منع وصول القراءة العامة المجهولة إلى الحاويات والكائنات الثنائية كبيرة الحجم

  • مقالة
  • قراءة خلال 13 دقائق

إن الوصول العام المجهول للقراءة إلى الحاويات والكائنات الثنائية كبيرة الحجم في تخزين Azure هو طريقة ملائمة لمشاركة البيانات، ولكنه قد يَعرض أيضاً مخاطر أمنية. من المهم إدارة الوصول المجهول بحكمة وفهم كيفية تقييم الوصول المجهول إلى بياناتك. يمكن أن يؤدي التعقيد التشغيلي أو الخطأ البشري أو الهجوم الضار ضد البيانات التي يمكن الوصول إليها بشكل عام إلى انتهاكات مكلفة للبيانات. توصي Microsoft بتمكين الوصول المجهول فقط عند الضرورة لسيناريو التطبيق خاصتك.

افتراضياً، يُحَظر دائمًا الوصول العام إلى بيانات كائن ثنائي كبير الحجم خاصتك. ومع ذلك، فإن التكوين الافتراضي لحساب التخزين يسمح للمستخدم الذي لديه الأذونات المناسبة لتكوين وصول عام إلى الحاويات والكائنات الثنائية كبيرة الحجم في حساب التخزين. لتحسين الأمان، يمكنك عدم السماح لكل الوصول العام إلى حساب التخزين، بغض النظر عن إعداد الوصول العام لحاوية فردية. يؤدي عدم السماح بالوصول العام إلى حساب التخزين إلى منع المستخدم من تمكين الوصول العام لحاوية في الحساب. توصي Microsoft بعدم السماح للجمهور بالوصول إلى حساب التخزين ما لم يتطلب السيناريو خاصتك ذلك. يساعد عدم السماح بالوصول العام على منع انتهاكات البيانات الناتجة عن الوصول المجهول غير المرغوب فيه.

عندما لا تسمح بالوصول العام إلى كائن ثنائي كبير الحجم لحساب التخزين، يرفض تخزين Azure جميع الطلبات المجهولة إلى هذا الحساب. بعد عدم السماح بالوصول العام إلى الحساب، لا يمكن تكوين الحاويات في هذا الحساب لاحقًا للوصول العام. لن تقبل أي حاويات كُونت بالفعل للوصول العام بعد الآن طلبات مجهولة المصدر. لمزيد من المعلومات، راجع تكوين الوصول العام المجهول للقراءة للحاويات والكائنات الثنائية كبيرة الحجم.

تُبين هذه المقالة كيفية استخدام إطار عمل DRAG (الكشف والمعالجة والتدقيق والإدارة) لإدارة الوصول العام لحسابات التخزين خاصتك باستمرار.

الكشف عن الطلبات المجهولة من تطبيقات العملاء

عندما ترفض الوصول إلى القراءة العامة لحساب التخزين، فإنك تخاطر برفض طلبات الحاويات والكائنات الثنائية كبيرة الحجم التي كُونت حاليًا للوصول العام. يؤدي عدم السماح بالوصول العام لحساب التخزين إلى تجاوز إعدادات الوصول العام للحاويات الفردية في حساب التخزين هذا. عند عدم السماح للجمهور بالوصول إلى حساب التخزين، ستفشل أي طلبات مستقبلية مجهولة الهوية لهذا الحساب.

لفهم كيفية تأثير عدم السماح بالوصول العام على تطبيقات العميل، توصي Microsoft بتمكين تسجيل الدخول والمقاييس لذلك الحساب وتحليل أنماط الطلبات المجهولة الهوية على مدار فترة زمنية. استخدم المقاييس لتحديد عدد الطلبات المجهولة إلى حساب التخزين، واستخدم السجلات لتحديد الحاويات التي يتم الوصول إليها بشكل مجهول.

مراقبة الطلبات المجهولة باستخدام مستكشف المقاييس

لتعقب الطلبات المجهولة إلى حساب تخزين، استخدم مستكشف مقاييس Azure في مدخل Microsoft Azure. لمزيد من المعلومات حول مستكشف المقاييس، راجع البدء مع مستكشف مقاييس Azure.

اتبع الخطوات التالية لإنشاء مقياس يتتبع الطلبات المجهولة المصدر:

  1. انتقل إلى حساب التخزين خاصتك في بوابة Azure. ضمن قسم المراقبة، حدد المقاييس.

