Zapobieganie replikacji obiektów w dzierżawach Microsoft Entra

Replikacja obiektów asynchronicznie kopiuje obiekty blobowych bloków z kontenera na jednym koncie magazynu do kontenera na innym koncie magazynowym. Podczas konfigurowania zasad replikacji obiektów należy określić konto źródłowe i kontener oraz konto docelowe i kontener. Po skonfigurowaniu zasad usługa Azure Storage automatycznie kopiuje wyniki operacji tworzenia, aktualizowania i usuwania obiektu źródłowego do obiektu docelowego. Aby uzyskać więcej informacji na temat replikacji obiektów w usłudze Azure Storage, zobacz Replikacja blokowych obiektów blob.

Autoryzowany użytkownik może skonfigurować zasady replikacji obiektów, w których konto źródłowe znajduje się w jednej dzierżawie firmy Microsoft Entra, a konto docelowe znajduje się w innej dzierżawie, jeśli replikacja między dzierżawami jest dozwolona w dzierżawach firmy Microsoft Entra. Jeśli zasady zabezpieczeń wymagają ograniczenia replikacji obiektów do kont magazynu znajdujących się tylko w tej samej dzierżawie, można uniemożliwić tworzenie zasad, w których konta źródłowe i docelowe znajdują się w różnych dzierżawach. Domyślnie replikacja obiektów między dzierżawami jest wyłączona dla wszystkich nowych kont magazynu utworzonych po 15 grudnia 2023 r., chyba że jawnie na to zezwolisz.

W tym artykule opisano, jak naprawić replikację obiektów między dzierżawami dla kont magazynowych. Opisano również sposób tworzenia zasad zakazujących replikacji obiektów między dzierżawcami dla nowych i istniejących kont przechowywania.

Aby uzyskać więcej informacji na temat konfigurowania zasad replikacji obiektów, w tym zasad między dzierżawami, zobacz Konfigurowanie replikacji obiektów blokowych typu blob.

Usuwanie problemów z replikacją obiektów pomiędzy dzierżawcami

Aby zapobiec replikacji obiektów w dzierżawach usługi Microsoft Entra, ustaw właściwość AllowCrossTenantReplication dla konta magazynu na false. Jeśli konto magazynu nie uczestniczy obecnie w żadnych zasadach replikacji obiektów między dzierżawami, ustawienie właściwości AllowCrossTenantReplication na wartość false uniemożliwia przyszłą konfigurację zasad replikacji obiektów między dzierżawami przy użyciu tego konta magazynu jako źródła lub miejsca docelowego. Jeśli jednak konto magazynu aktualnie uczestniczy w co najmniej jednej z zasad replikacji obiektów między dzierżawami, ustawienie właściwości AllowCrossTenantReplication na false nie jest dozwolone, dopóki nie usuniesz istniejących zasad replikacji obiektów między dzierżawami.

Zasady między dzierżawami nie są domyślnie dozwolone dla konta magazynu utworzonego po 15 grudnia 2023 r. Jednak właściwość AllowCrossTenantReplication nie została ustawiona domyślnie dla istniejącego konta magazynu utworzonego przed 15 grudnia 2023 r. i nie zwraca wartości, dopóki nie zostanie jawnie ustawiona. Konto pamięci masowej może uczestniczyć w zasadach replikacji obiektów między najemcami, gdy wartość właściwości jest null lub true dla kont utworzonych przed 15 grudnia 2023 roku. W przypadku kont utworzonych po tym czasie właściwość musi być ustawiona na wartość true. Ustawienie właściwości AllowCrossTenantReplication nie powoduje żadnych przestojów na koncie pamięci masowej.

Korygowanie replikacji między dzierżawami dla nowego konta

Aby uniemożliwić replikację między dzierżawami dla nowego konta magazynu, użyj portalu Azure, programu PowerShell lub Azure CLI. Właściwość domyślnie ma wartość false dla nowych kont utworzonych po 15 grudnia 2023 r., nawet jeśli nie zostanie jawnie ustawiona.

