Begränsa källan för kopieringsåtgärder till ett lagringskonto

Av säkerhetsskäl kanske lagringsadministratörer vill begränsa de miljöer från vilka data kan kopieras till skyddade konton. Genom att begränsa omfattningen för tillåtna kopieringsåtgärder kan du förhindra infiltrering av oönskade data från ej betrodda klienter eller virtuella nätverk.

Den här artikeln visar hur du begränsar källkontona för kopieringsåtgärder till konton i samma klientorganisation som målkontot eller med privata länkar till samma virtuella nätverk som målet.

Viktigt!

Det tillåtna omfånget för kopieringsåtgärder finns för närvarande i FÖRHANDSVERSION. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Om tillåtet omfång för kopieringsåtgärder (förhandsversion)

Egenskapen AllowedCopyScope för ett lagringskonto används för att ange de miljöer från vilka data kan kopieras till målkontot. Det visas i Azure-portalen som konfigurationsinställning Tillåtet omfång för kopieringsåtgärder (förhandsversion).. Egenskapen anges inte som standard och returnerar inte ett värde förrän du uttryckligen har angett den. Den har tre möjliga värden:

• (null) (standard): Tillåt kopiering från valfritt lagringskonto till målkontot.
• Microsoft Entra-ID: Tillåter endast kopiering från konton inom samma Microsoft Entra-klientorganisation som målkontot.
• PrivateLink: Tillåter endast kopiering från lagringskonton som har privata länkar till samma virtuella nätverk som målkontot.

Inställningen gäller för åtgärder för att kopiera blobar och kopiera blobar från URL:er . Exempel på verktyg som använder Kopieringsblob är AzCopy och Azure Storage Explorer.

När källan för en kopieringsbegäran inte uppfyller de krav som anges i den här inställningen misslyckas begäran med HTTP-statuskod 403 (förbjudet).

Egenskapen AllowedCopyScope stöds för lagringskonton som endast använder Azure Resource Manager-distributionsmodellen. Information om vilka lagringskonton som använder Azure Resource Manager-distributionsmodellen finns i Typer av lagringskonton.

Identifiera källlagringskontona för kopieringsåtgärder

Innan du ändrar värdet för AllowedCopyScope för ett lagringskonto ska du identifiera användare, program eller tjänster som skulle påverkas av ändringen. Beroende på dina resultat kan det vara nödvändigt att justera inställningen till ett omfång som innehåller alla önskade kopieringskällor, eller för att justera nätverket eller Microsoft Entra-konfigurationen för vissa av källlagringskontona.

Azure Storage-loggar samlar in information i Azure Monitor om begäranden som görs mot lagringskontot, inklusive källan och målet för kopieringsåtgärder. Mer information finns i Övervaka Azure Storage. Aktivera och analysera loggarna för att identifiera kopieringsåtgärder som kan påverkas genom att ändra AllowedCopyScope för mållagringskontot.

Skapa en diagnostikinställning i Azure-portalen

Om du vill logga Azure Storage-data med Azure Monitor och analysera dem med Azure Log Analytics måste du först skapa en diagnostikinställning som anger vilka typer av begäranden och för vilka lagringstjänster du vill logga data för. Följ dessa steg för att skapa en diagnostikinställning i Azure-portalen:

1. Skapa en ny Log Analytics-arbetsyta i prenumerationen som innehåller ditt Azure Storage-konto eller använd en befintlig Log Analytics-arbetsyta. När du har konfigurerat loggning för ditt lagringskonto blir loggarna tillgängliga på Log Analytics-arbetsytan. Mer information finns i Skapa en Log Analytics-arbetsyta i Azure-portalen.

2. Navigera till ditt lagringskonto i Azure-portalen.

3. I avsnittet Övervakning väljer du Diagnostikinställningar.

4. Välj den Azure Storage-tjänst som du vill logga begäranden för. Välj till exempel blob för att logga begäranden till Blob Storage.

5. Välj Lägg till diagnostikinställning.

6. Ange ett namn för diagnostikinställningen.

7. Under Kategorier går du till avsnittet Loggar och väljer StorageRead, StorageWrite och StorageDelete för att logga alla databegäranden till den valda tjänsten.

