Azure rol atama koşullarını kullanarak Azure Blob Depolama erişimi yetkilendirme
Öznitelik tabanlı erişim denetimi (ABAC), güvenlik sorumluları, kaynaklar, ortam ve isteklerin kendileri ile ilişkili özniteliklere göre erişim düzeylerini tanımlayan bir yetkilendirme stratejisidir. ABAC ile, bu öznitelikleri kullanarak koşul olarak ifade edilen bir koşula dayalı olarak bir kaynağa güvenlik sorumlusu erişimi vekleyebilirsiniz.
Azure ABAC, Azure rol atamalarına koşullar ekleyerek Azure rol tabanlı erişim denetimini (Azure RBAC) temel alır. Sorumlu, kaynak, istek ve ortam özniteliklerine göre rol atama koşulları yazmanızı sağlar.
Önemli
Azure öznitelik tabanlı erişim denetimi (Azure ABAC), hem standart hem de premium depolama hesabı performans katmanlarında , environmentresource, ve özniteliklerini kullanarak requestAzure Blob Depolama, Azure Data Lake Storage 2. Nesil ve principal Azure Kuyruklarına erişimi denetlemek için genel olarak kullanılabilir (GA). Şu anda kapsayıcı meta verileri kaynak özniteliği ve liste blobu ekleme isteği özniteliği ÖNİzLEME aşamasındadır. Azure Depolama için ABAC'nin tam özellik durumu bilgileri için bkz. Azure Depolama koşul özelliklerinin durumu.
Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Azure Depolama koşullarına genel bakış
Azure RBAC kullanarak Azure depolama kaynaklarına yönelik istekleri yetkilendirmek için Microsoft Entra Id (Microsoft Entra ID) kullanabilirsiniz. Azure RBAC, rol tanımlarını ve rol atamalarını kullanarak kaynaklara kimlerin erişimi olduğunu ve bu kaynaklarla neler yapabileceklerini tanımlayarak kaynaklara erişimi yönetmenize yardımcı olur. Azure Depolama, Azure depolama verilerine erişmek için kullanılan ortak izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar. Belirli izin kümeleriyle özel roller de tanımlayabilirsiniz. Azure Depolama hem depolama hesapları hem de blob kapsayıcıları için rol atamalarını destekler.
Azure ABAC, belirli eylemler bağlamında rol atama koşulları ekleyerek Azure RBAC üzerinde derleme yapar. Rol atama koşulu, depolama kaynağındaki eylem yetkilendirildiğinde değerlendirilen ek bir denetimdir. Bu koşul, aşağıdakilerden biriyle ilişkili öznitelikler kullanılarak bir koşul olarak ifade edilir:
- Yetkilendirme isteyen güvenlik sorumlusu
- Erişim istenen kaynak
- İsteğin parametreleri
- İsteğin yapıldığı ortam
Rol atama koşullarını kullanmanın avantajları şunlardır:
- Kaynaklara daha ayrıntılı erişimi etkinleştirme - Örneğin, bir kullanıcıya depolama hesaplarınızdaki bloblara yalnızca bloblar Project=Sierra olarak etiketlenmişse okuma erişimi vermek istiyorsanız, öznitelik olarak etiketleri kullanarak okuma eylemindeki koşulları kullanabilirsiniz.
- Oluşturup yönetmeniz gereken rol atamalarının sayısını azaltın - Bunu, güvenlik grubu için genelleştirilmiş bir rol ataması kullanarak ve ardından erişilmekte olan belirli bir kaynağın öznitelikleriyle (blob veya kapsayıcı gibi) bir sorumlunun öznitelikleriyle eşleşen bir koşul kullanarak grubun tek tek üyelerine erişimi kısıtlayarak yapabilirsiniz.
- İş anlamı olan öznitelikler açısından hızlı erişim denetimi kuralları - Örneğin, proje adını, iş uygulamasını, kuruluş işlevini veya sınıflandırma düzeyini temsil eden öznitelikleri kullanarak koşullarınızı ifade edebilirsiniz.
Koşulları kullanmanın dezavantajı, kuruluşunuz genelinde öznitelikleri kullanırken yapılandırılmış ve tutarlı bir taksonomiye ihtiyacınız olmasıdır. Erişimin gizliliğinin tehlikeye girmesini önlemek için özniteliklerin korunması gerekir. Ayrıca, koşulların etkisi için dikkatlice tasarlanması ve gözden geçirilmesi gerekir.
Azure blob depolama için Azure Depolama rol atama koşulları desteklenir. Ayrıca, hiyerarşik ad alanı (HNS) özelliğinin etkinleştirildiği hesaplarla (Data Lake Storage 2. Nesil) koşulları da kullanabilirsiniz.
Desteklenen öznitelikler ve işlemler
Bu hedeflere ulaşmak için DataActions rol atamalarında koşulları yapılandırabilirsiniz. Koşulları özel bir rolle kullanabilir veya yerleşik rolleri seçebilirsiniz. Koşullar, Depolama kaynak sağlayıcısı aracılığıyla yönetim Eylemleri için desteklenmez.