Portal

Aby uniemożliwić replikację obiektów między tenantami dla konta przechowywania, wykonaj następujące kroki:

1. W portalu Azure przejdź do strony kont magazynowych i wybierz pozycję Utwórz.

2. Wypełnij zakładkę Podstawowe dla nowego konta magazynowego.

3. Na karcie Zaawansowane w sekcji Blob Storage znajdź ustawienie Zezwalaj na replikację między dzierżawami i usuń zaznaczenie pola wyboru.

   

4. Ukończ proces tworzenia konta.

PowerShell

Aby uniemożliwić replikację obiektów między dzierżawcami dla nowego konta magazynu, wywołaj polecenie New-AzStorageAccount i ustaw parametr AllowCrossTenantReplication z wartością $false.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account and disallow cross-tenant replication.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_LRS `
    -AllowBlobPublicAccess $false `
    -AllowCrossTenantReplication $false

# Read the property for the new storage account
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowCrossTenantReplication

"Azure CLI"

Aby uniemożliwić replikację obiektów między dzierżawami dla nowego konta przechowywania, wywołaj polecenie az storage account create i dołącz parametr allow-cross-tenant-replication z wartością false.

# Create a storage account with cross-tenant replication disallowed.
az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --location <location> \
    --sku Standard_LRS \
    --allow-blob-public-access false \
    --allow-cross-tenant-replication false

# Read the property for the new storage account
az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowCrossTenantReplication \
    --output tsv

Naprawa replikacji między dzierżawcami dla istniejącego konta

Aby uniemożliwić replikację między dzierżawami dla istniejącego konta magazynu, użyj witryny Azure Portal, programu PowerShell lub interfejsu wiersza polecenia platformy Azure.

Portal Azure

Aby uniemożliwić replikację obiektów między dzierżawami dla istniejącego konta magazynowego, które obecnie nie uczestniczy w żadnych zasadach między dzierżawami, wykonaj następujące kroki:

1. Przejdź do swojego konta magazynowego w portalu Azure.

2. W obszarze Zarządzanie danymi wybierz pozycję Replikacja obiektów.

3. Wybierz pozycję Ustawienia zaawansowane.

4. Usuń zaznaczenie pola wyboru Zezwalaj na replikację między dzierżawami. Domyślnie to pole jest zaznaczone, ponieważ replikacja obiektów między dzierżawami jest dozwolona dla konta magazynu, o ile jawnie tego nie zabronisz.

   

5. Aby zapisać zmiany, wybierz pozycję OK.

Jeśli konto magazynu aktualnie uczestniczy w co najmniej jednej z zasad replikacji między dzierżawami, nie będzie można uniemożliwić replikacji obiektów między dzierżawami, dopóki te zasady nie zostaną usunięte. W tym scenariuszu ustawienie jest niedostępne w witrynie Azure Portal, jak pokazano na poniższej ilustracji.

PowerShell

Aby uniemożliwić replikację obiektów między dzierżawami dla istniejącego konta magazynowego, które nie uczestniczy obecnie w żadnych zasadach między dzierżawami, najpierw zainstaluj moduł PowerShell Az.Storage w wersji 3.7.0 lub nowszej. Następnie skonfiguruj właściwość AllowCrossTenantReplication dla konta magazynu.

W poniższym przykładzie pokazano, jak uniemożliwić replikację obiektów między tenantami dla istniejącego konta magazynu z wykorzystaniem programu PowerShell. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"

Set-AzStorageAccount -ResourceGroupName $rgName `
    -AccountName $accountName `
    -AllowCrossTenantReplication $false

Jeśli konto magazynu aktualnie uczestniczy w co najmniej jednej z zasad replikacji między dzierżawami, nie będzie można uniemożliwić replikacji obiektów między dzierżawami, dopóki te zasady nie zostaną usunięte. PowerShell wyświetla błąd wskazujący, że operacja nie powiodła się z powodu istniejących zasad replikacji między dzierżawami.