  2. حدد إضافة قياس. في مربع الحوار المقياس، حدد القيم التالية:

    1. اترك حقل النطاق مضبوطًا على اسم حساب التخزين.
    2. اضبط مساحة الأسماء الهرمية للمقياس إلى كائن ثنائي كبير الحجم. سيقوم هذا المقياس بالإبلاغ عن الطلبات مقابل تخزين كائن ثنائي كبير الحجم فقط.
    3. عيِِن حقل المقياس إلى المعاملات.
    4. اضبط حقل التجميع إلى المجموع.

    سيعرض المقياس الجديد مجموع عدد المعاملات مقابل تخزين كائن ثنائي كبير الحجم خلال فترة زمنية معينة. يظهر المقياس الناتج كما هو موضح في الصورة التالية:

    Screenshot showing how to configure metric to sum blob transactions

  3. بعد ذلك، حدد زر إضافة عامل تصفية لإنشاء عامل تصفية على المقياس للطلبات المجهولة الهوية.

  4. في مربع الحوار تصفية، حدد القيم التالية:

    1. عيِن قيمة الخاصية إلى المصادقة.
    2. اضبط حقل المشغل على علامة التساوي (=).
    3. اضبط حقل القيم على مجهول عن طريق تحديده من القائمة المندرجة أو كتابته.

  5. في الزاوية العلوية اليمنى، حدد الفاصل الزمني الذي تريد عرض المقياس خلاله. يمكنك أيضًا الإشارة إلى مدى دقة تجميع الطلبات، من خلال تحديد الفترات الزمنية في أي مكان من دقيقة واحدة إلى شهر واحد.

بعد تكوين المقياس، ستبدأ الطلبات المجهولة في الظهور على الرسم البياني. تُبين الصورة التالية الطلبات المجهولة المجمعة على مدار الثلاثين دقيقة الماضية.

Screenshot showing aggregated anonymous requests against Blob storage

يمكنك أيضًا تكوين قاعدة تنبيه لتنبيهك عند تقديم عدد معين من الطلبات المجهولة الهوية مقابل حساب التخزين خاصتك. لمزيدٍ من المعلومات، راجع إنشاء وعرض وإدارة تنبيهات القياسات باستخدام Azure Monitor.

تحليل السجلات لتحديد الحاويات التي تتلقى طلبات مجهولة الهوية

تلتقط سجلات تخزين Azure تفاصيل حول الطلبات المقدمة مقابل حساب التخزين، بما في ذلك كيفية اعتماد الطلب. يمكنك تحليل السجلات لتحديد الحاويات التي تتلقى طلبات مجهولة المصدر.

لتسجيل الطلبات في حساب تخزين Azure خاصتك من أجل تقييم الطلبات المجهولة، يمكنك استخدام تسجيل تخزين Azure في Azure Monitor (معاينة). لمزيد من المعلومات، راجع مراقبة تخزين Azure.

يدعم تسجيل تخزين Azure في Azure Monitor استخدام استعلامات السجل لتحليل بيانات السجل. للاستعلام عن السجلات، يمكنك استخدام مساحة عمل Azure Log Analytics. لمعرفة المزيد عن استعلامات السجل، راجع البرنامج التعليمي: ابدأ مع استعلامات Log Analytics .

ملاحظة

تُدعم معاينة تسجيل تخزين Azure في Azure Monitor فقط في سحابة Azure العامة. لا تدعم السحابة الحكومية تسجيل الدخول لتخزين Azure مع مراقب Azure.

إنشاء إعداد تشخيصي في مدخل Microsoft Azure

لتسجيل بيانات تخزين Azure باستخدام Azure Monitor وتحليلها باستخدام Azure Log Analytics، يجب عليك أولاً إنشاء إعداد تشخيصي يشير إلى أنواع الطلبات وخدمات التخزين التي تريد تسجيل البيانات لها. لإنشاء إعداد تشخيصي في مدخل Microsoft Azure، اتبع الخطوات التالية:

  1. قم بإنشاء مساحة عمل جديدة في Log Analytics في الاشتراك الذي يحتوي على حساب تخزين Azure خاصتك. بعد تكوين تسجيل الدخول لحساب التخزين خاصتك، ستكون السجلات متاحة في مساحة عمل Log Analytics. لمزيد من المعلومات، راجع إنشاء مساحة عمل Log Analytics في بوابة Azure .