8. Under Målinformation väljer du Skicka till Log Analytics-arbetsyta. Välj din prenumeration och Log Analytics-arbetsytan som du skapade tidigare, som du ser i följande bild, och välj sedan Spara.

   

När du har skapat diagnostikinställningen loggas begäranden till lagringskontot därefter enligt den inställningen. Mer information finns i Skapa diagnostikinställning för att samla in resursloggar och mått i Azure.

Frågeloggar för kopieringsbegäranden

Azure Storage-loggar innehåller alla begäranden om att kopiera data till ett lagringskonto från en annan källa. Loggposterna innehåller namnet på mållagringskontot och URI:n för källobjektet, tillsammans med information som hjälper dig att identifiera klienten som begär kopian. En fullständig referens för fält som är tillgängliga i Azure Storage-loggar i Azure Monitor finns i Resursloggar.

Följ dessa steg för att hämta loggar för begäranden om att kopiera blobar som gjorts under de senaste sju dagarna:

1. Navigera till ditt lagringskonto i Azure-portalen.

2. I avsnittet Övervakning väljer du Loggar.

3. Klistra in följande fråga i en ny loggfråga och kör den. Den här frågan visar de källobjekt som oftast refereras i begäranden om att kopiera data till det angivna lagringskontot. I följande exempel ersätter du platshållartexten <account-name> med ditt eget lagringskontonamn.

   StorageBlobLogs
   | where OperationName has "CopyBlobSource" and TimeGenerated > ago(7d) and AccountName == "<account-name>"
   | summarize count() by Uri, CallerIpAddress, UserAgentHeader
   

Resultatet av frågan bör se ut ungefär så här:

URI:n är den fullständiga sökvägen till källobjektet som kopieras, som innehåller lagringskontots namn, containernamnet och filnamnet. I listan över URI:er avgör du om kopieringsåtgärderna skulle blockeras om en specifik AllowedCopyScope-inställning tillämpades.

Du kan också konfigurera en aviseringsregel baserat på den här frågan för att meddela dig om kopieringsblobbegäranden för kontot. Mer information finns i Skapa, visa och hantera loggaviseringar med Hjälp av Azure Monitor.

Begränsa det tillåtna omfånget för kopieringsåtgärder (förhandsversion)

När du är säker på att du på ett säkert sätt kan begränsa källorna för kopieringsbegäranden till ett visst omfång kan du ange egenskapen AllowedCopyScope för lagringskontot till det omfånget.

Behörigheter för att ändra det tillåtna omfånget för kopieringsåtgärder (förhandsversion)

Om du vill ange egenskapen AllowedCopyScope för lagringskontot måste en användare ha behörighet att skapa och hantera lagringskonton. Rollbaserade Azure-åtkomstkontrollroller (Azure RBAC) som ger dessa behörigheter omfattar åtgärden Microsoft.Storage/storageAccounts/write eller Microsoft.Storage/storageAccounts/* . Inbyggda roller med den här åtgärden är:

• Rollen Som Azure Resource Manager-ägare
• Rollen Azure Resource Manager-deltagare
• Rollen Lagringskontodeltagare

Dessa roller ger inte åtkomst till data i ett lagringskonto via Microsoft Entra-ID. De innehåller dock åtgärden Microsoft.Storage/storageAccounts/listkeys/action, som ger åtkomst till kontoåtkomstnycklarna. Med den här behörigheten kan en användare använda kontoåtkomstnycklarna för att komma åt alla data i ett lagringskonto.

Rolltilldelningar måste begränsas till lagringskontots nivå eller högre för att en användare ska kunna begränsa omfånget för kopieringsåtgärder för kontot. Mer information om rollomfång finns i Förstå omfånget för Azure RBAC.

Var noga med att begränsa tilldelningen av dessa roller endast till dem som behöver möjligheten att skapa ett lagringskonto eller uppdatera dess egenskaper. Använd principen om minsta behörighet för att se till att användarna har minst behörighet att utföra sina uppgifter. Mer information om hur du hanterar åtkomst med Azure RBAC finns i Metodtips för Azure RBAC.

Kommentar

De klassiska prenumerationsadministratörsrollerna Tjänstadministratör och medadministratör innehåller motsvarigheten till rollen Azure Resource Manager-ägare. Rollen Ägare innehåller alla åtgärder, så att en användare med någon av dessa administrativa roller också kan skapa och hantera lagringskonton. Mer information finns i Azure-roller , Microsoft Entra-roller och klassiska prenumerationsadministratörsroller.