"Azure CLI"

Aby uniemożliwić replikację obiektów między dzierżawami dla istniejącego konta magazynu, które nie uczestniczy obecnie w żadnych zasadach między dzierżawami, najpierw zainstaluj interfejs wiersza polecenia platformy Azure w wersji 2.24.0 lub nowszej. Aby uzyskać więcej informacji, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure. Następnie skonfiguruj właściwość allowCrossTenantReplication dla nowego lub istniejącego konta magazynowego.

W poniższym przykładzie pokazano, jak zablokować replikację obiektów między dzierżawcami dla istniejącego konta magazynu za pomocą Azure CLI. Pamiętaj, aby zastąpić wartości symboli zastępczych w nawiasach własnymi wartościami:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allow-cross-tenant-replication false

Jeśli konto magazynu aktualnie uczestniczy w co najmniej jednej z zasad replikacji między dzierżawami, nie będzie można uniemożliwić replikacji obiektów między dzierżawami, dopóki te zasady nie zostaną usunięte. Azure CLI zawiera błąd wskazujący, że operacja nie powiodła się z powodu istniejących zasad replikacji między dzierżawami.

Po uniemożliwieniu replikacji między dzierżawami próba skonfigurowania zasad między dzierżawami przy użyciu konta magazynu jako źródła lub miejsca docelowego zakończy się niepowodzeniem. Usługa Azure Storage zwraca błąd, wskazując, że replikacja obiektów między różnymi dzierżawcami nie jest dozwolona dla tego konta magazynowania.

Jeśli replikacja obiektów między dzierżawami jest niedozwolona dla konta magazynu, wszystkie nowe zasady replikacji obiektów, które tworzysz w odniesieniu do tego konta, muszą zawierać pełne identyfikatory usługi Azure Resource Manager dla konta źródłowego i docelowego. Usługa Azure Storage wymaga pełnego identyfikatora zasobu, aby sprawdzić, czy konta źródłowe i docelowe znajdują się w tej samej dzierżawie. Aby uzyskać więcej informacji, zobacz Określanie pełnych identyfikatorów zasobów dla kont źródłowych i docelowych.

Właściwość AllowCrossTenantReplication jest obsługiwana dla kont magazynu korzystających tylko z modelu wdrażania usługi Azure Resource Manager. Aby uzyskać informacje o tym, które konta magazynu korzystają z modelu wdrażania usługi Azure Resource Manager, zobacz Typy kont magazynu.

Uprawnienia do zezwalania lub zabraniania replikacji między dzierżawami

Aby ustawić właściwość AllowCrossTenantReplication dla konta magazynu, użytkownik musi mieć uprawnienia do tworzenia kont magazynu i zarządzania nimi. Role kontroli dostępu opartej na rolach (RBAC) platformy Azure, które zapewniają te uprawnienia, obejmują akcję Microsoft.Storage/storageAccounts/write lub Microsoft.Storage/storageAccounts/* . Wbudowane role z tą akcją obejmują:

• Rola właściciela w usłudze Azure Resource Manager
• Rola kontrybutora w usłudze Azure Resource Manager
• Rola współautora konta magazynu

Te role nie zapewniają dostępu do danych na koncie magazynu za pośrednictwem identyfikatora Entra firmy Microsoft. Obejmują one jednak usługę Microsoft.Storage/storageAccounts/listkeys/action, która udziela dostępu do kluczy dostępu do konta. Za pomocą tego uprawnienia użytkownik może użyć kluczy dostępu do konta, aby uzyskać dostęp do wszystkich danych w koncie magazynowym.

Przypisania ról muszą być ograniczone do poziomu konta magazynu lub wyższego, aby umożliwić użytkownikowi zezwolenie na replikację obiektów między dzierżawami lub nie zezwalać na replikację między dzierżawami dla konta magazynu. Aby uzyskać więcej informacji na temat zakresu ról, zobacz Zrozumienie zakresu dla Azure RBAC.

Należy zachować ostrożność, aby ograniczyć przypisywanie tych ról tylko do tych, którzy wymagają możliwości utworzenia konta magazynu lub zaktualizowania jego właściwości. Użyj zasady najniższych uprawnień, aby upewnić się, że użytkownicy mają najmniejsze uprawnienia, których potrzebują do wykonania swoich zadań. Aby uzyskać więcej informacji na temat zarządzania dostępem za pomocą kontroli dostępu opartej na rolach platformy Azure, zobacz Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure.

Uwaga

Role klasycznego administratora subskrypcji Administrator usługi i Współadministrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel zawiera wszystkie akcje, więc użytkownik z jedną z tych ról administracyjnych może również tworzyć konta magazynu i zarządzać nimi. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Przeprowadzanie inspekcji pod kątem zgodności przy użyciu usługi Azure Policy

Jeśli masz dużą liczbę kont magazynu, możesz przeprowadzić inspekcję, aby upewnić się, że te konta są skonfigurowane w celu zapobiegania replikacji obiektów między dzierżawami. Aby przeprowadzić inspekcję zestawu kont magazynu pod kątem zgodności, użyj usługi Azure Policy. Azure Policy to usługa, której można użyć do tworzenia, przypisywania i zarządzania zasadami, które stosują reguły do zasobów platformy Azure. Usługa Azure Policy pomaga zachować zgodność tych zasobów ze standardami firmowymi i umowami dotyczącymi poziomu usług. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Policy.

Tworzenie zasad z efektem inspekcji

Usługa Azure Policy obsługuje efekty, które określają, co się stanie, gdy reguła zasad jest oceniana względem zasobu. Funkcja audytu tworzy ostrzeżenie, gdy zasób nie jest zgodny, ale nie blokuje żądania. Aby uzyskać więcej informacji na temat efektów, zobacz Omówienie efektów usługi Azure Policy.

Aby utworzyć zasady z efektem Audit dla ustawienia replikacji między dzierżawami dla konta magazynu w Azure Portal, wykonaj następujące kroki:

1. W portalu Azure przejdź do usługi Azure Policy.

2. W sekcji Tworzenie wybierz pozycję Definicje.

3. Wybierz pozycję Dodaj definicję zasad, aby utworzyć nową definicję zasad.

4. W polu Lokalizacja definicji wybierz przycisk Więcej, aby określić, gdzie znajduje się zasób zasad inspekcji.

5. Określ nazwę zasad. Opcjonalnie możesz określić opis i kategorię.

6. W obszarze Reguła zasad dodaj następującą definicję zasad do sekcji policyRule .

   {
     "if": {
       "allOf": [
         {
           "field": "type",
           "equals": "Microsoft.Storage/storageAccounts"
         },
         {
           "not": {
             "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
             "equals": "false"
           }
         }
       ]
     },
     "then": {
       "effect": "audit"
     }
   }
   

7. Zapisz zasady.

Przypisywanie zasad

Następnie przypisz zasady do zasobu. Zakres polityki odpowiada temu zasobowi i wszelkim zasobom podlegającym mu. Aby uzyskać więcej informacji na temat przypisywania zasad, zobacz Azure Policy assignment structure (Struktura przypisywania zasad w usłudze Azure Policy).

Aby przypisać zasady w witrynie Azure Portal, wykonaj następujące kroki:

1. W portalu Azure przejdź do usługi Azure Policy.
2. W sekcji Redagowanie wybierz pozycję Zadania.
3. Wybierz pozycję Przypisz zasady , aby utworzyć nowe przypisanie zasad.
4. W polu Zakres wybierz zakres przypisania zasad.
5. W polu Definicja zasad wybierz przycisk Więcej, a następnie wybierz zasady zdefiniowane w poprzedniej sekcji z listy.
6. Określ nazwę przypisania zasad. Opis jest opcjonalny.
7. Pozostaw opcję Wymuszanie zasad ustawione na włączone. To ustawienie nie ma wpływu na zasady inspekcji.
8. Wybierz Przejrzyj i utwórz, aby utworzyć zadanie.

