Azure rol atama koşullarını kullanarak kuyruklara erişimi yetkilendirme

Öznitelik tabanlı erişim denetimi (ABAC), güvenlik sorumlusu, kaynak, ortam ve isteğin kendisi gibi bir erişim isteğiyle ilişkili özniteliklere göre erişim düzeylerini tanımlayan bir yetkilendirme stratejisidir. ABAC ile Azure rol atama koşullarına göre bir kaynağa güvenlik sorumlusu erişimi vekleyebilirsiniz.

Önemli

Azure öznitelik tabanlı erişim denetimi (Azure ABAC), hem standart hem de premium depolama hesabı performans katmanlarında , environmentresource, ve özniteliklerini kullanarak requestAzure Blob Depolama, Azure Data Lake Storage 2. Nesil ve principal Azure Kuyruklarına erişimi denetlemek için genel olarak kullanılabilir (GA). Şu anda kapsayıcı meta verileri kaynak özniteliği ve liste blobu ekleme isteği özniteliği ÖNİzLEME aşamasındadır. Azure Depolama için ABAC'nin tam özellik durumu bilgileri için bkz. Azure Depolama koşul özelliklerinin durumu.

Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Azure Depolama koşullarına genel bakış

Azure RBAC kullanarak Azure depolama kaynaklarına yönelik istekleri yetkilendirmek için Microsoft Entra Id (Microsoft Entra ID) kullanabilirsiniz. Azure RBAC, rol tanımlarını ve rol atamalarını kullanarak kaynaklara kimlerin erişimi olduğunu ve bu kaynaklarla neler yapabileceklerini tanımlayarak kaynaklara erişimi yönetmenize yardımcı olur. Azure Depolama, Azure depolama verilerine erişmek için kullanılan ortak izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar. Belirli izin kümeleriyle özel roller de tanımlayabilirsiniz. Azure Depolama hem depolama hesapları hem de blob kapsayıcıları veya kuyruklar için rol atamalarını destekler.

Azure ABAC, belirli eylemler bağlamında rol atama koşulları ekleyerek Azure RBAC üzerinde derleme yapar. Rol atama koşulu, depolama kaynağındaki eylem yetkilendirildiğinde değerlendirilen ek bir denetimdir. Bu koşul, aşağıdakilerden biriyle ilişkili öznitelikler kullanılarak bir koşul olarak ifade edilir:

• Yetkilendirme isteyen güvenlik sorumlusu
• Erişim istenen kaynak
• İsteğin parametreleri
• İsteğin kaynaklandığı ortam

Rol atama koşullarını kullanmanın avantajları şunlardır:

• Kaynaklara daha ayrıntılı erişimi etkinleştirme - Örneğin, bir kullanıcıya belirli bir kuyruktaki iletilere göz atma erişimi vermek istiyorsanız, DataAction ve kuyruk adı depolama özniteliğini göz atma iletilerini kullanabilirsiniz.
• Oluşturmanız ve yönetmeniz gereken rol atamalarının sayısını azaltın - Bunu, güvenlik grubu için genelleştirilmiş bir rol ataması kullanarak ve sonra erişilmekte olan belirli bir kaynağın öznitelikleriyle (kuyruk gibi) bir sorumlunun öznitelikleriyle eşleşen bir koşul kullanarak grubun tek tek üyelerine erişimi kısıtlayarak yapabilirsiniz.
• İş anlamı olan öznitelikler açısından hızlı erişim denetimi kuralları - Örneğin, proje adını, iş uygulamasını, kuruluş işlevini veya sınıflandırma düzeyini temsil eden öznitelikleri kullanarak koşullarınızı ifade edebilirsiniz.

Koşulları kullanmanın dezavantajı, kuruluşunuz genelinde öznitelikleri kullanırken yapılandırılmış ve tutarlı bir taksonomiye ihtiyacınız olmasıdır. Erişimin gizliliğinin tehlikeye girmesini önlemek için özniteliklerin korunması gerekir. Ayrıca, koşulların etkisi için dikkatlice tasarlanması ve gözden geçirilmesi gerekir.

Desteklenen öznitelikler ve işlemler

Bu hedeflere ulaşmak için DataActions rol atamalarında koşulları yapılandırabilirsiniz. Koşulları özel bir rolle kullanabilir veya yerleşik rolleri seçebilirsiniz. Koşulların, Depolama kaynak sağlayıcısı aracılığıyla yönetim Eylemleri için desteklenmediğini unutmayın.

Yerleşik rollere veya özel rollere koşullar ekleyebilirsiniz. Rol atama koşullarını kullanabileceğiniz yerleşik roller şunlardır:

• Kuyruk Verileri Katkıda Bulunanı'Depolama
• Kuyruk Veri İletisi İşlemcisi'Depolama
• Kuyruk Veri İletisi Göndereni Depolama
• Kuyruk Veri Okuyucusu'Depolama

Koşullar, rol koşulları destekleyen eylemler içerdiği sürece özel rollerle birlikte kullanabilirsiniz.

Azure rol atama koşulu biçimi, koşullarda veya @Resource@Request özniteliklerinin kullanılmasına @Principalizin verir. @Principal Öznitelik, kullanıcı, kurumsal uygulama (hizmet sorumlusu) veya yönetilen kimlik gibi bir sorumludaki özel bir güvenlik özniteliğidir. @Resource Öznitelik, depolama hesabı veya kuyruk gibi erişilmekte olan bir depolama kaynağının mevcut özniteliğini ifade eder. @Request Öznitelik, depolama işlemi isteğine dahil edilen bir özniteliği veya parametreyi ifade eder.

Azure RBAC şu anda bir abonelikte 2.000 rol ataması destekler. Binlerce Azure rol ataması oluşturmanız gerekiyorsa bu sınırla karşılaşabilirsiniz. Yüzlerce veya binlerce rol atamasını yönetmek zor olabilir. Bazı durumlarda, depolama hesabınızdaki rol atamalarının sayısını azaltmak ve bunların yönetilmesini kolaylaştırmak için koşulları kullanabilirsiniz. Sorumlular için koşulları ve Microsoft Entra özel güvenlik özniteliklerini kullanarak rol atamalarının yönetimini ölçeklendikleyebilirsiniz.

Sonraki adımlar

• Azure rol atama koşulları için önkoşullar
• Azure Depolama'da Azure rol atama koşullarına yönelik eylemler ve öznitelikler
• Örnek Azure rol atama koşulları
• Azure rol ataması koşullarını giderme

Ayrıca bkz.

• Azure öznitelik tabanlı erişim denetimi (Azure ABAC) nedir?
• Azure rol atama koşulları hakkında SSS
• Azure rol atama koşulu biçimi ve söz dizimi
• Koşulları ve özel güvenlik özniteliklerini kullanarak Azure rol atamalarının yönetimini ölçeklendirme
• Azure Depolama'da Azure rol atama koşullarıyla ilgili güvenlik konuları