  2. انتقل إلى حساب التخزين خاصتك في بوابة Azure.

  3. في قسم المراقبة، حدد إعدادات التشخيص (معاينة ).

  4. حدد كائن ثنائي كبير الحجم لتسجيل الطلبات المقدمة ضد تخزين كائن ثنائي كبير الحجم.

  5. حدد إضافة إعداد تشخيصي .

  6. توفير اسم لإعداد التشخيص.

  7. ضمن تفاصيل الفئة، في قسم سجل، اختر أنواع الطلبات التي يجب تسجيلها. سيتم قراءة جميع الطلبات المجهولة المصدر، لذا حدد StorageRead لالتقاط الطلبات المجهولة.

  8. ضمن تفاصيل الوجهة، حدد إرسال إلى Log Analytics. حدد اشتراكك ومساحة عمل Log Analytics التي أنشأتها سابقًا، كما هو موضح في الصورة التالية.

    Screenshot showing how to create a diagnostic setting for logging requests

بعد إنشاء إعداد التشخيص،تُسَجل الطلبات إلى حساب التخزين لاحقًا وفقًا لذلك الإعداد. لمزيد من المعلومات، راجع إنشاء إعداد تشخيصي لجمع سجلات الموارد والمقاييس في Azure.

للحصول على مرجع للحقول المتاحة في سجلات تخزين Azure في Azure Monitor، انظر سجلات الموارد (معاينة).

سجلات الاستعلام للطلبات المجهولة

تتضمن سجلات تخزين Azure في Azure Monitor نوع التصريح الذي اُستخدم لتقديم طلب إلى حساب تخزين. في استعلام السجل الخاص بك، قم بالتصفية على خاصية AuthenticationType لعرض طلبات مجهولة الهوية.

لاسترداد السجلات للأيام السبعة الماضية للطلبات المجهولة ضد تخزين كائن ثنائي كبير الحجم، افتح مساحة عمل Log Analytics. بعد ذلك، الصق الاستعلام التالي في استعلام سجل جديد و شَغِله:

StorageBlobLogs
| where TimeGenerated > ago(7d) and AuthenticationType == "Anonymous"
| project TimeGenerated, AccountName, AuthenticationType, Uri

يمكنك أيضًا تكوين قاعدة تنبيه بناءً على هذا الاستعلام لإعلامك بالطلبات المجهولة. لمزيد من المعلومات، راجع إنشاء وعرض وإدارة تنبيهات السجل باستخدام شاشة Azure .

معالجة الوصول العام المجهول

بعد تقييمك للطلبات المجهولة على الحاويات والكائنات الثنائية كبيرة الحجم في حساب التخزين خاصتك، يمكنك اتخاذ إجراء للحد من الوصول العام أو منعه. إذا كانت بعض الحاويات في حساب التخزين خاصتك قد تحتاج إلى أن تكون متاحة للوصول العام، فيمكنك تكوين إعداد الوصول العام لكل حاوية في حساب التخزين خاصتك. يوفر هذا الخيار التحكم الأكثر دقةً في الوصول العام. لمزيد من المعلومات، راجع ضبط مستوى الوصول العام للحاوية.

لتحسين الأمان، يُمكنك عدم السماح بالوصول العام لحساب التخزين بأكمله. يتجاوز إعداد الوصول العام لحساب التخزين الإعدادات الفردية للحاويات في ذلك الحساب. عند عدم السماح بالوصول العام إلى حساب التخزين، لا يتم الوصول إلى أي حاويات كُونت للسماح بالوصول العام بشكل مجهول. لمزيد من المعلومات، راجع السماح أو عدم السماح بالوصول إلى القراءة العامة لحساب التخزين .

إذا كان السيناريو خاصتك يتطلب أن تكون بعض الحاويات متاحة للوصول العام، فقد يكون من المستحسن نقل تلك الحاويات و الكائنات الثنائية كبيرة الحجم خاصتها إلى حسابات التخزين المحجوزة للوصول العام. يمكنك بعد ذلك عدم السماح بالوصول العام إلى أي حسابات تخزين أخرى.

