Auktorisera åtkomst till köer med hjälp av villkor för Rolltilldelning i Azure

Attributbaserad åtkomstkontroll (ABAC) är en auktoriseringsstrategi som definierar åtkomstnivåer baserat på attribut som är associerade med en åtkomstbegäran, till exempel säkerhetsobjektet, resursen, miljön och själva begäran. Med ABAC kan du bevilja ett säkerhetsobjekt åtkomst till en resurs baserat på villkor för Rolltilldelning i Azure.

Viktigt!

Azure-attributbaserad åtkomstkontroll (Azure ABAC) är allmänt tillgänglig (GA) för att styra åtkomsten till Azure Blob Storage, Azure Data Lake Storage Gen2 och Azure Queues med hjälp av request, resourceoch environmentprincipal attribut på prestandanivåerna för både standard- och Premium Storage-konton. För närvarande finns resursattributet för containermetadata och listbloben med begärandeattributet i FÖRHANDSVERSION. Fullständig information om funktionsstatus för ABAC för Azure Storage finns i Status för villkorsfunktioner i Azure Storage.

Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.

Översikt över villkor i Azure Storage

Du kan använda Microsoft Entra ID (Microsoft Entra ID) för att auktorisera begäranden till Azure Storage-resurser med hjälp av Azure RBAC. Azure RBAC hjälper dig att hantera åtkomst till resurser genom att definiera vem som har åtkomst till resurser och vad de kan göra med dessa resurser, med hjälp av rolldefinitioner och rolltilldelningar. Azure Storage definierar en uppsättning inbyggda Azure-roller som omfattar vanliga uppsättningar med behörigheter som används för åtkomst till Azure-lagringsdata. Du kan också definiera anpassade roller med utvalda uppsättningar med behörigheter. Azure Storage stöder rolltilldelningar för både lagringskonton och blobcontainrar eller köer.

Azure ABAC bygger på Azure RBAC genom att lägga till rolltilldelningsvillkor i kontexten för specifika åtgärder. Ett villkor för rolltilldelning är en ytterligare kontroll som utvärderas när åtgärden på lagringsresursen auktoriseras. Det här villkoret uttrycks som ett predikat med hjälp av attribut som är associerade med något av följande:

• Säkerhetsobjekt som begär auktorisering
• Resurs som åtkomst begärs till
• Parametrar för begäran
• Miljö som begäran kommer från

Fördelarna med att använda rolltilldelningsvillkor är:

• Aktivera begränsad åtkomst till resurser – Om du till exempel vill ge en användare åtkomst för att granska meddelanden i en specifik kö kan du använda peek messages DataAction och lagringsattributet för könamn.
• Minska antalet rolltilldelningar som du måste skapa och hantera – Du kan göra det genom att använda en generaliserad rolltilldelning för en säkerhetsgrupp och sedan begränsa åtkomsten för enskilda medlemmar i gruppen med hjälp av ett villkor som matchar attribut för ett huvudnamn med attribut för en specifik resurs som används (till exempel en kö).
• Regler för expressåtkomstkontroll när det gäller attribut med affärsbetydelser – Du kan till exempel uttrycka dina villkor med hjälp av attribut som representerar ett projektnamn, ett affärsprogram, en organisationsfunktion eller en klassificeringsnivå.

Kompromissen med att använda villkor är att du behöver en strukturerad och konsekvent taxonomi när du använder attribut i hela organisationen. Attribut måste skyddas för att förhindra att åtkomsten komprometteras. Dessutom måste villkoren noggrant utformas och granskas för deras effekt.

Attribut och åtgärder som stöds

Du kan konfigurera villkor för rolltilldelningar för DataActions för att uppnå dessa mål. Du kan använda villkor med en anpassad roll eller välja inbyggda roller. Observera att villkor inte stöds för hanteringsåtgärder via lagringsresursprovidern.

Du kan lägga till villkor i inbyggda roller eller anpassade roller. De inbyggda roller där du kan använda rolltilldelningsvillkor är:

• Lagringsködatadeltagare
• Datameddelandeprocessor för lagringskö
• Meddelandesändare för lagringskö
• Dataläsare för lagringskö

Du kan använda villkor med anpassade roller så länge rollen innehåller åtgärder som stöder villkor.

Villkorsformatet för Azure-rolltilldelning tillåter användning av @Principal, @Resource eller @Request attribut i villkoren. Ett @Principal attribut är ett anpassat säkerhetsattribut för ett huvudnamn, till exempel en användare, ett företagsprogram (tjänstens huvudnamn) eller en hanterad identitet. Ett @Resource attribut refererar till ett befintligt attribut för en lagringsresurs som används, till exempel ett lagringskonto eller en kö. Ett @Request attribut refererar till ett attribut eller en parameter som ingår i en lagringsåtgärdsbegäran.

Azure RBAC stöder för närvarande 2 000 rolltilldelningar i en prenumeration. Om du behöver skapa tusentals Azure-rolltilldelningar kan du stöta på den här gränsen. Det kan vara svårt att hantera hundratals eller tusentals rolltilldelningar. I vissa fall kan du använda villkor för att minska antalet rolltilldelningar på ditt lagringskonto och göra dem enklare att hantera. Du kan skala hanteringen av rolltilldelningar med hjälp av villkor och anpassade säkerhetsattribut för Microsoft Entra för huvudnamn.

Nästa steg

• Förutsättningar för villkor för Tilldelning av Azure-roller
• Åtgärder och attribut för tilldelningsvillkor för Azure-roller i Azure Storage
• Exempel på villkor för Rolltilldelning i Azure
• Felsöka villkor för Rolltilldelning i Azure

Se även

• Vad är azure-attributbaserad åtkomstkontroll (Azure ABAC)?
• Vanliga frågor och svar om villkor för Rolltilldelning i Azure
• Villkorsformat och syntax för Azure-rolltilldelning
• Skala hanteringen av Rolltilldelningar i Azure med hjälp av villkor och anpassade säkerhetsattribut
• Säkerhetsöverväganden för tilldelningsvillkor för Azure-roller i Azure Storage