Partilhar via

Autorizar o acesso a filas usando as condições de atribuição de função do Azure

  • Artigo

O controle de acesso baseado em atributos (ABAC) é uma estratégia de autorização que define níveis de acesso com base em atributos associados a uma solicitação de acesso, como a entidade de segurança, o recurso, o ambiente e a própria solicitação. Com o ABAC, você pode conceder a uma entidade de segurança acesso a um recurso com base nas condições de atribuição de função do Azure.

Importante

O controle de acesso baseado em atributos do Azure (Azure ABAC) está geralmente disponível (GA) para controlar o acesso ao Armazenamento de Blobs do Azure, ao Azure Data Lake Storage Gen2 e às Filas do Azure usando request, resource, environmente principal atributos nas camadas de desempenho da conta de armazenamento padrão e premium. Atualmente, o atributo de recurso de metadados de contêiner e o atributo de solicitação de inclusão de blob de lista estão em VISUALIZAÇÃO. Para obter informações completas sobre o status do recurso do ABAC para Armazenamento do Azure, consulte Status dos recursos de condição no Armazenamento do Azure.

Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Visão geral das condições no Armazenamento do Azure

Você pode usar a ID do Microsoft Entra (ID do Microsoft Entra) para autorizar solicitações aos recursos de armazenamento do Azure usando o RBAC do Azure. O RBAC do Azure ajuda você a gerenciar o acesso a recursos definindo quem tem acesso aos recursos e o que eles podem fazer com esses recursos, usando definições de função e atribuições de função. O Armazenamento do Azure define um conjunto de funções internas do Azure que englobam conjuntos comuns de permissões usadas para acessar dados de armazenamento do Azure. Você também pode definir funções personalizadas com conjuntos selecionados de permissões. O Armazenamento do Azure dá suporte a atribuições de função para contas de armazenamento e contêineres ou filas de blob.

O Azure ABAC baseia-se no RBAC do Azure adicionando condições de atribuição de função no contexto de ações específicas. Uma condição de atribuição de função é uma verificação adicional que é avaliada quando a ação no recurso de armazenamento está sendo autorizada. Esta condição é expressa como um predicado usando atributos associados a qualquer um dos seguintes:

  • Entidade de segurança que está solicitando autorização
  • Recurso ao qual está a ser solicitado acesso
  • Parâmetros do pedido
  • Ambiente de origem do pedido

Os benefícios de usar condições de atribuição de função são:

  • Habilitar acesso mais refinado a recursos - Por exemplo, se você quiser conceder a um usuário acesso a mensagens de visualização em uma fila específica, poderá usar mensagens de visualização DataAction e o atributo de armazenamento de nome de fila.
  • Reduzir o número de atribuições de função que você precisa criar e gerenciar - Você pode fazer isso usando uma atribuição de função generalizada para um grupo de segurança e, em seguida, restringindo o acesso para membros individuais do grupo usando uma condição que corresponda aos atributos de uma entidade de segurança com atributos de um recurso específico que está sendo acessado (como uma fila).
  • Expressar regras de controle de acesso em termos de atributos com significado comercial - Por exemplo, você pode expressar suas condições usando atributos que representam um nome de projeto, aplicativo de negócios, função da organização ou nível de classificação.

A contrapartida do uso de condições é que você precisa de uma taxonomia estruturada e consistente ao usar atributos em toda a organização. Os atributos devem ser protegidos para evitar que o acesso seja comprometido. Além disso, as condições devem ser cuidadosamente concebidas e revistas quanto ao seu efeito.

Atributos e operações suportados

Você pode configurar condições em atribuições de função para DataActions para atingir essas metas. Você pode usar condições com uma função personalizada ou selecionar funções internas. Observe que as condições não são suportadas para ações de gerenciamento por meio do provedor de recursos de armazenamento.

Você pode adicionar condições a funções internas ou funções personalizadas. As funções internas nas quais você pode usar as condições de atribuição de função incluem:

Você pode usar condições com funções personalizadas, desde que a função inclua ações que ofereçam suporte a condições.

O formato de condição de atribuição de função do Azure permite o uso de @Principal, @Resource ou @Request atributos nas condições. Um @Principal atributo é um atributo de segurança personalizado em uma entidade de segurança, como um usuário, aplicativo empresarial (entidade de serviço) ou identidade gerenciada. Um @Resource atributo refere-se a um atributo existente de um recurso de armazenamento que está sendo acessado, como uma conta de armazenamento ou uma fila. Um @Request atributo refere-se a um atributo ou parâmetro incluído em uma solicitação de operação de armazenamento.

Atualmente, o RBAC do Azure dá suporte a 2.000 atribuições de função em uma assinatura. Se você precisar criar milhares de atribuições de função do Azure, poderá encontrar esse limite. Gerenciar centenas ou milhares de atribuições de função pode ser difícil. Em alguns casos, você pode usar condições para reduzir o número de atribuições de função em sua conta de armazenamento e torná-las mais fáceis de gerenciar. Você pode dimensionar o gerenciamento de atribuições de função usando condições e atributos de segurança personalizados do Microsoft Entra para entidades de segurança.

Próximos passos

Consulte também