Создание управляемого приложения для хранения дайджестов BLOB-объектов

Необходимые компоненты

• Учетная запись хранения Azure
• Azure CLI (необязательно)
• Версия Python, поддерживаемая пакетом SDK Azure для Python (необязательно)

Обзор

Для обеспечения доверия больших двоичных объектов в контейнере BL служба хранилища OB-объектов в контейнере больших двоичных объектов можно использовать управляемое приложение конфиденциального реестра. Приложение после подключения к учетной записи хранения отслеживает все большие двоичные объекты, добавляемые в каждый контейнер в учетной записи хранения в режиме реального времени, помимо вычисления и хранения дайджестов в конфиденциальном реестре Azure. Аудит можно выполнять в любое время, чтобы проверка допустимость больших двоичных объектов и обеспечить, чтобы контейнер БОЛЬШИХ двоичных объектов не был изменен.

Развертывание управляемого приложения

Управляемое приложение можно найти в Azure Marketplace здесь: BLOB-объект служба хранилища дайджесты, поддерживаемые конфиденциальным реестром (предварительная версия).

Ресурсы для создания

После заполнения обязательных полей и развертывания приложения в управляемой группе ресурсов создаются следующие ресурсы:

• Конфиденциальный реестр
• очередь служебная шина с включенными сеансами
• служба хранилища учетная запись (учетная запись хранения издателя, используемая для хранения логики дайджеста и журнала аудита)
• Приложение-функция
• Application Insights

Подключение учетной записи хранения управляемому приложению

После создания управляемого приложения вы сможете подключить управляемое приложение к учетной записи служба хранилища, чтобы начать обработку и запись дайджестов контейнеров BLOB-объектов в конфиденциальный реестр Azure.

Создание раздела и подписки на события для учетной записи хранения

Управляемое приложение использует очередь Служебная шина Azure для отслеживания и записи всех событий создания BLOB-объектов. Вы будете использовать очередь, созданную в управляемой группе ресурсов управляемым приложением, и добавьте ее в качестве подписчика событий для любой учетной записи хранения, для которую вы создаете большие двоичные объекты.

Портал Azure

В портал Azure можно перейти к учетной записи хранения, для которой вы хотите начать создавать дайджесты БОЛЬШИХ двоичных объектов и перейти к колонкеEvents. Там можно создать подписку на события и подключить ее к конечной точке очереди Служебная шина Azure.

Очередь использует сеансы для поддержания порядка между несколькими учетными записями хранения, поэтому вам также потребуется перейти на Delivery Properties вкладку и ввести уникальный идентификатор сеанса для этой подписки на событие.

CLI

Создание раздела событий:

az eventgrid system-topic create \
--resource-group {resource_group} \
--name {sample_topic_name} \
--location {location} \
--topic-type microsoft.storage.storageaccounts \
--source /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

resource-group — Группа ресурсов, в которой следует создать раздел

name — Имя создаваемого раздела

location — Расположение создаваемого раздела

source — идентификатор ресурса учетной записи хранения для создания раздела

Создание подписки на события:

az eventgrid system-topic event-subscription create \
--name {sample_subscription_name} \
--system-topic-name {sample_topic_name} \
--resource-group {resource_group} \
--event-delivery-schema EventGridSchema \
--included-event-types Microsoft.Storage.BlobCreated \
--delivery-attribute-mapping sessionId static {sample_session_id} false \
--endpoint-type servicebusqueue \
--endpoint /subscriptions/{subscription}/resourceGroups/{managed_resource_group}/providers/Microsoft.ServiceBus/namespaces/{service_bus_namespace}/queues/{service_bus_queue}

name — Имя создаваемой подписки

system-topic-name — Имя раздела, для которой создается подписка (должно совпадать с только что созданной темой)

resource-group — группа ресурсов, в которой должна быть создана подписка

delivery-attribute-mapping — Сопоставление для требуемого поля sessionId. Ввод уникального идентификатора сеанса

endpoint — Идентификатор ресурса очереди служебной шины, которая подписывается на раздел учетной записи хранения.

Добавление требуемой роли в учетную запись хранения

Управляемое приложение требует Storage Blob Data Owner , чтобы роль считывала и создавала хэши для каждого большого двоичного объекта, и эта роль должна быть добавлена для правильного вычисления дайджеста.

Портал Azure

CLI

az role assignment create \
--role "Storage Blob Data Owner" \
--assignee-object-id {function_oid} \
--assignee-principal-type ServicePrincipal\
--scope /subscriptions/{subscription}/resourceGroups/{resource_group}/providers/Microsoft.Storage/storageAccounts/{storage_account_name}

assignee-object-id — OID функции Azure, созданной с помощью управляемого приложения. Можно найти в колонке "Удостоверение"

scope — идентификатор ресурса учетной записи хранения для создания роли

Примечание.

