Hozzáférés engedélyezése az Azure Storage-beli adatokhoz
Minden alkalommal, amikor hozzáfér a tárfiókban lévő adatokhoz, az ügyfélalkalmazás HTTP/HTTPS-en keresztül küld kérést az Azure Storage-ba. Alapértelmezés szerint az Azure Storage minden erőforrása védett, és a biztonságos erőforrásra irányuló minden kérést engedélyezni kell. Az engedélyezés biztosítja, hogy az ügyfélalkalmazás megfelelő engedélyekkel rendelkezik egy adott erőforrás eléréséhez a tárfiókban.
Fontos
Az optimális biztonság érdekében a Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használva engedélyezze a blob-, üzenetsor- és táblaadatokra vonatkozó kéréseket, amikor csak lehetséges. A Microsoft Entra-azonosítóval és felügyelt identitásokkal való engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál. Ha egy .NET-alkalmazáshoz szeretne felügyelt identitást engedélyezni és használni, tekintse meg az Azure-ban üzemeltetett alkalmazások azure-erőforrásokhoz való hitelesítését a .NET-tel.
Az Azure-on kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon az Azure Arc-kompatibilis kiszolgálókon.
Olyan esetekben, amikor közös hozzáférésű jogosultságkódokat (SAS) használnak, a Microsoft egy felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett a Microsoft Entra hitelesítő adatai védik. A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Korlátozott hozzáférés biztosítása közös hozzáférésű jogosultságkódokkal rendelkező adatokhoz. A felhasználói delegálási SAS .NET-sel való létrehozását és használatát ismertető példa: Felhasználói delegálási SAS létrehozása egy .NET-blobhoz.
Adatműveletek engedélyezése
Az alábbi szakasz az egyes Azure Storage-szolgáltatások engedélyezési támogatását és javaslatait ismerteti.
Az alábbi táblázat a blobok támogatott engedélyezési lehetőségeiről nyújt tájékoztatást:
| Engedélyezési lehetőség | Útmutató | Ajánlás |
|---|---|---|
| Microsoft Entra ID | Az Azure Storage-adatokhoz való hozzáférés engedélyezése a Microsoft Entra-azonosítóval | A Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használja a bloberőforrásokra irányuló kérelmek engedélyezéséhez. |
| Megosztott kulcs (tárfiókkulcs) | Engedélyezés megosztott kulccsal | A Microsoft azt javasolja, hogy tiltsa le a megosztott kulcs engedélyezését a tárfiókjaihoz. |
| Közös hozzáférésű jogosultságkód (SAS) | Közös hozzáférésű jogosultságkódok (SAS) használata | Ha SAS-engedélyezésre van szükség, a Microsoft javasolja a felhasználói delegálási SAS használatát a bloberőforrásokhoz való korlátozott delegált hozzáféréshez. |
| Névtelen olvasási hozzáférés | Áttekintés: Blobadatok névtelen olvasási hozzáférésének szervizelése | A Microsoft azt javasolja, hogy tiltsa le az összes tárfiók névtelen hozzáférését. |
| Helyi felhasználók tárolása | Csak SFTP esetén támogatott. További információ: Blob Storage-hozzáférés engedélyezése SFTP-ügyfélhez | További információért tekintse meg az útmutatót. |
Az alábbi szakasz röviden ismerteti az Azure Storage engedélyezési lehetőségeit:
Megosztott kulcs engedélyezése: Blobokra, fájlokra, üzenetsorokra és táblákra vonatkozik. A megosztott kulcsot használó ügyfél minden, a tárfiók hozzáférési kulcsával aláírt kéréssel egy fejlécet ad át. További információ: Engedélyezés megosztott kulccsal.
A Microsoft azt javasolja, hogy tiltsa le a megosztott kulcs engedélyezését a tárfiókhoz. Ha a megosztott kulcs engedélyezése nem engedélyezett, az ügyfeleknek Microsoft Entra-azonosítót vagy felhasználói delegálási SAS-t kell használniuk az adott tárfiókban lévő adatkérések engedélyezéséhez. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.