تحقق من عدم السماح للجمهور بالوصول إلى كائن ثنائي كبير الحجم

للتحقق من عدم السماح للجمهور بالوصول إلى كائن ثنائي كبير الحجم معين، يمكنك محاولة تنزيل كائن ثنائي كبير الحجم عبر عنوان URL خاصته. إذا نجح التنزيل، فسيظل الكائن الثنائي كبير الحجم متاح للجمهور. إذا لم يكن الوصول إلى الكائن الثنائي كبير الحجم متاحًا للجمهور نظرًا لعدم السماح بالوصول العام إلى حساب التخزين، فسترى رسالة خطأ تشير إلى عدم السماح بالوصول العام إلى حساب التخزين هذا.

يُبين المثال التالي كيفية استخدام PowerShell لمحاولة تنزيل كائن ثنائي كبير الحجم عبر عنوان URL خاصته. تذكر استبدال قيم العنصر النائب بين قوسين بقيمك الخاصة:

$url = "<absolute-url-to-blob>"
$downloadTo = "<file-path-for-download>"
Invoke-WebRequest -Uri $url -OutFile $downloadTo -ErrorAction Stop

تحقق من عدم السماح بتعديل إعداد الوصول العام للحاوية

للتحقق من عدم إمكانية تعديل إعداد الوصول العام للحاوية بعد عدم السماح بالوصول العام لحساب التخزين، يمكنك محاولة تعديل الإعداد. سيفشل تغيير إعداد الوصول العام للحاوية إذا مُنع الوصول العام لحساب التخزين.

يُبين المثال التالي كيفية استخدام PowerShell لمحاولة تغيير إعداد الوصول العام للحاوية. تذكر استبدال قيم العنصر النائب بين قوسين بقيمك الخاصة:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$containerName = "<container-name>"

$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context

Set-AzStorageContainerAcl -Context $ctx -Container $containerName -Permission Blob

تحقق من عدم السماح بإنشاء حاوية مع تمكين الوصول العام

إذا كان الوصول العام غير مسموح به لحساب التخزين، فلن تتمكن من إنشاء حاوية جديدة مع تمكين الوصول العام. للتحقق، يمكنك محاولة إنشاء حاوية مع تمكين الوصول العام.

يُبين المثال التالي كيفية استخدام PowerShell لمحاولة إنشاء حاوية مع تمكين الوصول العام. تذكر استبدال قيم العنصر النائب بين قوسين بقيمك الخاصة:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$containerName = "<container-name>"

$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context

New-AzStorageContainer -Name $containerName -Permission Blob -Context $ctx

تحقق من إعداد الوصول العام لحسابات متعددة

للتحقق من إعداد الوصول العام عبر مجموعة من حسابات التخزين بأداء مثالي، يمكنك استخدام Azure Resource Graph Explorer في مدخل Microsoft Azure. لمعرفة المزيد حول استخدام مستكشف رسومات الموارد، راجع البداية السريعة: شغِل أول استعلام عن رسومات الموارد باستخدام مستكشف رسومات موارد Azure .

لم تُعَيَن خاصية AllowBlobPublicAccess لحساب التخزين افتراضياً ولا تقوم بإرجاع قيمة حتى تقوم بتعيينها بشكل صريح. يسمح حساب التخزين بالوصول العام عندما تكون قيمة الخاصية فارغة أو صحيحة.

يؤدي تشغيل الاستعلام التالي في مستكشف رسومات الموارد إلى إرجاع قائمة بحسابات التخزين وعرض إعداد الوصول العام لكل حساب:

resources
| where type =~ 'Microsoft.Storage/storageAccounts'
| extend allowBlobPublicAccess = parse_json(properties).allowBlobPublicAccess
| project subscriptionId, resourceGroup, name, allowBlobPublicAccess

تَعرض الصورة التالية نتائج استعلام عبر اشتراك. لاحظ أنه بالنسبة لحسابات التخزين التي تم فيها تعيين الخاصية AllowBlobPublicAccess بشكل صريح، يظهر في النتائج على أنه صحيح أو خاطئ. إذا لم يتم تعيين الخاصية AllowBlobPublicAccess لحساب تخزين، فإنها تظهر فارغة (أو فارغة) في نتائج الاستعلام.