Несколько учетных записей хранения можно подключить к одному экземпляру управляемого приложения. В настоящее время рекомендуется не более 10 учетных записей хранения, содержащих контейнеры больших двоичных объектов с высоким уровнем использования.

Добавление больших двоичных объектов и создание дайджеста

После правильного подключения учетной записи хранения к управляемому приложению большие двоичные объекты могут добавляться в контейнеры в учетной записи хранения. Большие двоичные объекты отслеживаются в режиме реального времени, а дайджесты вычисляются и хранятся в конфиденциальном реестре Azure.

Таблицы транзакций и блоков

Все события создания BLOB-объектов отслеживаются во внутренних таблицах, хранящихся в управляемом приложении.

Таблица транзакций содержит сведения о каждом большом двоичном объекте и уникальном хэше, созданном с помощью сочетания метаданных и содержимого большого двоичного объекта.

Таблица блоков содержит сведения, связанные с каждым дайджестом, созданным для контейнера BLOB-объектов, а связанный идентификатор транзакции для дайджеста хранится в конфиденциальном реестре Azure.

Примечание.

Каждое событие создания BLOB-объектов не приведет к созданию дайджеста. Дайджесты создаются после достижения определенного размера блока. В настоящее время дайджест будет создан для каждого 4 события создания BLOB-объектов.

Просмотр дайджеста в конфиденциальном реестре Azure

Вы можете просмотреть дайджесты, хранящиеся непосредственно в конфиденциальном реестре Azure, перейдя к колонке Ledger Explorer .

Выполнение аудита

Если вы когда-либо хотите проверка допустимость больших двоичных объектов, которые добавляются в контейнер, чтобы убедиться, что они не изменены, аудит может выполняться в любой момент времени. Аудит воспроизводит каждое событие создания BLOB-объектов и пересчитывает дайджесты с большими двоичными объектами, хранящимися в контейнере во время аудита. Затем он сравнивает пересчитываемые дайджесты с дайджестами, хранящимися в Конфиденциальной службе Azure, и предоставляет отчет, отображающий все сравнения дайджеста и независимо от того, является ли контейнер BLOB-объектов измененным.

Активация аудита

Аудит можно активировать, включив следующее сообщение в очередь служебная шина, связанную с управляемым приложением:

{
    "eventType": "PerformAudit",
    "storageAccount": "<storage_account_name>",
    "blobContainer": "<blob_container_name>"
}

Портал Azure

Обязательно включите в Session ID очередь сеансы.

Пакет SDK для Python

import json
import uuid
from azure.servicebus import ServiceBusClient, ServiceBusMessage

SERVICE_BUS_CONNECTION_STR = "<service_bus_connection_string>"
QUEUE_NAME = "<service_bus_queue_name>"
STORAGE_ACCOUNT_NAME = "<storage_account_name>"
BLOB_CONTAINER_NAME = "<blob_container_name>"
SESSION_ID = str(uuid.uuid4())

servicebus_client = ServiceBusClient.from_connection_string(conn_str=SERVICE_BUS_CONNECTION_STR, logging_enable=True)
sender = servicebus_client.get_queue_sender(queue_name=QUEUE_NAME)

message = {
    "eventType": "PerformAudit",
    "storageAccount": STORAGE_ACCOUNT_NAME,
    "blobContainer": BLOB_CONTAINER_NAME
}

message = ServiceBusMessage(json.dumps(message), session_id=SESSION_ID)
sender.send_messages(message)

Просмотр результатов аудита

После успешного выполнения аудита результаты аудита можно найти в контейнере с именем <managed-application-name>-audit-records в соответствующей учетной записи хранения. Результаты содержат пересчитываемый дайджест, дайджест, полученный из конфиденциального реестра Azure, и независимо от того, будут ли большие двоичные объекты изменены.

Ведение журнала и ошибки

Журналы ошибок можно найти в контейнере с именем <managed-application-name>-error-logs в соответствующей учетной записи хранения. Если событие создания большого двоичного объекта или процесс аудита завершается сбоем, причина сбоя записывается и хранится в этом контейнере. Если возникли вопросы о журналах ошибок или функциональных возможностях приложений, обратитесь в службу поддержки конфиденциального реестра Azure, предоставленной в сведениях об управляемом приложении.

Очистка управляемого приложения

Вы можете удалить управляемое приложение, чтобы очистить и удалить все связанные ресурсы. Удаление управляемого приложения останавливает отслеживание всех транзакций BLOB-объектов и останавливает создание всех дайджестов. Отчеты аудита остаются действительными для больших двоичных объектов, которые были добавлены до удаления.

Дополнительные ресурсы

Дополнительные сведения об управляемых приложениях и развернутых ресурсах см. по следующим ссылкам:

• Обзор управляемых приложений Azure
• Сеансы очереди служб Azure
• события служба хранилища Azure

Следующие шаги

• Общие сведения о Конфиденциальном реестре Microsoft Azure