Ограничение источника операций копирования учетной записи хранения

По соображениям безопасности администраторы хранилища могут ограничить среды, из которых можно скопировать данные в защищенные учетные записи. Ограничение области разрешенных операций копирования помогает предотвратить несанкционированный доступ к нежелательным данным из ненадежных клиентов или виртуальных сетей.

В этой статье показано, как ограничить исходные учетные записи операций копирования учетными записями в том же клиенте, что и целевая учетная запись, или с частными ссылками на ту же виртуальную сеть, что и назначение.

Внимание

Разрешенная область для операций копирования в настоящее время находится в предварительной версии. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

О разрешенной области операций копирования (предварительная версия)

Свойство AllowedCopyScope учетной записи хранения используется для указания сред, из которых можно скопировать данные в целевую учетную запись. Он отображается в портал Azure в качестве параметра конфигурации разрешенной области для операций копирования (предварительная версия). Свойство не задано по умолчанию и не возвращает значение, пока не будет явно задано значение. У него есть три возможных значения:

• (null) (по умолчанию): разрешить копирование из любой учетной записи хранения в целевую учетную запись.
• Идентификатор Microsoft Entra: разрешает копирование только из учетных записей в том же клиенте Microsoft Entra, что и целевая учетная запись.
• PrivateLink: разрешает копирование только из учетных записей хранения с частными ссылками на ту же виртуальную сеть, что и целевая учетная запись.

Этот параметр применяется к операциям копирования BLOB-объектов и копирования BLOB-объектов из URL-адресов . Примерами инструментов, использующих копирование BLOB-объектов, являются AzCopy и обозреватель служба хранилища Azure.

Если источник запроса копирования не соответствует требованиям, указанным этим параметром, запрос завершается ошибкой с кодом состояния HTTP 403 (запрещено).

Свойство AllowedCopyScope поддерживается только для учетных записей хранения, использующих только модель развертывания Azure Resource Manager. Сведения о том, какие учетные записи хранения используют модель развертывания Azure Resource Manager, см. в разделе Типы учетных записей хранения.

Определение исходных учетных записей хранения операций копирования

Перед изменением значения AllowedCopyScope для учетной записи хранения определите пользователей, приложения или службы, которые будут затронуты изменением. В зависимости от результатов может потребоваться настроить параметр в области, включающую все нужные источники копирования, или настроить конфигурацию сети или Microsoft Entra для некоторых исходных учетных записей хранения.

служба хранилища Azure журналы записывают сведения в Azure Monitor о запросах, сделанных в учетной записи хранения, включая источник и назначение операций копирования. Дополнительные сведения см. в разделе Мониторинг службы хранилища Microsoft Azure. Включите и проанализируйте журналы для идентификации операций копирования, которые могут повлиять на изменение AllowedCopyScope для целевой учетной записи хранения.

Создание параметра диагностики на портале Azure

Чтобы регистрировать в журнале данные службы хранилища Azure с помощью Azure Monitor и анализировать их с помощью Azure Log Analytics, необходимо сначала создать параметр диагностики, который указывает, данные каких типов запросов для каких служб хранилища следует регистрировать в журнале. После настройки ведения журнала для учетной записи хранения журналы доступны в рабочей области Log Analytics. Сведения о создании рабочей области см. в статье "Создание рабочей области Log Analytics" в портал Azure.

Сведения о создании параметра диагностики в портал Azure см. в статье "Создание параметров диагностики" в Azure Monitor.

Ссылка на поля, доступные в журналах служба хранилища Azure в Azure Monitor, см. в журналах ресурсов.

Журналы запросов на копирование

служба хранилища Azure журналы включают все запросы на копирование данных в учетную запись хранения из другого источника. Записи журнала включают имя целевой учетной записи хранения и универсальный код ресурса (URI) исходного объекта, а также сведения для идентификации клиента, запрашивающего копию. Полный справочник по полям, доступным в журналах служба хранилища Azure в Azure Monitor, см. в журналах ресурсов.

Чтобы получить журналы для запросов на копирование больших двоичных объектов, сделанных за последние семь дней, выполните следующие действия:

1. Войдите в свою учетную запись хранения на портале Azure.

2. В разделе Мониторинг выберите Журналы.

3. Вставьте следующий запрос в новый запрос журнала и запустите его. Этот запрос отображает исходные объекты, которые чаще всего ссылаются в запросах на копирование данных в указанную учетную запись хранения. В следующем примере замените текст <account-name> заполнителя собственным именем учетной записи хранения.

   StorageBlobLogs
   | where OperationName has "CopyBlobSource" and TimeGenerated > ago(7d) and AccountName == "<account-name>"
   | summarize count() by Uri, CallerIpAddress, UserAgentHeader
   

Результаты запроса должны выглядеть следующим образом:

Универсальный код ресурса (URI) — это полный путь к исходному объекту, который включает имя учетной записи хранения, имя контейнера и имя файла. В списке URI определите, будут ли операции копирования заблокированы, если был применен определенный параметр AllowedCopyScope .

Вы также можете настроить правило генерации оповещений на основе этого запроса, чтобы уведомить вас о запросах копирования BLOB-объектов для учетной записи. Дополнительные сведения см. в статье Создание и просмотр оповещений журналов, а также управление ими с помощью Azure Monitor.

Ограничение разрешенной области для операций копирования (предварительная версия)

Если вы уверены, что вы можете безопасно ограничить источники запросов копирования определенной областью, можно задать свойство AllowedCopyScope для учетной записи хранения этой области.

