Condividi tramite


Autorizzare l'accesso alle code usando le condizioni di assegnazione di ruolo di Azure

Il controllo degli accessi in base all'attributo è una strategia di autorizzazione che definisce i livelli di accesso in base agli attributi associati a una richiesta di accesso, ad esempio l'entità di sicurezza, la risorsa, l'ambiente e la richiesta stessa. Con il controllo degli accessi in base al ruolo è possibile concedere a un'entità di sicurezza l'accesso a una risorsa in base alle condizioni di assegnazione di ruolo di Azure.

Importante

Il controllo degli accessi in base all'attributo di Azure è disponibile a livello generale per controllare l'accesso a Archiviazione BLOB di Azure, Azure Data Lake Archiviazione Gen2 e Code di Azure usando requestgli attributi , resourceenvironment, e principal nei livelli di prestazioni dell'account di archiviazione Standard e Premium. Attualmente, l'attributo della risorsa dei metadati del contenitore e l'attributo di richiesta di inclusione del BLOB di elenco sono disponibili in ANTEPRIMA. Per informazioni complete sullo stato della funzionalità di controllo degli accessi in base all'attributo (ABAC) per Archiviazione di Azure, vedere Stato delle funzionalità relative alle condizioni in Archiviazione di Azure.

Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Panoramica delle condizioni in Archiviazione di Azure

È possibile usare Microsoft Entra ID (Microsoft Entra ID) per autorizzare le richieste alle risorse di archiviazione di Azure usando il controllo degli accessi in base al ruolo di Azure. Il controllo degli accessi in base al ruolo di Azure consente di gestire l'accesso alle risorse definendo chi può accedere alle risorse e le operazioni che possono eseguire con tali risorse, usando definizioni di ruolo e assegnazioni di ruolo. Archiviazione di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere ai dati di archiviazione di Azure. È anche possibile definire ruoli personalizzati con set di autorizzazioni selezionati. Archiviazione di Azure supporta le assegnazioni di ruolo sia per gli account di archiviazione che per i contenitori BLOB o le code.

Il controllo degli accessi in base al ruolo di Azure si basa sul controllo degli accessi in base al ruolo di Azure aggiungendo condizioni di assegnazione di ruolo nel contesto di azioni specifiche. Una condizione di assegnazione di ruolo è un controllo aggiuntivo che viene valutato quando l'azione sulla risorsa di archiviazione è autorizzata. Questa condizione viene espressa come predicato usando gli attributi associati a uno dei seguenti:

  • Entità di sicurezza che richiede l'autorizzazione
  • Risorsa a cui viene richiesto l'accesso
  • Parametri della richiesta
  • Ambiente da cui ha origine la richiesta

I vantaggi dell'uso delle condizioni di assegnazione di ruolo sono:

  • Abilitare l'accesso più dettagliato alle risorse : ad esempio, se si vuole concedere a un utente l'accesso ai messaggi visualizzati in una coda specifica, è possibile usare i messaggi visualizzati DataAction e l'attributo di archiviazione dei nomi della coda.
  • Ridurre il numero di assegnazioni di ruolo da creare e gestire . A tale scopo, è possibile usare un'assegnazione di ruolo generalizzata per un gruppo di sicurezza e quindi limitare l'accesso ai singoli membri del gruppo usando una condizione che corrisponde agli attributi di un'entità con attributi di una risorsa specifica a cui si accede , ad esempio una coda.
  • Regole di controllo di accesso rapido in termini di attributi con significato aziendale: ad esempio, è possibile esprimere le condizioni usando attributi che rappresentano un nome di progetto, un'applicazione aziendale, una funzione dell'organizzazione o un livello di classificazione.

Il compromesso dell'uso delle condizioni è la necessità di una tassonomia strutturata e coerente quando si usano attributi nell'organizzazione. Gli attributi devono essere protetti per impedire la compromissione dell'accesso. Inoltre, le condizioni devono essere progettate e esaminate attentamente per il loro effetto.

Attributi e operazioni supportati

È possibile configurare le condizioni per le assegnazioni di ruolo per DataActions per raggiungere questi obiettivi. È possibile usare le condizioni con un ruolo personalizzato o selezionare ruoli predefiniti. Si noti che le condizioni non sono supportate per le azioni di gestione tramite il provider di risorse Archiviazione.

È possibile aggiungere condizioni ai ruoli predefiniti o ai ruoli personalizzati. I ruoli predefiniti in cui è possibile usare le condizioni di assegnazione di ruolo includono:

È possibile usare condizioni con ruoli personalizzati, purché il ruolo includa azioni che supportano le condizioni.

Il formato della condizione di assegnazione dei ruoli di Azure consente l'uso di @Principal@Resource attributi o @Request nelle condizioni. Un @Principal attributo è un attributo di sicurezza personalizzato per un'entità, ad esempio un utente, un'applicazione aziendale (entità servizio) o un'identità gestita. Un @Resource attributo fa riferimento a un attributo esistente di una risorsa di archiviazione a cui si accede, ad esempio un account di archiviazione o una coda. Un @Request attributo fa riferimento a un attributo o a un parametro incluso in una richiesta di operazione di archiviazione.

Il controllo degli accessi in base al ruolo di Azure supporta attualmente 2.000 assegnazioni di ruolo in una sottoscrizione. Se è necessario creare migliaia di assegnazioni di ruolo di Azure, è possibile che si verifichi questo limite. La gestione di centinaia o migliaia di assegnazioni di ruolo può essere difficile. In alcuni casi, è possibile usare le condizioni per ridurre il numero di assegnazioni di ruolo nell'account di archiviazione e semplificarne la gestione. È possibile ridimensionare la gestione delle assegnazioni di ruolo usando le condizioni e gli attributi di sicurezza personalizzati di Microsoft Entra per le entità.

Passaggi successivi

Vedi anche