Konfigurera det tillåtna omfånget för kopieringsåtgärder (förhandsversion)

Med hjälp av ett konto som har nödvändiga behörigheter konfigurerar du det tillåtna omfånget för kopieringsåtgärder i Azure-portalen, med PowerShell eller med hjälp av Azure CLI.

Azure-portalen

Följ dessa steg för att konfigurera det tillåtna omfånget för kopieringsåtgärder för ett befintligt lagringskonto i Azure-portalen:

1. Navigera till ditt lagringskonto i Azure-portalen.

2. Under Inställningar väljer du Konfiguration.

3. Ange Tillåtet omfång för kopieringsåtgärder (förhandsversion) till något av följande:

   • Från valfritt lagringskonto
   • Från lagringskonton i samma Microsoft Entra-klientorganisation
   • Från lagringskonton som har en privat slutpunkt till samma virtuella nätverk

   

4. Välj Spara.

PowerShell

Om du vill konfigurera det tillåtna omfånget för kopieringsåtgärder för ett nytt eller befintligt lagringskonto med PowerShell installerar du Az.Storage PowerShell-modulen version 4.9.0 eller senare. Konfigurera sedan egenskapen AllowedCopyScope för ett nytt eller befintligt lagringskonto. De enda värden som stöds för parametern allowedCopyScope är Microsoft Entra ID eller PrivateLink. Om du vill ange AllowedCopyScope till standardinställningen Från ett lagringskonto måste du ändra det i Azure-portalen.

I följande exempel visas hur du anger egenskapen AllowedCopyScope för ett befintligt lagringskonto så att endast kopiering av data från lagringskonton inom samma Microsoft Entra-klientorganisation tillåts. Ersätt platshållarvärdena i vinkelparenteser (<>) med dina egna värden:

Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -AccountName <storage-account> `
    -allowedCopyScope "AAD"

I följande exempel visas hur du anger egenskapen AllowedCopyScope för ett befintligt lagringskonto så att endast kopiering av data från lagringskonton med privata länkar till samma virtuella nätverk tillåts. Ersätt platshållarvärdena i vinkelparenteser (<>) med dina egna värden:

Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -AccountName <storage-account> `
    -allowedCopyScope "PrivateLink"

Azure CLI

Utför följande steg för att konfigurera det tillåtna omfånget för kopieringsåtgärder för ett nytt eller befintligt lagringskonto med Azure CLI:

1. Installera den senaste versionen av Azure CLI. Mer information finns i Installera Azure CLI.

2. Installera azure CLI Storage Preview-tillägget med kommandot az extension add -n storage-preview.

   Viktigt!

   Förhandsgranskningstillägget för Azure CLI-lagring lägger till stöd för funktioner eller argument som för närvarande finns i FÖRHANDSVERSION.

   Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

3. Använd argumentet az storage account create allowed-copy-scope för kommandot eller az storage account update för att konfigurera egenskapen AllowedCopyScope för ett nytt eller befintligt lagringskonto. De enda värden som stöds för argumentet är Microsoft Entra-ID eller PrivateLink. Om du vill ange AllowedCopyScope till standardinställningen Från ett lagringskonto måste du ändra det i Azure-portalen.

I följande exempel visas hur du konfigurerar egenskapen AllowedCopyScope för ett befintligt lagringskonto så att data endast kan kopieras till målkontot från lagringskonton i samma Microsoft Entra-klientorganisation. Ersätt platshållarvärdena i vinkelparenteser (<>) med dina egna värden:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allowed-copy-scope "AAD"

I följande exempel visas hur du konfigurerar det tillåtna omfånget för kopieringsåtgärder för ett befintligt lagringskonto så att data endast kan kopieras till målkontot från lagringskonton med privata länkar till samma virtuella nätverk. Ersätt platshållarvärdena i vinkelparenteser (<>) med dina egna värden:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allowed-copy-scope "PrivateLink"

Nästa steg

• Kräv säker överföring för att säkerställa säkra anslutningar
• Åtgärda anonym läsåtkomst till blobdata (Azure Resource Manager-distributioner)
• Förhindra auktorisering av delad nyckel för ett Azure Storage-konto