Share via

Autorizace přístupu ke službě Azure Blob Storage pomocí podmínek přiřazení role Azure

  • Článek

Řízení přístupu na základě atributů (ABAC) je strategie autorizace, která definuje úrovně přístupu na základě atributů přidružených k objektům zabezpečení, prostředkům, prostředí a samotným požadavkům. Pomocí ABAC můžete objektu zabezpečení udělit přístup k prostředku na základě podmínky vyjádřené jako predikát pomocí těchto atributů.

Azure ABAC vychází z řízení přístupu na základě role v Azure (Azure RBAC) přidáním podmínek do přiřazení rolí Azure. Umožňuje vytvářet podmínky přiřazení role na základě atributů objektu zabezpečení, prostředku, požadavku a prostředí.

Důležité

Řízení přístupu na základě atributů Azure (Azure ABAC) je obecně dostupné (GA) pro řízení přístupu ke službě Azure Blob Storage, Azure Data Lake Storage Gen2 a Frontám Azure pomocí requestresourceenvironment, a atributů v úrovních výkonu účtu služby Azure Storage úrovně Standard i principal Premium Storage. Atribut prostředku metadat kontejneru a objekt blob seznamu obsahují atribut požadavku v náhledu. Úplné informace o stavu funkcí ABAC pro Azure Storage najdete v tématu Stav funkcí podmínky ve službě Azure Storage.

Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Přehled podmínek ve službě Azure Storage

K autorizaci požadavků na prostředky úložiště Azure pomocí Azure RBAC můžete použít Microsoft Entra ID (Microsoft Entra ID). Azure RBAC pomáhá spravovat přístup k prostředkům tím, že definuje, kdo má přístup k prostředkům a co může s těmito prostředky dělat, pomocí definic rolí a přiřazení rolí. Azure Storage definuje sadu předdefinovaných rolí Azure, které zahrnují běžné sady oprávnění používaných pro přístup k datům úložiště Azure. Vlastní role můžete definovat také pomocí vybraných sad oprávnění. Azure Storage podporuje přiřazení rolí pro účty úložiště i kontejnery objektů blob.

Azure ABAC staví na Azure RBAC přidáním podmínek přiřazení rolí v kontextu konkrétních akcí. Podmínka přiřazení role je další kontrola, která se vyhodnocuje při autorizaci akce s prostředkem úložiště. Tato podmínka je vyjádřena jako predikát pomocí atributů přidružených k některé z následujících:

  • Objekt zabezpečení, který žádá o autorizaci
  • Prostředek, ke kterému se požaduje přístup
  • Parametry požadavku
  • Prostředí, ve kterém se požadavek provádí

Výhody používání podmínek přiřazení rolí:

  • Povolte jemně odstupňovaný přístup k prostředkům – například pokud chcete uživateli udělit přístup pro čtení k objektům blob v účtech úložiště jenom v případě, že jsou objekty blob označené jako Project=Sierra, můžete použít podmínky pro akci čtení pomocí značek jako atributu.
  • Snižte počet přiřazení rolí, které musíte vytvořit a spravovat – můžete to provést pomocí zobecněného přiřazení role pro skupinu zabezpečení a následným omezením přístupu jednotlivých členů skupiny pomocí podmínky, která odpovídá atributům objektu zabezpečení s atributy konkrétního prostředku, ke kterému se přistupuje (například k objektu blob nebo kontejneru).
  • Pravidla expresního řízení přístupu z hlediska atributů s obchodním významem – můžete například vyjádřit své podmínky pomocí atributů, které představují název projektu, obchodní aplikaci, funkci organizace nebo úroveň klasifikace.

Kompromisem při používání podmínek je, že při používání atributů ve vaší organizaci potřebujete strukturovanou a konzistentní taxonomii. Atributy musí být chráněné, aby se zabránilo ohrožení přístupu. Podmínky musí být také pečlivě navrženy a zkontrolovány pro jejich účinek.

