Aracılığıyla paylaş


Azure rol atama koşullarını kullanarak Azure Blob Depolama erişimi yetkilendirme

Öznitelik tabanlı erişim denetimi (ABAC), güvenlik sorumluları, kaynaklar, ortam ve isteklerin kendileri ile ilişkili özniteliklere göre erişim düzeylerini tanımlayan bir yetkilendirme stratejisidir. ABAC ile, bu öznitelikleri kullanarak koşul olarak ifade edilen bir koşula dayalı olarak bir kaynağa güvenlik sorumlusu erişimi vekleyebilirsiniz.

Azure ABAC, Azure rol atamalarına koşullar ekleyerek Azure rol tabanlı erişim denetimini (Azure RBAC) temel alır. Sorumlu, kaynak, istek ve ortam özniteliklerine göre rol atama koşulları yazmanızı sağlar.

Önemli

Azure öznitelik tabanlı erişim denetimi (Azure ABAC), hem standart hem de premium depolama hesabı performans katmanlarında , environmentresource, ve özniteliklerini kullanarak requestAzure Blob Depolama, Azure Data Lake Storage 2. Nesil ve principal Azure Kuyruklarına erişimi denetlemek için genel olarak kullanılabilir (GA). Şu anda kapsayıcı meta verileri kaynak özniteliği ve liste blobu ekleme isteği özniteliği ÖNİzLEME aşamasındadır. Azure Depolama için ABAC'nin tam özellik durumu bilgileri için bkz . Azure Depolama'daki koşul özelliklerinin durumu.

Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Azure Depolama'daki koşullara genel bakış

Azure RBAC kullanarak Azure depolama kaynaklarına yönelik istekleri yetkilendirmek için Microsoft Entra Id (Microsoft Entra ID) kullanabilirsiniz. Azure RBAC, rol tanımlarını ve rol atamalarını kullanarak kaynaklara kimlerin erişimi olduğunu ve bu kaynaklarla neler yapabileceklerini tanımlayarak kaynaklara erişimi yönetmenize yardımcı olur. Azure Depolama, Azure depolama verilerine erişmek için kullanılan ortak izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar. Belirli izin kümeleriyle özel roller de tanımlayabilirsiniz. Azure Depolama hem depolama hesapları hem de blob kapsayıcıları için rol atamalarını destekler.

Azure ABAC, belirli eylemler bağlamında rol atama koşulları ekleyerek Azure RBAC üzerinde derleme yapar. Rol atama koşulu, depolama kaynağındaki eylem yetkilendirildiğinde değerlendirilen ek bir denetimdir. Bu koşul, aşağıdakilerden biriyle ilişkili öznitelikler kullanılarak bir koşul olarak ifade edilir:

  • Yetkilendirme isteyen güvenlik sorumlusu
  • Erişim istenen kaynak
  • İsteğin parametreleri
  • İsteğin yapıldığı ortam

Rol atama koşullarını kullanmanın avantajları şunlardır:

  • Kaynaklara daha ayrıntılı erişimi etkinleştirme - Örneğin, bir kullanıcıya depolama hesaplarınızdaki bloblara yalnızca bloblar Project=Sierra olarak etiketlenmişse okuma erişimi vermek istiyorsanız, öznitelik olarak etiketleri kullanarak okuma eylemindeki koşulları kullanabilirsiniz.
  • Oluşturup yönetmeniz gereken rol atamalarının sayısını azaltın - Bunu, güvenlik grubu için genelleştirilmiş bir rol ataması kullanarak ve ardından erişilmekte olan belirli bir kaynağın öznitelikleriyle (blob veya kapsayıcı gibi) bir sorumlunun öznitelikleriyle eşleşen bir koşul kullanarak grubun tek tek üyelerine erişimi kısıtlayarak yapabilirsiniz.
  • İş anlamı olan öznitelikler açısından hızlı erişim denetimi kuralları - Örneğin, proje adını, iş uygulamasını, kuruluş işlevini veya sınıflandırma düzeyini temsil eden öznitelikleri kullanarak koşullarınızı ifade edebilirsiniz.

Koşulları kullanmanın dezavantajı, kuruluşunuz genelinde öznitelikleri kullanırken yapılandırılmış ve tutarlı bir taksonomiye ihtiyacınız olmasıdır. Erişimin gizliliğinin tehlikeye girmesini önlemek için özniteliklerin korunması gerekir. Ayrıca, koşulların etkisi için dikkatlice tasarlanması ve gözden geçirilmesi gerekir.

