Compartilhar via


Autorizar o acesso a filas usando condições de atribuição de função do Azure

O ABAC (controle de acesso baseado em atributo) é uma estratégia de autorização que define níveis de acesso com base em atributos associados a uma solicitação de acesso, como a entidade de segurança, o recurso, o ambiente e a própria solicitação. Com o ABAC, você pode conceder acesso de entidade de segurança a um recurso com base nas condições de atribuição de função do Azure.

Importante

O ABAC (controle de acesso baseado em atributos) do Azure tem GA (disponibilidade geral) para controlar o acesso ao Armazenamento de Blobs do Azure, ao Azure Data Lake Storage Gen2 e às Filas do Azure usando os atributos request, resource, environment e principal nas camadas de desempenho das contas de armazenamento Standard e Premium. No momento, o atributo de recurso de metadados de contêiner e o atributo de solicitação de inclusão de blob de lista estão em VERSÃO PRÉVIA. Para obter informações completas sobre o status do recurso do ABAC para o Armazenamento do Azure, consulte Status dos recursos de condição no Armazenamento do Azure.

Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Visão geral das condições no Armazenamento do Microsoft Azure

Você pode usar o Microsoft Entra ID (Microsoft Entra ID) para autorizar solicitações para recursos de armazenamento do Azure usando o RBAC do Azure. O Azure RBAC ajuda você a gerenciar o acesso aos recursos definindo quem tem acesso aos recursos e o que eles podem fazer com esses recursos, usando definições de função e atribuições de função. O Armazenamento do Microsoft Azure define um conjunto de funções internas do Azure que abrangem conjuntos comuns de permissões usados para acessar dados no Armazenamento do Microsoft Azure. Você também pode definir funções personalizadas com o conjunto de permissões. O Armazenamento do Microsoft Azure suporta atribuições de função para contas de armazenamento ou contêineres de blob ou filas.

O ABAC do Azure baseia-se no RBAC do Azure pela adição de condições de atribuição de função no contexto de ações específicas. Uma condição de atribuição de função é uma verificação adicional avaliada quando a ação no recurso de armazenamento está sendo autorizada. Essa condição é expressa como um predicado usando atributos associados a qualquer um dos seguintes:

  • Entidade de segurança que está solicitando autorização
  • Recurso ao qual o acesso está sendo solicitado
  • Parâmetros da solicitação
  • Ambiente do qual a solicitação se origina

Os benefícios de usar condições de atribuição de função são:

  • Habilitar o acesso mais detalhado aos recursos – por exemplo, se você quiser conceder a um usuário acesso para espiar mensagens em uma fila específica, poderá usar mensagens de espiada DataAction e o atributo de armazenamento de nomes de fila.
  • Reduzir o número de atribuições de função que você precisa criar e gerenciar – Você pode fazer isso usando uma atribuição de função generalizada para um grupo de segurança e restringindo o acesso para membros individuais do grupo usando uma condição que corresponde aos atributos de uma entidade com atributos de um recurso específico que está sendo acessado (como, uma fila).
  • Express access control rules in terms of{2} attributes with business meaning - For example, you can express your conditions using attributes that represent a project name, business application, organization function, or classification level.

A troca de condições de uso é que você precisa de uma taxonomia estruturada e consistente ao usar atributos em toda a sua organização. Os atributos devem ser protegidos para impedir que o acesso seja comprometido. Além disso, as condições devem ser cuidadosamente projetadas e revisadas para efeito.

Atributos e operações suportados

Você pode configurar condições para as atribuições de função para DataActions para atingir essas metas. Você pode usar condições com uma função personalizada ou selecionar funções internas. Observe que as condições não têm suporte para ações de gerenciamento por meio do provedor de recursos de armazenamento.

Você pode adicionar condições a funções internas ou funções personalizadas. As funções embutida nas quais você pode usar condições de atribuição de função incluem:

Você pode usar condições com funções personalizadas, desde que a função inclua ações que suportam condições.

O formato de condição de atribuição de função do Azure permite o uso de atributos @Principal, @Resource ou @Request nas condições. O atributo @Principal é uma entidade de atributo de segurança personalizada do Azure AD, como um usuário, aplicativo empresarial (entidade de serviço) ou identidade gerenciada. Um atributo @Resource refere-se a um atributo existente de um recurso de armazenamento que está sendo acessado, como uma conta de armazenamento ou fila. Um atributo @Request refere-se a um atributo ou parâmetro incluído em uma solicitação de operação de armazenamento.

Atualmente, o Azure RBAC oferece suporte a 2.000 atribuições de função em uma assinatura. Se você precisar criar centenas ou até milhares de atribuições de função do Azure, poderá encontrar esse limite. Gerenciar centenas ou milhares de atribuições de função pode ser difícil. Em alguns casos, você pode usar condições para reduzir o número de atribuições de função em sua conta de armazenamento e torná-las mais fáceis de gerenciar. Você pode dimensionar o gerenciamento de atribuições de função usando condições e atributos de segurança personalizados do Microsoft Entra para entidades de segurança.

Próximas etapas

Confira também