Screenshot showing query results for public access setting across storage accounts

استخدم سياسة Azure للمراجعة من أجل الامتثال

إذا كان لديك عدد كبير من حسابات التخزين، فقد تحتاج إلى إجراء مراجعة للتأكد من تكوين هذه الحسابات لمنع وصول الجمهور إليها. لمراجعة مجموعة من حسابات التخزين للتأكد من توافقها، استخدم سياسة Azure. سياسة Azure هي خدمة يمكنك استخدامها لإنشاء السياسات التي تطبق القواعد على موارد Azure وتعيينها وإدارتها. تساعدك سياسة Azure على الحفاظ على امتثال تلك الموارد لمعايير الشركة واتفاقيات مستوى الخدمة خاصتك. لمزيد من المعلومات ، راجع نظرة عامة على سياسة Azure .

إنشاء سياسة ذات مراجعة

تدعم سياسة Azure التأثيرات التي تحدد ما يحدث عند تقييم قاعدة السياسة مقابل المورد. ينشئ تأثير المراجعة تحذيرًا عندما لا يكون المورد ممتثلًا، ولكنه لا يوقف الطلب. لمزيد من المعلومات حول التأثيرات، راجع فهم تأثيرات سياسة Azure .

لإنشاء سياسة ذات مراجعة لإعداد الوصول العام لحساب التخزين باستخدام مدخل Microsoft Azure، اتبع الخطوات التالية:

  1. في مدخل Microsoft Azure، انتقل إلى خدمة سياسة Azure.

  2. ضمن قسم التأليف، حدد التعريفات.

  3. حدد إضافة تعريف السياسة لإنشاء تعريف سياسة جديد.

  4. بالنسبة لحقل موقع التعريف، اختر زر المزيد لتحديد مكان مورد سياسة المراجعة.

  5. حدد اسمًا للسياسة. يمكنك تحديد الوصف والفئة اختيارياً.

  6. ضمن قاعدة السياسة ، أضف تعريف السياسة التالي إلى قسم قاعدة السياسة .

    {
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowBlobPublicAccess",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "audit"
  }
}

  7. احفظ السياسة.

تعيين النهج

بعد ذلك، عيِن السياسة إلى مورد. ويتوافق نطاق السياسة مع ذلك المورد وأي موارد تحته. لمزيد من المعلومات حول تعيين السياسة، راجع هيكل تعيين سياسة Azure .

لتعيين السياسة مع مدخل Microsoft Azure، اتبع الخطوات التالية:

  1. في مدخل Microsoft Azure، انتقل إلى خدمة سياسة Azure.
  2. ضمن قسم التأليف، حدد الواجبات.
  3. حدد تعيين السياسة لإنشاء مهمة سياسة جديدة.
  4. بالنسبة لحقل النطاق، حدد نطاق تعيين السياسة.
  5. بالنسبة لحقل تعريف السياسة ، اختر زر المزيد، ثم حدد السياسة التي حددتها في القسم السابق من القائمة.
  6. وفِر اسماً لتعيين السياسة. الوصف اختياري.
  7. اترك تطبيق السياسة مضبوطًا على تمكين. وليس لهذا الوضع أي تأثير على سياسة مراجعة الحسابات.
  8. حدد مراجعة + إنشاء لإنشاء المهمة.

عرض تقرير الامتثال

بعد تعيين السياسة، يمكنك عرض تقرير الامتثال. يقدم تقرير الامتثال لسياسة التدقيق معلومات حول حسابات التخزين التي لا تتوافق مع السياسة. لمزيد من المعلومات، راجع الحصول على بيانات الامتثال للسياسة .

قد يستغرق الأمر عدة دقائق حتى يصبح تقرير الامتثال متاحًا بعد إنشاء مهمة السياسة.

لعرض تقرير الامتثال في مدخل Microsoft Azure، اتبع الخطوات التالية:

  1. في مدخل Microsoft Azure، انتقل إلى خدمة سياسة Azure.

  2. حدد الامتثال.

  3. قم بتصفية النتائج للحصول على اسم مهمة السياسة التي أنشأتها في الخطوة السابقة. ويبين التقرير عدد الموارد التي لا تمتثل لهذه السياسة.

  4. يمكنك البحث في التقرير للحصول على تفاصيل إضافية، بما في ذلك قائمة بحسابات التخزين التي لا تتوافق.