Azure Depolama'daki rol atama koşulları, Azure blob depolama için desteklenir. Ayrıca, hiyerarşik ad alanı (HNS) özelliğinin etkinleştirildiği hesaplarla (Data Lake Storage) koşulları da kullanabilirsiniz.

Desteklenen öznitelikler ve işlemler

Bu hedeflere ulaşmak için DataActions rol atamalarında koşulları yapılandırabilirsiniz. Koşulları özel bir rolle kullanabilir veya yerleşik rolleri seçebilirsiniz. Depolama kaynak sağlayıcısı aracılığıyla yönetim Eylemleri için koşullar desteklenmez.

Yerleşik rollere veya özel rollere koşullar ekleyebilirsiniz. Rol atama koşullarını kullanabileceğiniz yerleşik roller şunlardır:

Koşullar, rol koşulları destekleyen eylemler içerdiği sürece özel rollerle birlikte kullanabilirsiniz.

Blob dizini etiketlerini temel alan koşullarla çalışıyorsanız, etiket işlemlerine yönelik izinler bu role dahil olduğundan Depolama Blobu Veri Sahibi'ni kullanmanız gerekir.

Not

Blob dizin etiketleri, hiyerarşik ad alanı kullanan Data Lake Storage depolama hesapları için desteklenmez. HNS'nin etkinleştirildiği depolama hesaplarında dizin etiketlerini kullanarak rol atama koşulları yazmamalısınız.

Azure rol atama koşulu biçimi, koşullarda , @Resource@Request veya @Environment özniteliklerinin kullanılmasına @Principalizin verir. @Principal Öznitelik, kullanıcı, kurumsal uygulama (hizmet sorumlusu) veya yönetilen kimlik gibi bir sorumludaki özel bir güvenlik özniteliğidir. @Resource Öznitelik, depolama hesabı, kapsayıcı veya blob gibi erişilmekte olan bir depolama kaynağının mevcut özniteliğini ifade eder. @Request Öznitelik, depolama işlemi isteğine dahil edilen bir özniteliği veya parametreyi ifade eder. Öznitelik @Environment , ağ ortamını veya isteğin tarih ve saatini ifade eder.

Azure RBAC, abonelik başına sınırlı sayıda rol ataması destekler. Binlerce Azure rol ataması oluşturmanız gerekiyorsa bu sınırla karşılaşabilirsiniz. Yüzlerce veya binlerce rol atamasını yönetmek zor olabilir. Bazı durumlarda, depolama hesabınızdaki rol atamalarının sayısını azaltmak ve bunların yönetilmesini kolaylaştırmak için koşulları kullanabilirsiniz. Sorumlular için koşulları ve Microsoft Entra özel güvenlik özniteliklerini kullanarak rol atamalarının yönetimini ölçeklendikleyebilirsiniz.

Azure Depolama'daki koşul özelliklerinin durumu

Azure öznitelik tabanlı erişim denetimi (Azure ABAC), hem standart hem de premium depolama hesabı performans katmanlarında , resource, environmentve özniteliklerini kullanarak requestAzure Blob Depolama, Azure Data Lake Storage ve principal Azure Kuyruklarına erişimi denetlemek için genel olarak kullanılabilir (GA). Şu anda kapsayıcı meta verileri kaynak özniteliği ve liste blobu ekleme isteği özniteliği ÖNİzLEME aşamasındadır.

Aşağıdaki tabloda depolama kaynak türüne ve öznitelik türüne göre ABAC'nin geçerli durumu gösterilmektedir. Belirli öznitelikler için özel durumlar da gösterilir.

Kaynak türleri Öznitelik türleri Özellikler Kullanılabilirlik
Bloblar
Data Lake Storage
Kuyruklar
İstek
Kaynak
Ortam
Asıl
Bu tabloda not edilenler dışındaki tüm öznitelikler GA
Data Lake Storage Kaynak Anlık Görüntü Önizle
Bloblar
Data Lake Storage
Kaynak Kapsayıcı meta verileri Önizle
Bloblar İstek Liste blobu ekleme Önizle

Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Not

Bazı depolama özellikleri, hiyerarşik ad alanı (HNS) kullanan Data Lake Storage depolama hesapları için desteklenmez. Daha fazla bilgi edinmek için bkz . Blob depolama özelliği desteği.

Depolama hesabı için hiyerarşik ad alanı etkinleştirildiğinde aşağıdaki ABAC öznitelikleri desteklenmez:

Sonraki adımlar

Ayrıca bkz.