Delen via


Toegang tot wachtrijen autoriseren met behulp van voorwaarden voor Azure-roltoewijzing

Op kenmerken gebaseerd toegangsbeheer (ABAC) is een autorisatiestrategie waarmee toegangsniveaus worden gedefinieerd op basis van kenmerken die zijn gekoppeld aan een toegangsaanvraag, zoals de beveiligingsprincipaal, de resource, de omgeving en de aanvraag zelf. Met ABAC kunt u een beveiligingsprincipaal toegang verlenen tot een resource op basis van voorwaarden voor Azure-roltoewijzing.

Belangrijk

Op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC) is algemeen beschikbaar (GA) voor het beheren van de toegang tot Azure Blob Storage, Azure Data Lake Storage Gen2 en Azure Queues met behulp van request, resourceen environmentprincipal kenmerken in de prestatielagen standard en Premium Storage-account. Momenteel zijn het resourcekenmerk voor containermetagegevens en de lijst-blob inclusief het aanvraagkenmerk in PREVIEW. Zie Status van voorwaardefuncties in Azure Storage voor volledige informatie over de functiestatus van ABAC voor Azure Storage.

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Overzicht van voorwaarden in Azure Storage

U kunt Microsoft Entra ID (Microsoft Entra ID) gebruiken om aanvragen voor Azure-opslagbronnen te autoriseren met behulp van Azure RBAC. Met Azure RBAC kunt u de toegang tot resources beheren door te definiëren wie toegang heeft tot resources en wat ze met deze resources kunnen doen, met behulp van roldefinities en roltoewijzingen. Azure Storage definieert een set ingebouwde Azure-rollen die algemene sets machtigingen omvatten die worden gebruikt voor toegang tot Azure-opslaggegevens. U kunt ook aangepaste rollen definiëren met bepaalde sets machtigingen. Azure Storage ondersteunt roltoewijzingen voor zowel opslagaccounts als blobcontainers of wachtrijen.

Azure ABAC bouwt voort op Azure RBAC door roltoewijzingsvoorwaarden toe te voegen in de context van specifieke acties. Een voorwaarde voor roltoewijzing is een extra controle die wordt geëvalueerd wanneer de actie op de opslagresource wordt geautoriseerd. Deze voorwaarde wordt uitgedrukt als een predicaat met behulp van kenmerken die zijn gekoppeld aan een van de volgende:

  • Beveiligingsprincipaal die autorisatie aanvraagt
  • Resource waarvoor toegang wordt aangevraagd
  • Parameters van de aanvraag
  • Omgeving waaruit de aanvraag afkomstig is

De voordelen van het gebruik van voorwaarden voor roltoewijzing zijn:

  • Gedetailleerdere toegang tot resources inschakelen. Als u bijvoorbeeld een gebruiker toegang wilt verlenen om berichten in een specifieke wachtrij te bekijken, kunt u de functie Voor het weergeven van berichten in DataAction en het opslagkenmerk voor wachtrijnamen gebruiken.
  • Verminder het aantal roltoewijzingen dat u moet maken en beheren . U kunt dit doen met behulp van een gegeneraliseerde roltoewijzing voor een beveiligingsgroep en vervolgens de toegang beperken voor afzonderlijke leden van de groep met een voorwaarde die overeenkomt met kenmerken van een principal met kenmerken van een specifieke resource die wordt geopend (zoals een wachtrij).
  • Regels voor expresstoegangsbeheer in termen van kenmerken met zakelijke betekenis : u kunt bijvoorbeeld uw voorwaarden uitdrukken met behulp van kenmerken die een projectnaam, bedrijfstoepassing, organisatiefunctie of classificatieniveau vertegenwoordigen.

Het nadeel van het gebruik van voorwaarden is dat u een gestructureerde en consistente taxonomie nodig hebt bij het gebruik van kenmerken in uw organisatie. Kenmerken moeten worden beveiligd om te voorkomen dat toegang wordt aangetast. Ook moeten voorwaarden zorgvuldig worden ontworpen en gecontroleerd op hun effect.

Ondersteunde kenmerken en bewerkingen

U kunt voorwaarden voor roltoewijzingen voor DataActions configureren om deze doelen te bereiken. U kunt voorwaarden gebruiken met een aangepaste rol of ingebouwde rollen selecteren. Opmerking: voorwaarden worden niet ondersteund voor beheeracties via de opslagresourceprovider.

U kunt voorwaarden toevoegen aan ingebouwde rollen of aangepaste rollen. De ingebouwde rollen waarop u voorwaarden voor roltoewijzing kunt gebruiken, zijn onder andere:

U kunt voorwaarden gebruiken met aangepaste rollen, zolang de rol acties bevat die voorwaarden ondersteunen.

Met de voorwaardenotatie van de Azure-roltoewijzing kunt u kenmerken of @Principal@Resource @Request kenmerken in de voorwaarden gebruiken. Een @Principal kenmerk is een aangepast beveiligingskenmerk voor een principal, zoals een gebruiker, bedrijfstoepassing (service-principal) of beheerde identiteit. Een @Resource kenmerk verwijst naar een bestaand kenmerk van een opslagresource die wordt geopend, zoals een opslagaccount of een wachtrij. Een @Request kenmerk verwijst naar een kenmerk of parameter die is opgenomen in een opslagbewerkingsaanvraag.

Azure RBAC ondersteunt momenteel 2000 roltoewijzingen in een abonnement. Als u duizenden Azure-roltoewijzingen moet maken, kunt u deze limiet tegenkomen. Het beheren van honderden of duizenden roltoewijzingen kan lastig zijn. In sommige gevallen kunt u voorwaarden gebruiken om het aantal roltoewijzingen in uw opslagaccount te verminderen en ze gemakkelijker te beheren. U kunt het beheer van roltoewijzingen schalen met behulp van voorwaarden en aangepaste beveiligingskenmerken van Microsoft Entra voor principals.

Volgende stappen

Zie ook