    Screenshot showing compliance report for audit policy for blob public access

استخدام سياسة Azure لفرض الوصول المصرح به

تدعم سياسة Azure الحكومة السحابية من خلال ضمان التزام موارد Azure بالمتطلبات والمعايير. للتأكد من أن حسابات التخزين في مؤسستك لا تسمح إلا بالطلبات المصرح بها، يمكنك إنشاء سياسة تمنع إنشاء حساب تخزين جديد مع إعداد وصول عام يسمح بطلبات مجهولة الهوية. ستمنع هذه السياسة أيضًا جميع تغييرات التكوين على حساب موجود إذا كان إعداد الوصول العام لذلك الحساب غير متوافق مع السياسة.

تستخدم سياسة التنفيذ تأثير الرفض لمنع طلب من شأنه إنشاء حساب تخزين أو تعديله للسماح بالوصول العام. لمزيد من المعلومات حول التأثيرات، راجع فهم تأثيرات سياسة Azure .

لإنشاء سياسة ذات تأثير رفض لإعداد الوصول العام الذي يسمح بطلبات مجهولة الهوية، اتبع نفس الخطوات الموضحة في استخدام سياسة Azure للتحقق من الامتثال، ولكن قدم JSON التالي في قسم سياسة القواعد من تعريف السياسة:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowBlobPublicAccess",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

بعد إنشاء السياسة بتأثير رفض وتعيينها إلى نطاق، لا يمكن للمستخدم إنشاء حساب تخزين يسمح بالوصول العام. كما لا يمكن للمستخدم إجراء أي تغييرات في التكوين على حساب تخزين موجود يسمح حاليًا بالوصول العام. وتؤدي محاولة القيام بذلك إلى حدوث خطأ. يجب ضبط إعداد الوصول العام لحساب التخزين على خاطئ للمتابعة في إنشاء الحساب أو تكوينه.

توضح الصورة التالية الخطأ الذي يحدث إذا حاولت إنشاء حساب تخزين يسمح بالوصول العام (الافتراضي لحساب جديد) عندما تتطلب السياسة ذات تأثير الرفض عدم السماح بالوصول العام.

Screenshot showing the error that occurs when creating a storage account in violation of policy

أذونات السماح أو عدم السماح بالوصول العام

لتعيين خاصية AllowBlobPublicAccess لحساب التخزين، يجب أن يكون لدى المستخدم أذونات لإنشاء حسابات التخزين وإدارتها. تتضمن أدوار Azure للتحكم في الوصول القائم على الأدوار (Azure RBAC) التي توفر هذه الأذونات إجراء Microsoft.Storage/storageAccounts/writeأو Microsoft.Storage/storageAccounts/* تشمل الأدوار المدمجة مع هذا الإجراء ما يلي:

لا توفر هذه الأدوار الوصول إلى البيانات في حساب التخزين عبر Azure Active Directory (Azure AD). ومع ذلك، فهي تشمل Microsoft.Storage/storageAccounts/listkeys/action,الذي يتيح الوصول إلى مفاتيح الوصول إلى الحساب. وبهذا الإذن، يمكن للمستخدم استخدام مفاتيح الوصول إلى الحساب للوصول إلى جميع البيانات في حساب التخزين.

يجب تحديد نطاق مهام الدور إلى مستوى حساب التخزين أو أعلى للسماح للمستخدم بالسماح أو عدم السماح بالوصول العام لحساب التخزين. لمزيد من المعلومات حول نطاق الدور، راجع فهم نطاق Azure RBAC.

احرص على تقييد تعيين هذه الأدوار فقط لأولئك الذين يحتاجون إلى القدرة على إنشاء حساب تخزين أو تحديث خصائصه. استخدم مبدأ أقل الامتيازات لضمان حصول المستخدمين على أقل عدد من الأذونات التي يحتاجون إليها لإنجاز مهامهم. لمزيد من المعلومات حول إدارة الوصول مع Azure RBAC، راجع أفضل الممارسات لـ Azure RBAC.

ملاحظة

تشمل أدوار مسؤول الاشتراك الكلاسيكي مسؤول الخدمة والمسؤول المشارك ما يعادل دور Azure Resource Managerالمالك. يتضمن دور المالك جميع الإجراءات، لذلك يمكن للمستخدم الذي لديه أحد هذه الأدوار الإدارية أيضًا إنشاء حسابات التخزين وإدارتها. لمزيد من المعلومات، راجع أدوار مشرفي الاشتراكات الكلاسيكية ، وأدوار Azure ، وأدوار مشرفي أزور Azure AD .

الخطوات التالية