Разрешения для изменения разрешенной области для операций копирования (предварительная версия)

Чтобы задать свойство AllowedCopyScope для учетной записи хранения, пользователь должен иметь разрешения на создание учетных записей хранения и управление ими. Роли управления доступом на основе ролей Azure (Azure RBAC), предоставляющие эти разрешения, включают в себя действия Microsoft.Storage/storageAccounts/write или Microsoft.Storage/storageAccounts/*. Встроенные роли с этим действием:

• Владелец Azure Resource Manager.
• участник Azure Resource Manager;
• участник учетной записи хранения;

Эти роли не предоставляют доступ к данным в учетной записи хранения с помощью идентификатора Microsoft Entra. Однако они включают в себя разрешение Microsoft. Storage/storageAccounts/listkeys/Action, которое предоставляет доступ к ключам доступа учетной записи. Пользователь с этим разрешением может использовать ключи доступа учетной записи для доступа ко всем данным в учетной записи хранения.

Назначения ролей должны быть ограничены уровнем учетной записи хранения или выше, чтобы разрешить пользователю ограничить область операций копирования для учетной записи. Дополнительные сведения об области роли см. в разделе Общие сведения об области для Azure RBAC.

Рекомендуется назначать эти роли только тем пользователям, которым необходима возможность создавать учетные записи хранения или обновлять их свойства. Используйте принцип наименьших привилегий, чтобы предоставлять пользователям минимальный набор разрешений, необходимый для выполнения их задач. Дополнительные сведения об управлении доступом с помощью Azure RBAC см. в разделе Рекомендации по использованию Azure RBAC.

Примечание.

Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль владельца включает в себя все действия, поэтому пользователь, которому назначена одна из этих административных ролей, также может создавать учетные записи хранения и управлять ими. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Настройка разрешенной области для операций копирования (предварительная версия)

Используя учетную запись с необходимыми разрешениями, настройте разрешенную область для операций копирования в портал Azure с помощью PowerShell или с помощью Azure CLI.

Портал Azure

Чтобы настроить разрешенную область для операций копирования для существующей учетной записи хранения в портал Azure, выполните следующие действия.

1. Войдите в свою учетную запись хранения на портале Azure.

2. В разделе Параметры выберите пункт Конфигурация.

3. Задайте разрешенную область для операций копирования (предварительная версия) одной из следующих:

   • Из любой учетной записи хранения
   • Из учетных записей хранения в том же клиенте Microsoft Entra
   • Из учетных записей хранения, имеющих частную конечную точку, в ту же виртуальную сеть

   

4. Выберите Сохранить.

PowerShell

Чтобы настроить разрешенную область для операций копирования для новой или существующей учетной записи хранения с помощью PowerShell, установите модуль Az.Storage PowerShell версии 4.9.0 или более поздней версии. Затем настройте свойство AllowedCopyScope для новой или существующей учетной записи хранения. Единственными поддерживаемыми значениями для параметра allowedCopyScope являются Идентификатор Microsoft Entra или PrivateLink. Чтобы задать параметр AllowedCopyScope по умолчанию для любой учетной записи хранения, необходимо изменить его в портал Azure.

В следующем примере показано, как задать свойство AllowCopyScope для существующей учетной записи хранения, чтобы разрешить копирование данных только из учетных записей хранения в одном клиенте Microsoft Entra. Замените значения заполнителей в угловых скобках (<>) собственными значениями:

Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -AccountName <storage-account> `
    -allowedCopyScope "AAD"

В следующем примере показано, как задать свойство AllowCopyScope для существующей учетной записи хранения, чтобы разрешить копирование данных только из учетных записей хранения с частными ссылками на ту же виртуальную сеть. Замените значения заполнителей в угловых скобках (<>) собственными значениями:

Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -AccountName <storage-account> `
    -allowedCopyScope "PrivateLink"

Azure CLI

Чтобы настроить разрешенную область для операций копирования для новой или существующей учетной записи хранения с помощью Azure CLI, выполните следующие действия.

1. Установите последнюю версию Azure CLI. Дополнительные сведения см. в статье Установка Azure CLI.

2. Установите расширение предварительной версии хранилища Azure CLI с помощью команды az extension add -n storage-preview.

   Внимание

   Расширение предварительной версии хранилища Azure CLI добавляет поддержку функций или аргументов, которые в настоящее время находятся в предварительной версии.

   Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

3. Используйте аргумент разрешенной az storage account create области копирования или az storage account update команды, чтобы настроить свойство AllowedCopyScope для новой или существующей учетной записи хранения. Единственными поддерживаемыми значениями аргумента являются Идентификатор Microsoft Entra или PrivateLink. Чтобы задать параметр AllowedCopyScope по умолчанию для любой учетной записи хранения, необходимо изменить его в портал Azure.

В следующем примере показано, как настроить свойство AllowCopyScope для существующей учетной записи хранения, чтобы разрешить копирование данных в целевую учетную запись только из учетных записей хранения в одном клиенте Microsoft Entra. Замените значения заполнителей в угловых скобках (<>) собственными значениями:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allowed-copy-scope "AAD"

В следующем примере показано, как настроить разрешенную область операций копирования для существующей учетной записи хранения, чтобы разрешить копирование данных в целевую учетную запись только из учетных записей хранения с частными ссылками на ту же виртуальную сеть. Замените значения заполнителей в угловых скобках (<>) собственными значениями:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allowed-copy-scope "PrivateLink"

Следующие шаги

• Требовать безопасной передачи, чтобы обеспечить безопасные подключения
• Исправление анонимного доступа на чтение к данным BLOB-объектов (развертывания Azure Resource Manager)
• Предотвращение авторизации общего ключа для учетной записи служба хранилища Azure