Tutorial: Adicionar uma condição de atribuição de função para restringir o acesso a blobs usando o portal do Azure

  • Artigo

Na maioria dos casos, uma atribuição de função concede as permissões necessárias aos recursos do Azure. No entanto, em alguns casos, talvez você queira fornecer um controle de acesso mais granular adicionando uma condição de atribuição de função.

Neste tutorial, irá aprender a:

  • Adicionar uma condição a uma atribuição de função
  • Restringir o acesso a blobs com base em uma tag de índice de blob

Importante

O controle de acesso baseado em atributos do Azure (Azure ABAC) está geralmente disponível (GA) para controlar o acesso ao Armazenamento de Blobs do Azure, ao Azure Data Lake Storage Gen2 e às Filas do Azure usando request, resource, environmente principal atributos nas camadas de desempenho da conta de armazenamento padrão e premium. Atualmente, o atributo de recurso de metadados de contêiner e o atributo de solicitação de inclusão de blob de lista estão em VISUALIZAÇÃO. Para obter informações completas sobre o status do recurso do ABAC para Armazenamento do Azure, consulte Status dos recursos de condição no Armazenamento do Azure.

Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Pré-requisitos

Para obter informações sobre os pré-requisitos para adicionar ou editar condições de atribuição de função, consulte Pré-requisitos de condições.

Condição

Neste tutorial, você restringe o acesso a blobs com uma tag específica. Por exemplo, você adiciona uma condição a uma atribuição de função para que o Chandra só possa ler arquivos com a tag Project=Cascade.

Diagrama de atribuição de função com uma condição.

Se o Chandra tentar ler um blob sem a tag Project=Cascade, o acesso não será permitido.

Diagrama mostrando o acesso de leitura a blobs com a tag Project=Cascade.

Veja como a condição se parece no código:

(
    (
        !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}
        AND NOT
        SubOperationMatches{'Blob.List'})
    )
    OR
    (
        @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'
    )
)

Etapa 1: Criar um usuário

  1. Entre no portal do Azure como proprietário de uma assinatura.

  2. Selecione Microsoft Entra ID.

  3. Crie um usuário ou encontre um usuário existente. Este tutorial usa Chandra como exemplo.

Etapa 2: configurar o armazenamento

  1. Crie uma conta de armazenamento que seja compatível com o recurso de tags de índice de blob. Para obter mais informações, consulte Gerenciar e localizar dados de Blob do Azure com marcas de índice de blob.

  2. Crie um novo contêiner dentro da conta de armazenamento e defina o nível de acesso anônimo como Privado (sem acesso anônimo).

  3. No contêiner, selecione Carregar para abrir o painel Carregar blob.

  4. Encontre um ficheiro de texto para carregar.

  5. Selecione Avançado para expandir o painel.

  6. Na seção Marcas de índice de Blob, adicione a seguinte tag de índice de blob ao arquivo de texto.

    Se não vir a secção Etiquetas de índice de Blob e tiver acabado de registar a sua subscrição, poderá ter de aguardar alguns minutos para que as alterações se propaguem. Para obter mais informações, consulte Usar marcas de índice de blob para gerenciar e localizar dados no Armazenamento de Blobs do Azure.

    Nota

    Os blobs também suportam a capacidade de armazenar metadados arbitrários de chave-valor definidos pelo usuário. Embora os metadados sejam semelhantes às tags de índice de blob, você deve usar tags de índice de blob com condições.

    Key valor
    Project Cascade

Captura de ecrã a mostrar o painel Carregar blob com a secção Etiquetas de índice do blogue.

  1. Selecione o botão Carregar para carregar o arquivo.

  2. Carregue um segundo ficheiro de texto.

  3. Adicione a seguinte tag de índice de blob ao segundo arquivo de texto.

    Key valor
    Project Padeiro

Etapa 3: Atribuir uma função de dados de blob de armazenamento

  1. Abra o grupo de recursos.

  2. Selecione Controlo de acesso (IAM) .

  3. Selecione o separador Atribuições de funções para ver as atribuições de funções neste âmbito.

  4. Selecione Adicionar>Adicionar atribuição de função. A página Adicionar atribuição de função abre:

Captura de ecrã do menu Adicionar > atribuição de função.

  1. Na guia Funções, selecione a função Leitor de Dados de Blob de Armazenamento.

Captura de ecrã da página Adicionar atribuição de função com o separador Funções.

  1. Na guia Membros, selecione o usuário criado anteriormente.

Captura de ecrã da página Adicionar atribuição de função com o separador Membros.

  1. (Opcional) Na caixa Descrição , insira Acesso de leitura a blobs com a tag Project=Cascade.

  2. Selecione Seguinte.

Etapa 4: Adicionar uma condição

  1. Na guia Condições (opcional), selecione Adicionar condição. A página Adicionar condição de atribuição de função é exibida:

Captura de ecrã da página Adicionar condição de atribuição de função para uma nova condição.

  1. Na seção Adicionar ação, selecione Adicionar ação.

    O painel Selecione uma ação é exibido. Este painel é uma lista filtrada de ações de dados com base na atribuição de função que será o destino da sua condição. Marque a caixa ao lado de Ler um blob e selecione Selecionar:

Captura de ecrã de Selecione um painel de ação com uma ação selecionada.

  1. Na seção Criar expressão, selecione Adicionar expressão.

    A seção Expressão é expandida.

  2. Especifique as seguintes configurações de expressão:

    Definição Value
    Origem do atributo Recurso
    Atributo Tags de índice de blob [Valores na chave]
    Chave Project
    Operador StringEqualsIgnoreCase
    Value Cascade

Captura de ecrã da secção Criar expressão para etiquetas de índice de blob.

  1. Role para cima até Tipo de editor e selecione Código.

    A condição é exibida como código. Você pode fazer alterações na condição neste editor de códigos. Para voltar ao editor visual, selecione Visual.

Captura de tela da condição exibida no editor de código.

  1. Selecione Salvar para adicionar a condição e retornar à página Adicionar atribuição de função.

  2. Selecione Seguinte.

  3. No separador Rever + atribuir, selecione Rever + atribuir para atribuir a função com uma condição.

    Após alguns instantes, é atribuída ao principal de segurança a função no âmbito selecionado.

Captura de tela da lista de atribuição de função após a atribuição da função.

Etapa 5: Atribuir a função de leitor

  • Repita as etapas anteriores para atribuir a função Leitor ao usuário criado anteriormente no escopo do grupo de recursos.

    Nota

    Normalmente, não é necessário atribuir a função de Leitor. No entanto, isso é feito para que você possa testar a condição usando o portal do Azure.

Etapa 6: Testar a condição

  1. Numa nova janela, inicie sessão no portal do Azure.

  2. Inicie sessão como o utilizador que criou anteriormente.

  3. Abra a conta de armazenamento e o contêiner que você criou.

  4. Verifique se o método de autenticação está definido como Conta de usuário do Microsoft Entra e não como Chave de acesso.

Captura de tela do contêiner de armazenamento com arquivos de teste.

  1. Selecione o arquivo de texto Baker.

    Você NÃO deve ser capaz de visualizar ou baixar o blob e uma mensagem de falha de autorização deve ser exibida.

  2. Selecione Arquivo de texto em cascata.

    Você deve ser capaz de visualizar e baixar o blob.

Etapa 7: Limpar recursos

  1. Remova a atribuição de função adicionada.

  2. Exclua a conta de armazenamento de teste que você criou.

  3. Exclua o usuário que você criou.

Próximos passos