via de opslagresourceprovider.

U kunt voorwaarden toevoegen aan ingebouwde rollen of aangepaste rollen. De ingebouwde rollen waarop u voorwaarden voor roltoewijzing kunt gebruiken, zijn onder andere:

U kunt voorwaarden met aangepaste rollen gebruiken zolang de rol acties bevat die voorwaarden ondersteunen.

Als u met voorwaarden werkt op basis van blobindextags, moet u de eigenaar van de opslagblobgegevens gebruiken, omdat machtigingen voor tagbewerkingen zijn opgenomen in deze rol.

Notitie

Blob-indextags worden niet ondersteund voor Data Lake Storage Gen2-opslagaccounts, die gebruikmaken van een hiërarchische naamruimte. U mag geen voorwaarden voor roltoewijzing maken met behulp van indextags voor opslagaccounts waarvoor HNS is ingeschakeld.

Met de voorwaardenotatie van de Azure-roltoewijzing kunnen kenmerken of @Environment kenmerken in de voorwaarden worden gebruikt @Principal@Request @Resource. Een @Principal kenmerk is een aangepast beveiligingskenmerk voor een principal, zoals een gebruiker, bedrijfstoepassing (service-principal) of beheerde identiteit. Een @Resource kenmerk verwijst naar een bestaand kenmerk van een opslagresource die wordt geopend, zoals een opslagaccount, een container of een blob. Een @Request kenmerk verwijst naar een kenmerk of parameter die is opgenomen in een opslagbewerkingsaanvraag. Een @Environment kenmerk verwijst naar de netwerkomgeving of de datum en tijd van een aanvraag.

Azure RBAC ondersteunt een beperkt aantal roltoewijzingen per abonnement. Als u duizenden Azure-roltoewijzingen moet maken, kunt u deze limiet tegenkomen. Het beheren van honderden of duizenden roltoewijzingen kan lastig zijn. In sommige gevallen kunt u voorwaarden gebruiken om het aantal roltoewijzingen in uw opslagaccount te verminderen en ze gemakkelijker te beheren. U kunt het beheer van roltoewijzingen schalen met behulp van voorwaarden en aangepaste beveiligingskenmerken van Microsoft Entra voor principals.

Status van voorwaardefuncties in Azure Storage

Op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC) is algemeen beschikbaar (GA) voor het beheren van de toegang tot Azure Blob Storage, Azure Data Lake Storage Gen2 en Azure Queues met behulp van request, resourceen environmentprincipal kenmerken in de prestatielagen standard en Premium Storage-account. Momenteel zijn het resourcekenmerk voor containermetagegevens en de lijst-blob inclusief het aanvraagkenmerk in PREVIEW.

In de volgende tabel ziet u de huidige status van ABAC op opslagresourcetype en kenmerktype. Uitzonderingen voor specifieke kenmerken worden ook weergegeven.

Resourcetypen Kenmerktypen Kenmerken Beschikbaarheid
Blobs
Data Lake Storage Gen2
Wachtrijen
Aanvraag
Bron
Omgeving
Principal
Alle kenmerken, met uitzondering van kenmerken die in deze tabel zijn vermeld GA
Data Lake Storage Gen2 Bron Momentopname Preview
Blobs
Data Lake Storage Gen2
Bron Containermetagegevens Preview
Blobs Aanvraag Blob in lijst opnemen Preview

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Notitie

Sommige opslagfuncties worden niet ondersteund voor Data Lake Storage Gen2-opslagaccounts, die gebruikmaken van een hiërarchische naamruimte (HNS). Zie de ondersteuning voor blobopslagfuncties voor meer informatie.

De volgende ABAC-kenmerken worden niet ondersteund wanneer hiërarchische naamruimte is ingeschakeld voor een opslagaccount:

Volgende stappen

Zie ook