Autorizace přístupu ke službě Azure Blob Storage pomocí podmínek přiřazení role Azure
Řízení přístupu na základě atributů (ABAC) je strategie autorizace, která definuje úrovně přístupu na základě atributů přidružených k objektům zabezpečení, prostředkům, prostředí a samotným požadavkům. Pomocí ABAC můžete objektu zabezpečení udělit přístup k prostředku na základě podmínky vyjádřené jako predikát pomocí těchto atributů.
Azure ABAC vychází z řízení přístupu na základě role v Azure (Azure RBAC) přidáním podmínek do přiřazení rolí Azure. Umožňuje vytvářet podmínky přiřazení role na základě atributů objektu zabezpečení, prostředku, požadavku a prostředí.
Důležité
Řízení přístupu na základě atributů Azure (Azure ABAC) je obecně dostupné (GA) pro řízení přístupu ke službě Azure Blob Storage, Azure Data Lake Storage Gen2 a Frontám Azure pomocí request
resource
environment
, a atributů v úrovních výkonu účtu služby Azure Storage úrovně Standard i principal
Premium Storage. Atribut prostředku metadat kontejneru a objekt blob seznamu obsahují atribut požadavku v náhledu. Úplné informace o stavu funkcí ABAC pro Azure Storage najdete v tématu Stav funkcí podmínky ve službě Azure Storage.
Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.
Přehled podmínek ve službě Azure Storage
K autorizaci požadavků na prostředky úložiště Azure pomocí Azure RBAC můžete použít Microsoft Entra ID (Microsoft Entra ID). Azure RBAC pomáhá spravovat přístup k prostředkům tím, že definuje, kdo má přístup k prostředkům a co může s těmito prostředky dělat, pomocí definic rolí a přiřazení rolí. Azure Storage definuje sadu předdefinovaných rolí Azure, které zahrnují běžné sady oprávnění používaných pro přístup k datům úložiště Azure. Vlastní role můžete definovat také pomocí vybraných sad oprávnění. Azure Storage podporuje přiřazení rolí pro účty úložiště i kontejnery objektů blob.
Azure ABAC staví na Azure RBAC přidáním podmínek přiřazení rolí v kontextu konkrétních akcí. Podmínka přiřazení role je další kontrola, která se vyhodnocuje při autorizaci akce s prostředkem úložiště. Tato podmínka je vyjádřena jako predikát pomocí atributů přidružených k některé z následujících:
- Objekt zabezpečení, který žádá o autorizaci
- Prostředek, ke kterému se požaduje přístup
- Parametry požadavku
- Prostředí, ve kterém se požadavek provádí
Výhody používání podmínek přiřazení rolí:
- Povolte jemně odstupňovaný přístup k prostředkům – například pokud chcete uživateli udělit přístup pro čtení k objektům blob v účtech úložiště jenom v případě, že jsou objekty blob označené jako Project=Sierra, můžete použít podmínky pro akci čtení pomocí značek jako atributu.
- Snižte počet přiřazení rolí, které musíte vytvořit a spravovat – můžete to provést pomocí zobecněného přiřazení role pro skupinu zabezpečení a následným omezením přístupu jednotlivých členů skupiny pomocí podmínky, která odpovídá atributům objektu zabezpečení s atributy konkrétního prostředku, ke kterému se přistupuje (například k objektu blob nebo kontejneru).
- Pravidla expresního řízení přístupu z hlediska atributů s obchodním významem – můžete například vyjádřit své podmínky pomocí atributů, které představují název projektu, obchodní aplikaci, funkci organizace nebo úroveň klasifikace.
Kompromisem při používání podmínek je, že při používání atributů ve vaší organizaci potřebujete strukturovanou a konzistentní taxonomii. Atributy musí být chráněné, aby se zabránilo ohrožení přístupu. Podmínky musí být také pečlivě navrženy a zkontrolovány pro jejich účinek.
Podmínky přiřazení role ve službě Azure Storage se podporují pro úložiště objektů blob v Azure. Podmínky můžete použít také u účtů s povoleným funkcí hierarchického oboru názvů (HNS) (Data Lake Storage).
Podporované atributy a operace
K dosažení těchto cílů můžete nakonfigurovat podmínky přiřazení rolí pro DataActions . Podmínky můžete použít s vlastní rolí nebo vybrat předdefinované role. Upozorňujeme, že podmínky nejsou podporované pro akce správy prostřednictvím poskytovatele prostředků úložiště.
Do předdefinovaných rolí nebo vlastních rolí můžete přidat podmínky. Mezi předdefinované role, pro které můžete použít podmínky přiřazení role, patří:
- Čtenář dat v objektech blob služby Storage
- Přispěvatel dat v objektech blob služby Storage
- Vlastník dat v objektech blob služby Storage
Podmínky můžete použít s vlastními rolemi, pokud role zahrnuje akce, které podporují podmínky.
Pokud pracujete s podmínkami založenými na značkách indexu objektů blob, měli byste použít vlastníka dat objektu blob úložiště, protože oprávnění pro operace značek jsou součástí této role.
Poznámka:
Značky indexu objektů blob nejsou podporovány pro účty úložiště Data Lake Storage, které používají hierarchický obor názvů. Podmínky přiřazení role byste neměli vytvářet pomocí značek indexu u účtů úložiště, které mají povolenou službu HNS.
Formát podmínky přiřazení role Azure umožňuje použití atributu @Principal
, @Resource
@Request
nebo @Environment
atributů v podmínkách. Atribut @Principal
je vlastní atribut zabezpečení objektu zabezpečení, jako je uživatel, podniková aplikace (instanční objekt) nebo spravovaná identita. Atribut @Resource
odkazuje na existující atribut prostředku úložiště, ke kterému se přistupuje, například účet úložiště, kontejner nebo objekt blob. Atribut @Request
odkazuje na atribut nebo parametr zahrnutý v požadavku operace úložiště. Atribut @Environment
odkazuje na síťové prostředí nebo datum a čas požadavku.
Azure RBAC podporuje omezený počet přiřazení rolí na předplatné. Pokud potřebujete vytvořit tisíce přiřazení rolí Azure, můžete narazit na tento limit. Správa stovek nebo tisíců přiřazení rolí může být obtížná. V některých případech můžete pomocí podmínek snížit počet přiřazení rolí v účtu úložiště a usnadnit jejich správu. Správu přiřazení rolí můžete škálovat pomocí podmínek a vlastních atributů zabezpečení Microsoft Entra pro objekty zabezpečení.
Stav funkcí podmínky ve službě Azure Storage
Řízení přístupu na základě atributů Azure (Azure ABAC) je obecně dostupné (GA) pro řízení přístupu ke službě Azure Blob Storage, Azure Data Lake Storage a Frontám Azure pomocí request
resource
environment
, a principal
atributů v úrovních výkonu účtu služby Standard i Premium Storage. Atribut prostředku metadat kontejneru a objekt blob seznamu obsahují atribut požadavku v náhledu.
Následující tabulka ukazuje aktuální stav ABAC podle typu prostředku úložiště a typu atributu. Zobrazí se také výjimky pro konkrétní atributy.
Typy zdrojů | Typy atributů | Atributy | Dostupnost |
---|---|---|---|
Objekty blob Data Lake Storage Fronty |
Žádost Prostředek Prostředí Objekt zabezpečení |
Všechny atributy kromě atributů uvedených v této tabulce | GA |
Data Lake Storage | Prostředek | Snímková | Preview |
Objekty blob Data Lake Storage |
Prostředek | Metadata kontejneru | Preview |
Objekty blob | Žádost | Zahrnutí objektu blob seznamu | Preview |
Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.
Poznámka:
Některé funkce úložiště nejsou podporované pro účty úložiště Data Lake Storage, které používají hierarchický obor názvů (HNS). Další informace najdete v tématu Podpora funkcí úložiště objektů blob.
Následující atributy ABAC nejsou podporovány, pokud je pro účet úložiště povolený hierarchický obor názvů:
Další kroky
- Požadavky na podmínky přiřazení rolí Azure
- Kurz: Přidání podmínky přiřazení role pro omezení přístupu k objektům blob pomocí webu Azure Portal
- Akce a atributy pro podmínky přiřazení rolí Azure ve službě Azure Storage
- Příklady podmínek přiřazení rolí Azure
- Řešení potíží s podmínkami přiřazení rolí Azure
Viz také
- Co je řízení přístupu na základě atributů Azure (Azure ABAC)?
- Nejčastější dotazy k podmínkám přiřazení rolí Azure
- Formát a syntaxe podmínky přiřazení role Azure
- Škálování správy přiřazení rolí Azure pomocí podmínek a vlastních atributů zabezpečení
- Aspekty zabezpečení pro podmínky přiřazení rolí Azure ve službě Azure Storage