Podmínky přiřazení role ve službě Azure Storage se podporují pro úložiště objektů blob v Azure. Můžete také použít podmínky u účtů s povoleným funkcí hierarchického oboru názvů (HNS) (Data Lake Storage Gen2).

Podporované atributy a operace

K dosažení těchto cílů můžete nakonfigurovat podmínky přiřazení rolí pro DataActions . Podmínky můžete použít s vlastní rolí nebo vybrat předdefinované role. Upozorňujeme, že podmínky nejsou podporované pro akce správy prostřednictvím poskytovatele prostředků úložiště.

Do předdefinovaných rolí nebo vlastních rolí můžete přidat podmínky. Mezi předdefinované role, pro které můžete použít podmínky přiřazení role, patří:

Podmínky můžete použít s vlastními rolemi, pokud role zahrnuje akce, které podporují podmínky.

Pokud pracujete s podmínkami založenými na značkách indexu objektů blob, měli byste použít vlastníka dat objektu blob úložiště, protože oprávnění pro operace značek jsou součástí této role.

Poznámka:

Značky indexu objektů blob nejsou podporovány pro účty úložiště Data Lake Storage Gen2, které používají hierarchický obor názvů. Podmínky přiřazení role byste neměli vytvářet pomocí značek indexu u účtů úložiště, které mají povolenou službu HNS.

Formát podmínky přiřazení role Azure umožňuje použití atributu @Principal, @Resource@Request nebo @Environment atributů v podmínkách. Atribut @Principal je vlastní atribut zabezpečení objektu zabezpečení, jako je uživatel, podniková aplikace (instanční objekt) nebo spravovaná identita. Atribut @Resource odkazuje na existující atribut prostředku úložiště, ke kterému se přistupuje, například účet úložiště, kontejner nebo objekt blob. Atribut @Request odkazuje na atribut nebo parametr zahrnutý v požadavku operace úložiště. Atribut @Environment odkazuje na síťové prostředí nebo datum a čas požadavku.

Azure RBAC podporuje omezený počet přiřazení rolí na předplatné. Pokud potřebujete vytvořit tisíce přiřazení rolí Azure, můžete narazit na tento limit. Správa stovek nebo tisíců přiřazení rolí může být obtížná. V některých případech můžete pomocí podmínek snížit počet přiřazení rolí v účtu úložiště a usnadnit jejich správu. Správu přiřazení rolí můžete škálovat pomocí podmínek a vlastních atributů zabezpečení Microsoft Entra pro objekty zabezpečení.

Stav funkcí podmínky ve službě Azure Storage

Řízení přístupu na základě atributů Azure (Azure ABAC) je obecně dostupné (GA) pro řízení přístupu ke službě Azure Blob Storage, Azure Data Lake Storage Gen2 a Frontám Azure pomocí requestresourceenvironment, a atributů v úrovních výkonu účtu služby Azure Storage úrovně Standard i principal Premium Storage. Atribut prostředku metadat kontejneru a objekt blob seznamu obsahují atribut požadavku v náhledu.

Následující tabulka ukazuje aktuální stav ABAC podle typu prostředku úložiště a typu atributu. Zobrazí se také výjimky pro konkrétní atributy.

Typy zdrojů Typy atributů Atributy Dostupnost
Objekty blob
Data Lake Storage Gen2
Fronty		 Žádost
Prostředek
Prostředí
Objekt zabezpečení		 Všechny atributy kromě atributů uvedených v této tabulce GA
Data Lake Storage Gen2 Prostředek Snímková Preview
Objekty blob
Data Lake Storage Gen2		 Prostředek Metadata kontejneru Preview
Objekty blob Žádost Zahrnutí objektu blob seznamu Preview

Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.

Poznámka:

Některé funkce úložiště nejsou podporované pro účty úložiště Data Lake Storage Gen2, které používají hierarchický obor názvů (HNS). Další informace najdete v tématu Podpora funkcí úložiště objektů blob.

Následující atributy ABAC nejsou podporovány, pokud je pro účet úložiště povolený hierarchický obor názvů:

Další kroky

Viz také