Udostępnij za pośrednictwem

Autoryzowanie dostępu do kolejek przy użyciu warunków przypisywania ról platformy Azure

  • Artykuł

Kontrola dostępu oparta na atrybutach (ABAC) to strategia autoryzacji, która definiuje poziomy dostępu na podstawie atrybutów skojarzonych z żądaniem dostępu, takich jak podmiot zabezpieczeń, zasób, środowisko i samo żądanie. Za pomocą funkcji ABAC można udzielić podmiotowi zabezpieczeń dostępu do zasobu na podstawie warunków przypisywania ról platformy Azure.

Ważne

Kontrola dostępu oparta na atrybutach platformy Azure (Azure ABAC) jest ogólnie dostępna do kontrolowania dostępu do usług Azure Blob Storage, Azure Data Lake Storage Gen2 i Azure Queues przy użyciu requestatrybutów , resource, environmenti principal zarówno w warstwach wydajności konta magazynu w warstwie Standardowa, jak i Premium Storage. Obecnie atrybut zasobu metadanych kontenera i lista obiektów blob dołączania atrybutu żądania są dostępne w wersji zapoznawczej. Aby uzyskać pełne informacje o stanie funkcji ABAC dla usługi Azure Storage, zobacz Stan funkcji warunku w usłudze Azure Storage.

Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.

Omówienie warunków w usłudze Azure Storage

Możesz użyć identyfikatora Entra firmy Microsoft (Microsoft Entra ID), aby autoryzować żądania do zasobów usługi Azure Storage przy użyciu kontroli dostępu opartej na rolach platformy Azure. Kontrola dostępu oparta na rolach platformy Azure ułatwia zarządzanie dostępem do zasobów, definiując, kto ma dostęp do zasobów i co mogą robić z tymi zasobami, przy użyciu definicji ról i przypisań ról. Usługa Azure Storage definiuje zestaw wbudowanych ról platformy Azure, które obejmują typowe zestawy uprawnień używanych do uzyskiwania dostępu do danych usługi Azure Storage. Możesz również zdefiniować role niestandardowe z wybranymi zestawami uprawnień. Usługa Azure Storage obsługuje przypisania ról zarówno dla kont magazynu, jak i kontenerów obiektów blob lub kolejek.

Usługa Azure ABAC bazuje na kontroli dostępu opartej na rolach platformy Azure przez dodanie warunków przypisywania ról w kontekście określonych akcji. Warunek przypisania roli to dodatkowa kontrola, która jest oceniana, gdy akcja zasobu magazynu jest autoryzowana. Ten warunek jest wyrażony jako predykat przy użyciu atrybutów skojarzonych z dowolnym z następujących elementów:

  • Podmiot zabezpieczeń, który żąda autoryzacji
  • Zasób, do którego żądano dostępu
  • Parametry żądania
  • Środowisko, z którego pochodzi żądanie

Korzyści wynikające z używania warunków przypisania ról to:

  • Włącz bardziej szczegółowy dostęp do zasobów — na przykład jeśli chcesz przyznać użytkownikowi dostęp do wglądu w komunikaty w określonej kolejce, możesz użyć komunikatów Podgląd komunikatów DataAction i atrybut magazynu nazwy kolejki.
  • Zmniejsz liczbę przypisań ról, którymi musisz utworzyć i zarządzać — można to zrobić przy użyciu uogólnionego przypisania roli dla grupy zabezpieczeń, a następnie ograniczenia dostępu dla poszczególnych członków grupy przy użyciu warunku, który pasuje do atrybutów podmiotu zabezpieczeń z atrybutami określonego zasobu dostępnego (na przykład kolejki).
  • Express access control rules in terms of attributes with business meaning — na przykład można wyrazić warunki przy użyciu atrybutów reprezentujących nazwę projektu, aplikację biznesową, funkcję organizacji lub poziom klasyfikacji.

Kompromis w korzystaniu z warunków polega na tym, że podczas używania atrybutów w organizacji potrzebna jest ustrukturyzowana i spójna taksonomia. Atrybuty muszą być chronione, aby uniemożliwić naruszenie zabezpieczeń dostępu. Ponadto warunki muszą być starannie zaprojektowane i poddane przeglądowi pod kątem ich wpływu.

Obsługiwane atrybuty i operacje

Aby osiągnąć te cele, można skonfigurować warunki przypisania ról dla funkcji DataActions . Możesz użyć warunków z rolą niestandardową lub wybrać wbudowane role. Należy pamiętać, że warunki nie są obsługiwane w przypadku akcji zarządzania za pośrednictwem dostawcy zasobów magazynu.

Możesz dodawać warunki do wbudowanych ról lub ról niestandardowych. Wbudowane role, na których można używać warunków przypisania ról, obejmują:

Warunki z rolami niestandardowymi można używać tak długo, jak rola obejmuje akcje, które obsługują warunki.

Format warunku przypisania roli platformy Azure umożliwia korzystanie z atrybutów @Principal@Resource lub @Request w warunkach. Atrybut @Principal jest niestandardowym atrybutem zabezpieczeń w jednostce, takiej jak użytkownik, aplikacja przedsiębiorstwa (jednostka usługi) lub tożsamość zarządzana. Atrybut @Resource odnosi się do istniejącego atrybutu zasobu magazynu, do którego uzyskuje się dostęp, takiego jak konto magazynu lub kolejka. Atrybut @Request odnosi się do atrybutu lub parametru uwzględnionego w żądaniu operacji magazynu.

Kontrola dostępu oparta na rolach platformy Azure obsługuje obecnie 2000 przypisań ról w subskrypcji. Jeśli musisz utworzyć tysiące przypisań ról platformy Azure, możesz napotkać ten limit. Zarządzanie setkami lub tysiącami przypisań ról może być trudne. W niektórych przypadkach można użyć warunków, aby zmniejszyć liczbę przypisań ról na koncie magazynu i ułatwić zarządzanie nimi. Zarządzanie przypisaniami ról można skalować przy użyciu warunków i niestandardowych atrybutów zabezpieczeń firmy Microsoft entra dla podmiotów zabezpieczeń.

Następne kroki

Zobacz też