Share via

Авторизация доступа к запросам с помощью условий назначения ролей Azure

  • Статья

Управление доступом на основе атрибутов (ABAC) — это стратегия авторизации, которая определяет уровни доступа на основе атрибутов, связанных с запросом доступа, например субъект безопасности, ресурс, среда и сам запрос. С помощью ABAC можно предоставить субъекту безопасности доступ к ресурсу на основе условий назначения ролей Azure.

Внимание

Управление доступом на основе атрибутов Azure (Azure ABAC) общедоступен для управления доступом к Хранилище BLOB-объектов Azure, Azure Data Lake Storage 2-го поколения и очередям Azure с помощью request, resourceenvironmentа principal также атрибутов в уровнях производительности учетной записи хранения уровня "Стандартный" и "Премиум". В настоящее время атрибут ресурса метаданных контейнера и большой двоичный объект списка включают атрибут запроса в предварительной версии. Полные сведения о состоянии функции ABAC для служба хранилища Azure см. в разделе "Состояние функций условий" в служба хранилища Azure.

Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.

Обзор условий в службе хранилища Azure

Вы можете использовать идентификатор Microsoft Entra (Идентификатор Microsoft Entra) для авторизации запросов к ресурсам службы хранилища Azure с помощью Azure RBAC. Azure RBAC помогает управлять доступом к ресурсам, определяя, кто имеет доступ к ресурсам и какие действия они могут выполнять с этими ресурсами, с использованием определений ролей и назначений ролей. Служба хранилища Azure определяет набор встроенных ролей Azure, охватывающих общие наборы разрешений, используемых для доступа к данным в службе хранилища Azure. Можно также определить настраиваемые роли с выбранными наборами разрешений. Служба хранилища Azure поддерживает назначение ролей для учетных записей хранения и контейнеров больших двоичных объектов или очередей.

В основе Azure ABAC лежит механизм Azure RBAC, к которому добавляются условия назначения ролей в контексте определенных действий. Условие назначения роли — это дополнительная проверка, которая выполняется при авторизации действия с ресурсом хранилища. Это условие выражается в виде предиката с использованием атрибутов, связанных с одним из следующих объектов:

  • Субъект безопасности, запрашивающий авторизацию
  • Ресурс, доступ к которому запрашивается
  • Параметры запроса
  • Среда, из которой создается запрос

Условия назначения ролей имеют следующие преимущества:

  • Возможность более детального управления доступом к ресурсам. Например, если вы хотите предоставить пользователю доступ к просмотру сообщений в определенной очереди, можно использовать функцию просмотра сообщений DataAction и атрибут хранилища имен очереди.
  • Сокращение количества назначений ролей, которые необходимо создавать и администрировать. Для этого можно использовать обобщенное назначение ролей для группы безопасности, а затем ограничивать доступ для отдельных участников группы с использованием условия, которое соответствует атрибутам субъекта, с атрибутами конкретного ресурса (например, очереди), к которому осуществляется доступ.
  • Выражение правил контроля доступа в терминах атрибутов с бизнес-значением. Например, вы можете выражать условия с помощью атрибутов, представляющих имя проекта, бизнес-приложение, подразделение организации или уровень классификации.

При использовании атрибутов в организации необходимо иметь структурированную и согласованную таксономию. Атрибуты должны быть защищены, чтобы предотвратить компрометацию доступа. Кроме того, для правильной организации доступа условия должны быть тщательно продуманы и проверены.

Поддерживаемые атрибуты и операции

Для достижения этих целей можно настроить условия назначения ролей для действий DataActions. Условия можно использовать для настраиваемой роли или встроенных ролей. Обратите внимание на то, что условия для действий управления не поддерживаются поставщиком ресурсов службы хранилища.

Вы можете добавлять условия для встроенных и настраиваемых ролей. Встроенные роли, для которых можно использовать условия назначения ролей, включают следующие:

Вы можете использовать условия с настраиваемыми ролями, если роль включает действия, которые поддерживают условия.

Формат условия назначения ролей Azure позволяет использовать в условиях атрибуты @Principal, @Resource и @Request. Атрибут @Principal — это настраиваемый атрибут безопасности для субъекта, такого как пользователь, корпоративное приложение (субъект безопасности) или управляемое удостоверение. Атрибут @Resource ссылается на атрибут ресурса службы хранилища, к которому осуществляется доступ. Это может быть учетная запись хранения, контейнер или очередь. Атрибут @Request ссылается на атрибут или параметр, входящий в запрос операции службы хранилища.

Сейчас Azure RBAC поддерживает 2000 назначений ролей в подписке. Если вам нужно создать несколько тысяч назначений ролей Azure, вы можете столкнуться с этим ограничением. Управление сотнями или тысячами заданий ролей может быть непростой задачей. В некоторых случаях с помощью условий можно уменьшить количество назначений ролей в учетной записи хранения и упростить управление ими. Вы можете масштабировать управление назначениями ролей с помощью условий и настраиваемых атрибутов безопасности Microsoft Entra для субъектов.

Следующие шаги

См. также