Yerleşik rollere veya özel rollere koşullar ekleyebilirsiniz. Rol atama koşullarını kullanabileceğiniz yerleşik roller şunlardır:
- Depolama Blob Verileri Okuyucusu
- Depolama Blob Verileri Katkıda Bulunanı
- Depolama Blob Verileri Sahibi
Koşullar, rol koşulları destekleyen eylemler içerdiği sürece özel rollerle birlikte kullanabilirsiniz.
Blob dizin etiketlerini temel alan koşullarla çalışıyorsanız, etiket işlemlerine yönelik izinler bu role dahil olduğundan Depolama Blob Veri Sahibi'ni kullanmanız gerekir.
Not
Blob dizin etiketleri, hiyerarşik ad alanı kullanan Data Lake Storage 2. Nesil depolama hesapları için desteklenmez. HNS'nin etkinleştirildiği depolama hesaplarında dizin etiketlerini kullanarak rol atama koşulları yazmamalısınız.
Azure rol atama koşulu biçimi, koşullarda , @Resource@Request veya @Environment özniteliklerinin kullanılmasına @Principalizin verir. @Principal Öznitelik, kullanıcı, kurumsal uygulama (hizmet sorumlusu) veya yönetilen kimlik gibi bir sorumludaki özel bir güvenlik özniteliğidir. @Resource Öznitelik, depolama hesabı, kapsayıcı veya blob gibi erişilmekte olan bir depolama kaynağının mevcut özniteliğini ifade eder. @Request Öznitelik, depolama işlemi isteğine dahil edilen bir özniteliği veya parametreyi ifade eder. Öznitelik @Environment , ağ ortamını veya isteğin tarih ve saatini ifade eder.
Azure RBAC, abonelik başına sınırlı sayıda rol ataması destekler. Binlerce Azure rol ataması oluşturmanız gerekiyorsa bu sınırla karşılaşabilirsiniz. Yüzlerce veya binlerce rol atamasını yönetmek zor olabilir. Bazı durumlarda, depolama hesabınızdaki rol atamalarının sayısını azaltmak ve bunların yönetilmesini kolaylaştırmak için koşulları kullanabilirsiniz. Sorumlular için koşulları ve Microsoft Entra özel güvenlik özniteliklerini kullanarak rol atamalarının yönetimini ölçeklendikleyebilirsiniz.
Azure Depolama'deki koşul özelliklerinin durumu
Azure öznitelik tabanlı erişim denetimi (Azure ABAC), hem standart hem de premium depolama hesabı performans katmanlarında , environmentresource, ve özniteliklerini kullanarak requestAzure Blob Depolama, Azure Data Lake Storage 2. Nesil ve principal Azure Kuyruklarına erişimi denetlemek için genel olarak kullanılabilir (GA). Şu anda kapsayıcı meta verileri kaynak özniteliği ve liste blobu ekleme isteği özniteliği ÖNİzLEME aşamasındadır.
Aşağıdaki tabloda depolama kaynak türüne ve öznitelik türüne göre ABAC'nin geçerli durumu gösterilmektedir. Belirli öznitelikler için özel durumlar da gösterilir.
| Kaynak türleri | Öznitelik türleri | Özellikler | Kullanılabilirlik |
|---|---|---|---|
| Bloblar Data Lake Storage Gen2 Kuyruklar |
İstek Kaynak Ortam Asıl |
Bu tabloda not edilenler dışındaki tüm öznitelikler | GA |
| Data Lake Storage Gen2 | Kaynak | Anlık Görüntü | Önizle |
| Bloblar Data Lake Storage Gen2 |
Kaynak | Kapsayıcı meta verileri | Önizle |
| Bloblar | İstek | Liste blobu ekleme | Önizle |
Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Not
Bazı depolama özellikleri, hiyerarşik ad alanı (HNS) kullanan Data Lake Storage 2. Nesil depolama hesapları için desteklenmez. Daha fazla bilgi edinmek için bkz . Blob depolama özelliği desteği.
Depolama hesabı için hiyerarşik ad alanı etkinleştirildiğinde aşağıdaki ABAC öznitelikleri desteklenmez:
Sonraki adımlar
- Azure rol atama koşulları için önkoşullar
- Öğretici: Azure portalını kullanarak bloblara erişimi kısıtlamak için rol atama koşulu ekleme
- Azure Depolama'da Azure rol atama koşullarına yönelik eylemler ve öznitelikler
- Örnek Azure rol atama koşulları
- Azure rol ataması koşullarını giderme
Ayrıca bkz.
- Azure öznitelik tabanlı erişim denetimi (Azure ABAC) nedir?
- Azure rol atama koşulları hakkında SSS
- Azure rol atama koşulu biçimi ve söz dizimi
- Koşulları ve özel güvenlik özniteliklerini kullanarak Azure rol atamalarının yönetimini ölçeklendirme
- Azure Depolama'da Azure rol atama koşullarıyla ilgili güvenlik konuları
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin