Autorizzare l'accesso ad Archiviazione BLOB di Azure usando le condizioni di assegnazione di ruolo di Azure
Il controllo degli accessi in base all'attributo è una strategia di autorizzazione che definisce i livelli di accesso in base agli attributi associati a entità di sicurezza, risorse, ambiente e richieste stesse. Con il controllo degli accessi in base all'attributo è possibile concedere a un'entità di sicurezza l'accesso a una risorsa in base a una condizione espressa come predicato usando questi attributi.
Il controllo degli accessi in base all'attributo di Azure si basa sul controllo degli accessi in base al ruolo di Azure aggiungendo condizioni alle assegnazioni di ruolo di Azure. Consente di creare condizioni di assegnazione di ruolo in base agli attributi di entità di sicurezza, risorsa, richiesta e ambiente.
Importante
Il controllo degli accessi in base all'attributo di Azure (Azure ABAC) è disponibile a livello generale per il controllo dell'accesso ad Archiviazione BLOB di Azure, Azure Data Lake Storage Gen2 e Code di Azure usando gli attributi request, resource, environment e principal nel livello di prestazioni dell'account di archiviazione standard. Attualmente, l'attributo della risorsa dei metadati del contenitore e l'attributo di richiesta di inclusione del BLOB di elenco sono disponibili in ANTEPRIMA. Per informazioni complete sullo stato della funzionalità di controllo degli accessi in base all'attributo (ABAC) per Archiviazione di Azure, vedere Stato delle funzionalità relative alle condizioni in Archiviazione di Azure.
Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
Panoramica delle condizioni in Archiviazione di Azure
È possibile usare Microsoft Entra ID (Microsoft Entra ID) per autorizzare le richieste alle risorse di archiviazione di Azure usando il controllo degli accessi in base al ruolo di Azure. Il controllo degli accessi in base al ruolo di Azure consente di gestire l'accesso alle risorse definendo chi può accedere alle risorse e le operazioni che possono essere eseguite con tali risorse, usando definizioni di ruolo e assegnazioni di ruolo. Archiviazione di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere ai dati di archiviazione di Azure. È anche possibile definire ruoli personalizzati con set di autorizzazioni selezionati. Archiviazione di Azure supporta le assegnazioni di ruolo sia per gli account di archiviazione che per i contenitori BLOB.
Il controllo degli accessi in base all'attributo di Azure si basa sul controllo degli accessi in base al ruolo di Azure aggiungendo condizioni di assegnazione di ruolo nel contesto di azioni specifiche. Una condizione di assegnazione di ruolo è un controllo aggiuntivo che viene valutato quando l'azione sulla risorsa di archiviazione viene autorizzata. Questa condizione viene espressa come predicato usando gli attributi associati a uno degli elementi seguenti:
- Entità di sicurezza che richiede l'autorizzazione
- Risorsa a cui viene richiesto l'accesso
- Parametri della richiesta
- Ambiente in cui viene effettuata la richiesta
I vantaggi dell'uso delle condizioni di assegnazione di ruolo sono:
- Consentire un accesso con granularità più fine alle risorse: ad esempio, se si vuole concedere a un utente l'accesso in lettura ai BLOB negli account di archiviazione solo se i BLOB sono contrassegnati come Project=Sierra, è possibile usare le condizioni per l'azione di lettura usando i tag come attributo.
- Ridurre il numero di assegnazioni di ruolo da creare e gestire: a tale scopo è possibile usare un'assegnazione di ruolo generalizzata per un gruppo di sicurezza e quindi limitare l'accesso dei singoli membri del gruppo usando una condizione che associa gli attributi di un'entità di sicurezza agli attributi di una risorsa specifica a cui si accede, come un BLOB o un contenitore.
- Esprimere le regole di controllo di accesso in termini di attributi con significato aziendale: ad esempio, è possibile esprimere le condizioni usando attributi che rappresentano un nome di progetto, un'applicazione aziendale, una funzione dell'organizzazione o un livello di classificazione.
Lo svantaggio dell'uso delle condizioni è che è necessaria una tassonomia strutturata e coerente quando si usano gli attributi all'interno dell'organizzazione. Gli attributi devono essere protetti per evitare che l'accesso venga compromesso. Inoltre, le condizioni devono essere progettate ed esaminate attentamente per verificarne l'effetto.
Le condizioni di assegnazione di ruolo in Archiviazione di Azure sono supportate per l'archiviazione BLOB di Azure. È anche possibile usare le condizioni con gli account con la funzionalità dello spazio dei nomi gerarchico (HNS) abilitata in essi (Data Lake Storage).
Attributi e operazioni supportati
È possibile configurare le condizioni per le assegnazioni di ruolo per DataActions per raggiungere questi obiettivi. È possibile usare le condizioni con un ruolo personalizzato o selezionare ruoli predefiniti. Si noti che le condizioni non sono supportate per le Azioni di gestione tramite il provider di risorse di archiviazione.
È possibile aggiungere condizioni ai ruoli predefiniti o ai ruoli personalizzati. I ruoli predefiniti in cui è possibile usare le condizioni di assegnazione di ruolo includono:
- Lettore dei dati del BLOB di archiviazione
- Collaboratore ai dati del BLOB di archiviazione
- Proprietario dei dati del BLOB di archiviazione
È possibile usare le condizioni con ruoli personalizzati, purché il ruolo includa azioni che supportano le condizioni.
Se si usano condizioni basate su tag indice BLOB, è consigliabile usare il ruolo Proprietario dei dati dei BLOB di archiviazione, perché in questo ruolo sono incluse le autorizzazioni per le operazioni sui tag.
Nota
I tag di indice BLOB non sono supportati per gli account di archiviazione di Data Lake Storage, che usano uno spazio dei nomi gerarchico. Non è consigliabile creare condizioni di assegnazione di ruolo usando tag indice per gli account di archiviazione in cui è abilitato uno spazio dei nomi gerarchico.
Il formato della condizione di assegnazione di ruolo di Azure consente l'uso degli attributi @Principal, @Resource, @Request o @Environment nelle condizioni. Un attributo @Principal è un attributo di sicurezza personalizzato per un'entità di sicurezza, ad esempio un utente, un'applicazione aziendale (entità servizio) o un'identità gestita. Un attributo @Resource fa riferimento a un attributo esistente di una risorsa di archiviazione a cui si accede, ad esempio un account di archiviazione, un contenitore o un BLOB. Un attributo @Request fa riferimento a un attributo o a un parametro incluso in una richiesta di operazione di archiviazione. Un attributo @Environment fa riferimento all'ambiente di rete o alla data e all'ora di una richiesta.
Il controllo degli accessi in base al ruolo di Azure supporta un numero limitato di assegnazioni di ruolo per ogni sottoscrizione. Se è necessario creare migliaia di assegnazioni di ruolo di Azure, è possibile che si verifichi questo limite. La gestione di centinaia o migliaia di assegnazioni di ruolo può essere difficile. In alcuni casi, è possibile usare le condizioni per ridurre il numero di assegnazioni di ruolo nell'account di archiviazione e semplificarne la gestione. È possibile ridimensionare la gestione delle assegnazioni di ruolo usando condizioni e attributi di sicurezza personalizzati di Microsoft Entra per le entità di sicurezza.
Stato delle funzionalità della condizione in Archiviazione di Azure
Il controllo degli accessi in base all'attributo di Azure è disponibile a livello generale per controllare l'accesso a Archiviazione BLOB di Azure, Azure Data Lake Storage e code di Azure usando requestgli attributi , resourceenvironment, e principal nei livelli di prestazioni dell'account di archiviazione Standard e Premium. Attualmente, l'attributo della risorsa dei metadati del contenitore e l'attributo di richiesta di inclusione del BLOB di elenco sono disponibili in ANTEPRIMA.
Nella tabella seguente viene illustrato lo stato corrente del controllo degli accessi in base al tipo di risorsa di archiviazione e al tipo di attributo. Vengono indicate anche le eccezioni per attributi specifici.
| Tipi di risorsa | Tipi di attributo | Attributi | Disponibilità |
|---|---|---|---|
| BLOB Data Lake Storage Code |
Richiedi Conto risorse Ambiente Entità di sicurezza |
Tutti gli attributi tranne quelli indicati in questa tabella | Disponibilità generale |
| Data Lake Storage | Conto risorse | Snapshot | Anteprima |
| BLOB Data Lake Storage |
Conto risorse | Metadati del contenitore | Anteprima |
| BLOB | Richiedi | Inclusione BLOB elenco | Anteprima |
Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
Nota
Alcune funzionalità di archiviazione non sono supportate per gli account di archiviazione di Data Lake Storage, che usano uno spazio dei nomi gerarchico (HNS). Per altre informazioni, vedere Supporto della funzionalità Archiviazione BLOB.
Gli attributi del controllo degli accessi in base all'attributo seguenti non sono supportati quando lo spazio dei nomi gerarchico è abilitato per un account di archiviazione:
Passaggi successivi
- Prerequisiti per le condizioni di assegnazione di ruolo di Azure
- Esercitazione: Aggiungere una condizione di assegnazione di ruolo per limitare l'accesso ai BLOB tramite il portale di Azure
- Azioni e attributi per le condizioni di assegnazione di ruolo di Azure in Archiviazione di Azure
- Condizioni di assegnazione di ruolo di Azure di esempio
- Risolvere i problemi relativi alle condizioni di assegnazione dei ruoli di Azure
Vedi anche
- Che cos'è il controllo degli accessi in base all'attributo di Azure?
- Domande frequenti sulle condizioni di assegnazione di ruolo di Azure
- Formato e sintassi della condizione di assegnazione dei ruoli di Azure
- Ridimensionare la gestione delle assegnazioni di ruolo di Azure usando condizioni e attributi di sicurezza personalizzati
- Considerazioni sulla sicurezza per le condizioni di assegnazione di ruolo di Azure in Archiviazione di Azure