Öğretici: Azure portalını kullanarak bloblara erişimi kısıtlamak için rol atama koşulu ekleme
Çoğu durumda rol ataması, Azure kaynaklarına ihtiyacınız olan izinleri verir. Ancak bazı durumlarda rol atama koşulu ekleyerek daha ayrıntılı erişim denetimi sağlamak isteyebilirsiniz.
Bu öğreticide aşağıdakilerin nasıl yapılacağını öğreneceksiniz:
- Rol atamasına koşul ekleme
- Blob dizin etiketine göre bloblara erişimi kısıtlama
Önemli
Azure öznitelik tabanlı erişim denetimi (Azure ABAC), hem standart hem de premium depolama hesabı performans katmanlarında , environmentresource, ve özniteliklerini kullanarak requestAzure Blob Depolama, Azure Data Lake Storage 2. Nesil ve principal Azure Kuyruklarına erişimi denetlemek için genel olarak kullanılabilir (GA). Şu anda kapsayıcı meta verileri kaynak özniteliği ve liste blobu ekleme isteği özniteliği ÖNİzLEME aşamasındadır. Azure Depolama için ABAC'nin tam özellik durumu bilgileri için bkz. Azure Depolama koşul özelliklerinin durumu.
Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Önkoşullar
Rol atama koşullarını ekleme veya düzenleme önkoşulları hakkında bilgi için bkz . Koşullar önkoşulları.
Koşul
Bu öğreticide, belirli bir etikete sahip bloblara erişimi kısıtlaacaksınız. Örneğin, Chandra'nın yalnızca etiketine Project=Cascadesahip dosyaları okuyabilmesi için rol atamasına bir koşul eklersiniz.
Chandra etiketi Project=Cascadeolmayan bir blobu okumaya çalışırsa erişime izin verilmez.
Koşul kodda şöyle görünür:
(
(
!(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}
AND NOT
SubOperationMatches{'Blob.List'})
)
OR
(
@Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'
)
)
1. Adım: Kullanıcı oluşturma
Azure portalında aboneliğin sahibi olarak oturum açın.
Microsoft Entra Kimlik'i seçin.
Bir kullanıcı oluşturun veya var olan bir kullanıcıyı bulun. Bu öğreticide örnek olarak Chandra kullanılır.
2. Adım: Depolamayı ayarlama
Blob dizin etiketleri özelliğiyle uyumlu bir depolama hesabı oluşturun. Daha fazla bilgi için bkz . Blob dizini etiketleriyle Azure Blob verilerini yönetme ve bulma.
Depolama hesabında yeni bir kapsayıcı oluşturun ve anonim erişim düzeyini Özel (anonim erişim yok) olarak ayarlayın.
Kapsayıcıda Karşıya Yükle'yi seçerek Blobu karşıya yükle bölmesini açın.
Karşıya yüklenecek bir metin dosyası bulun.
Bölmeyi genişletmek için Gelişmiş'i seçin.
Blob dizini etiketleri bölümünde, metin dosyasına aşağıdaki blob dizin etiketini ekleyin.
Blob dizin etiketleri bölümünü görmüyorsanız ve aboneliğinizi yeni kaydettiyseniz değişikliklerin yayılması için birkaç dakika beklemeniz gerekebilir. Daha fazla bilgi için bkz. Azure Blob Depolama verilerini yönetmek ve bulmak için blob dizin etiketlerini kullanma.
Not
Bloblar ayrıca rastgele kullanıcı tanımlı anahtar-değer meta verilerini depolama özelliğini de destekler. Meta veriler blob dizin etiketlerine benzer olsa da, blob dizin etiketlerini koşullarla birlikte kullanmanız gerekir.
Anahtar Değer Project Cascade
Dosyayı karşıya yüklemek için Karşıya Yükle düğmesini seçin.
İkinci bir metin dosyasını karşıya yükleyin.
aşağıdaki blob dizin etiketini ikinci metin dosyasına ekleyin.
Anahtar Değer Project Fırıncı
3. Adım: Depolama blobu veri rolü atama
Kaynak grubunu açın.
Erişim denetimi (IAM) öğesini seçin.
Bu kapsamdaki rol atamalarını görüntülemek için Rol atamaları sekmesine seçin.
Ekle>Rol ataması ekle’yi seçin. Rol ataması ekle sayfası açılır:
- Roller sekmesinde Depolama Blob Veri Okuyucusu rolünü seçin.
- Üyeler sekmesinde, daha önce oluşturduğunuz kullanıcıyı seçin.
(İsteğe bağlı) Açıklama kutusuna Project=Cascade etiketiyle bloblara okuma erişimi girin.
İleri'yi seçin.
4. Adım: Koşul ekleme
- Koşullar (isteğe bağlı) sekmesinde Koşul ekle'yi seçin. Rol ataması koşulu ekle sayfası görüntülenir:
Eylem ekle bölümünde Eylem ekle'yi seçin.
Eylem seçin bölmesi görüntülenir. Bu bölme, koşulunuzun hedefi olacak rol atamasını temel alan filtrelenmiş bir veri eylemleri listesidir. Blob okuma'nın yanındaki kutuyu işaretleyin ve ardından Seç'i seçin:
derleme ifadesi bölümünde İfade ekle'yi seçin.
İfade bölümü genişler.
Aşağıdaki ifade ayarlarını belirtin:
Ayar Value Öznitelik kaynağı Kaynak Öznitelik Blob dizin etiketleri [Anahtardaki değerler] Anahtar Project Operatör StringEqualsIgnoreCase Değer Cascade
Düzenleyici türüne kadar yukarı kaydırın ve Kod'a tıklayın.
Koşul kod olarak görüntülenir. Bu kod düzenleyicisinde koşulda değişiklik yapabilirsiniz. Görsel düzenleyicisine geri dönmek için Görsel'i seçin.
Koşulu eklemek için Kaydet'i seçin ve Rol ataması ekle sayfasına dönün.
İleri'yi seçin.
Gözden Geçir + ata sekmesinde Gözden Geçir + ata'yı seçerek rolü bir koşulla atayın.
Birkaç dakika sonra güvenlik sorumlusuna seçilen kapsamda rol atanmış olur.
5. Adım: Okuyucu rolü atama
Okuyucu rolünü daha önce kaynak grubu kapsamında oluşturduğunuz kullanıcıya atamak için önceki adımları yineleyin.
Not
Genellikle Okuyucu rolünü atamanız gerekmez. Ancak bu, Azure portalını kullanarak koşulu test edebilmeniz için yapılır.
6. Adım: Koşulu test edin
Yeni bir pencerede Azure portalında oturum açın.
Daha önce oluşturduğunuz kullanıcı olarak oturum açın.
Oluşturduğunuz depolama hesabını ve kapsayıcıyı açın.
Kimlik doğrulama yönteminin Access anahtarı değil Microsoft Entra kullanıcı hesabı olarak ayarlandığından emin olun.
Baker metin dosyasını seçin.
Blobu görüntüleyememeli veya indirememelisiniz ve yetkilendirme başarısız iletisi görüntülenmelidir.
Metin dosyasını art arda ekle'yi seçin.
Blobu görüntüleyebilir ve indirebilirsiniz.
7. Adım: Kaynakları temizleme
Eklediğiniz rol atamasını kaldırın.
Oluşturduğunuz test depolama hesabını silin.
Oluşturduğunuz kullanıcıyı silin.