Udostępnij przez

Autoryzowanie dostępu do kolejek przy użyciu warunków przypisywania ról platformy Azure

Kontrola dostępu oparta na atrybutach (ABAC) to strategia autoryzacji, która definiuje poziomy dostępu na podstawie atrybutów skojarzonych z żądaniem dostępu, takich jak podmiot zabezpieczeń, zasób, środowisko i samo żądanie. Za pomocą funkcji ABAC można udzielić podmiotowi zabezpieczeń dostępu do zasobu na podstawie warunków przypisywania ról platformy Azure.

Ważne

Kontrola dostępu oparta na atrybutach platformy Azure (Azure ABAC) jest ogólnie dostępna (GA) do kontrolowania dostępu do usług Azure Blob Storage, Azure Data Lake Storage Gen2 i Azure Queues przy użyciu request, resource, environment i principal w obu poziomach wydajności konta magazynowego: standardowym i premium. Obecnie lista obiektów blob zawiera atrybuty żądania, a także atrybuty żądania migawki dla hierarchicznej przestrzeni nazw, które są w wersji zapoznawczej. Aby uzyskać pełne informacje o stanie funkcji ABAC dla usługi Azure Storage, zobacz Stan warunkowych funkcji w usłudze Azure Storage.

Zobacz dodatkowe warunki użytkowania dla wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze wydane w wersji ogólnodostępnej.

Omówienie warunków w usłudze Azure Storage

Możesz użyć Microsoft Entra ID do autoryzacji żądań do zasobów usługi Azure Storage z użyciem Azure RBAC. Kontrola dostępu oparta na rolach platformy Azure ułatwia zarządzanie dostępem do zasobów, definiując, kto ma dostęp do zasobów i co mogą robić z tymi zasobami, przy użyciu definicji ról i przypisań ról. Usługa Azure Storage definiuje zestaw wbudowanych ról platformy Azure, które obejmują typowe zestawy uprawnień używanych do uzyskiwania dostępu do danych usługi Azure Storage. Możesz również zdefiniować role niestandardowe z wybranymi zestawami uprawnień. Usługa Azure Storage obsługuje przypisania ról zarówno dla kont magazynu, jak i kontenerów blokowych lub kolejek.

Usługa Azure ABAC bazuje na kontroli dostępu opartej na rolach platformy Azure przez dodanie warunków przypisywania ról w kontekście określonych akcji. Warunek przypisania roli to dodatkowa kontrola, która jest oceniana, gdy akcja zasobu magazynu jest autoryzowana. Ten warunek jest wyrażony jako predykat przy użyciu atrybutów skojarzonych z dowolnym z następujących elementów:

  • Podmiot zabezpieczeń, który żąda autoryzacji
  • Zasób, do którego żądano dostępu
  • Parametry żądania
  • Środowisko, z którego pochodzi żądanie

Korzyści wynikające z używania warunków przypisania ról to:

  • Włącz bardziej szczegółowy dostęp do zasobów — na przykład, jeśli chcesz przyznać użytkownikowi dostęp do podejrzenia komunikatów w określonej kolejce, możesz użyć DataAction „podgląd wiadomości” oraz atrybutu nazwy kolejki magazynu.
  • Zmniejsz liczbę przypisań ról, którymi musisz utworzyć i zarządzać — można to zrobić przy użyciu uogólnionego przypisania roli dla grupy zabezpieczeń, a następnie ograniczenia dostępu dla poszczególnych członków grupy przy użyciu warunku, który pasuje do atrybutów podmiotu zabezpieczeń z atrybutami określonego zasobu dostępnego (na przykład kolejki).
  • Express access control rules in terms of attributes with business meaning — na przykład można wyrazić warunki przy użyciu atrybutów reprezentujących nazwę projektu, aplikację biznesową, funkcję organizacji lub poziom klasyfikacji.

Kompromis w korzystaniu z warunków polega na tym, że podczas używania atrybutów w organizacji potrzebna jest ustrukturyzowana i spójna taksonomia. Atrybuty muszą być chronione, aby uniemożliwić naruszenie zabezpieczeń dostępu. Ponadto warunki muszą być starannie zaprojektowane i poddane przeglądowi pod kątem ich wpływu.

Obsługiwane atrybuty i operacje

Aby osiągnąć te cele, można skonfigurować warunki przypisania ról dla funkcji DataActions . Możesz użyć warunków z rolą niestandardową lub wybrać role wbudowane. Należy pamiętać, że kryteria nie są obsługiwane podczas zarządzania akcjami za pośrednictwem dostawcy zasobów przechowywania.

Możesz dodawać warunki do wbudowanych ról lub ról niestandardowych. Wbudowane role, na których można używać warunków przypisania ról, obejmują:

Można używać warunków z rolami niestandardowymi pod warunkiem, że rola obejmuje akcje, które obsługują warunki.

Format warunku przypisania roli platformy Azure umożliwia korzystanie z atrybutów @Principal@Resource lub @Request w warunkach. Atrybut @Principal jest niestandardowym atrybutem zabezpieczeń w jednostce, takiej jak użytkownik, aplikacja przedsiębiorstwa (jednostka usługi) lub tożsamość zarządzana. Atrybut @Resource odnosi się do istniejącego atrybutu zasobu magazynu, do którego uzyskuje się dostęp, takiego jak konto magazynu lub kolejka. Atrybut @Request odnosi się do atrybutu lub parametru uwzględnionego w żądaniu operacji magazynu.

Platforma Azure RBAC wspiera obecnie 2000 przypisanych ról w jednej subskrypcji. Jeśli musisz utworzyć tysiące przypisań ról platformy Azure, możesz napotkać ten limit. Zarządzanie setkami lub tysiącami przypisań ról może być trudne. W niektórych przypadkach można użyć warunków, aby zmniejszyć liczbę przypisań ról na koncie magazynu i ułatwić zarządzanie nimi. Zarządzanie przypisaniami ról można skalować przy użyciu warunków i niestandardowych atrybutów zabezpieczeń firmy Microsoft entra dla podmiotów zabezpieczeń.

Dalsze kroki

Zobacz także

  • Last updated on