Wyświetlanie raportu zgodności

Po przypisaniu zasad możesz wyświetlić raport zgodności. Raport zgodności dotyczący polityki audytu zawiera informacje o tym, które konta magazynu nadal zezwalają na zasady replikacji obiektów między dzierżawami. Aby uzyskać więcej informacji, zobacz Uzyskiwanie danych o zgodności z zasadami.

Udostępnienie raportu zgodności po utworzeniu przypisania zasad może potrwać kilka minut.

Aby wyświetlić raport zgodności w witrynie Azure Portal, wykonaj następujące kroki:

1. W portalu Azure przejdź do usługi Azure Policy.

2. Wybierz pozycję Zgodność.

3. Przefiltruj wyniki pod kątem nazwy przypisania zasad utworzonego w poprzednim kroku. Raport przedstawia zasoby, które nie są zgodne z zasadami.

4. Zagłębiając się w szczegóły raportu, możesz otrzymać dodatkowe informacje, w tym listę kont storage, które nie są zgodne.

   

Używanie usługi Azure Policy do wymuszania zasad replikacji tej samej dzierżawy

Usługa Azure Policy obsługuje ład w chmurze, zapewniając, że zasoby platformy Azure są zgodne z wymaganiami i standardami. Aby upewnić się, że konta magazynu w organizacji nie zezwalają na replikację między dzierżawami, można utworzyć zasady, które zablokują tworzenie nowego konta magazynu, które zezwala na zasady replikacji obiektów między dzierżawami. Zasady wymuszania używają działania Odmów, aby zapobiec żądaniu utworzenia lub modyfikacji konta magazynowego, które pozwalałoby na replikację obiektów między dzierżawami. Zasady odmowy uniemożliwią również zmianę konfiguracji istniejącego konta, jeśli ustawienie replikacji obiektu między dzierżawami dla tego konta nie jest zgodne z zasadami. Aby uzyskać więcej informacji na temat efektu Odmowy, zobacz Omówienie efektów usługi Azure Policy.

Aby utworzyć zasady z efektem odmowy dostępu dla replikacji obiektów między dzierżawami, postępuj zgodnie z krokami opisanymi w artykule Używanie usługi Azure Policy do inspekcji pod kątem zgodności, ale podaj następujący kod JSON w sekcji policyRule definicji zasad:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

Po utworzeniu zasad z efektem Odmowy i przypisaniu ich do zakresu użytkownik nie może utworzyć konta magazynu, które pozwala na replikację obiektów między dzierżawami. Użytkownik nie może również wprowadzić żadnych zmian konfiguracji na istniejącym koncie magazynowym, które obecnie zezwala na międyrzedzierżawową replikację obiektów. Próba wykonania tej czynności powoduje wystąpienie błędu. Właściwość AllowCrossTenantReplication dla konta magazynu musi być ustawiona na false, aby kontynuować tworzenie konta lub aktualizacje konfiguracji zgodnie z polityką.

Na poniższej ilustracji przedstawiono błąd, który występuje, jeśli próbujesz utworzyć konto magazynu umożliwiające replikację obiektów między dzierżawcami (ustawienie domyślne dla nowego konta), podczas gdy zasady z efektem Odmowy wymagają, aby replikacja obiektów między dzierżawcami była zabroniona.

Zobacz też

• Replikacja obiektów blokowych obiektów blob
• Konfigurowanie replikacji obiektów dla blokowych obiektów blob
• Zalecenia dotyczące zabezpieczeń usługi Blob Storage