Közös hozzáférésű jogosultságkódok blobokhoz , fájlokhoz, üzenetsorokhoz és táblákhoz. A közös hozzáférésű jogosultságkódok (SAS) korlátozott delegált hozzáférést biztosítanak a tárfiók erőforrásaihoz egy aláírt URL-címen keresztül. Az aláírt URL-cím megadja az erőforrásnak adott engedélyeket és az aláírás érvényességének időtartamát. A szolgáltatás SAS-jének vagy fiók SAS-jének aláírása a fiókkulccsal történik, míg a felhasználói delegálási SAS a Microsoft Entra hitelesítő adataival van aláírva, és csak a blobokra vonatkozik. További információ: Közös hozzáférésű jogosultságkódok (SAS) használata.
Microsoft Entra-integráció: Blob-, üzenetsor- és táblaerőforrásokra vonatkozik. A Microsoft azt javasolja, hogy a Microsoft Entra hitelesítő adatait felügyelt identitásokkal használva engedélyezze az adatkéréseket, ha lehetséges, az optimális biztonság és a könnyű használat érdekében. A Microsoft Entra integrációjával kapcsolatos további információkért tekintse meg a blob-, üzenetsor- vagy táblaerőforrásokról szóló cikkeket.
Az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) kezelheti egy biztonsági tag blob-, üzenetsor- és táblaerőforrás-engedélyeit egy tárfiókban. Az Azure attribútumalapú hozzáférés-vezérlés (ABAC) használatával feltételeket adhat a bloberőforrások Azure-szerepkör-hozzárendeléseihez.
További információ az RBAC-ről: Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?.
További információ az ABAC-ről: Mi az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?. Az ABAC-funkciók állapotáról az Azure Storage ABAC-feltételfunkcióinak állapota című témakörben olvashat.
Microsoft Entra Domain Services-hitelesítés: Az Azure Filesra vonatkozik. Az Azure Files támogatja az identitásalapú engedélyezést a Server Message Block (SMB) szolgáltatáson keresztül a Microsoft Entra Domain Servicesen keresztül. Az Azure RBAC használatával részletesen szabályozhatja, hogy egy ügyfél hozzáfér-e az Azure Files-erőforrásokhoz egy tárfiókban. További információ az Azure Files tartományi szolgáltatásokkal történő hitelesítéséről: Az Azure Files identitásalapú hitelesítési lehetőségeinek áttekintése az SMB-hozzáféréshez.
Helyszíni Active Directory tartományi szolgáltatások (AD DS vagy helyszíni AD DS) hitelesítés: Az Azure Filesra vonatkozik. Az Azure Files támogatja az identitásalapú engedélyezést SMB-n keresztül az AD DS-en keresztül. Az AD DS-környezet helyszíni gépeken vagy Azure-beli virtuális gépeken is üzemeltethető. A fájlokhoz való SMB-hozzáférés AD DS-hitelesítő adatokkal támogatott a tartományhoz csatlakoztatott gépekről, akár a helyszínen, akár az Azure-ban. Az Azure RBAC kombinációját használhatja megosztási szintű hozzáférés-vezérléshez és NTFS DAC-okat a címtár-/fájlszintű engedélyérvényesítéshez. Az Azure Files tartományi szolgáltatásokkal történő hitelesítésével kapcsolatos további információkért tekintse meg az áttekintést.
Névtelen olvasási hozzáférés: Blob-erőforrásokra vonatkozik. Ez a beállítás nem ajánlott. Ha a névtelen hozzáférés konfigurálva van, az ügyfelek engedély nélkül is olvashatják a blobadatokat. Javasoljuk, hogy tiltsa le az összes tárfiók névtelen hozzáférését. További információ : Áttekintés: A blobadatok névtelen olvasási hozzáférésének szervizelése.
Helyi tárolófelhasználók: SFTP-vel rendelkező blobokra vagy SMB-vel rendelkező fájlokra vonatkozik. A tároló helyi felhasználói támogatják a tárolószintű engedélyeket az engedélyezéshez. Az SSH-fájlátviteli protokoll (SFTP) használatával az Azure Blob Storage-ba való Csatlakozás további információ arról, hogy a helyi felhasználók hogyan használhatók az SFTP-vel.
A hozzáférési kulcsok védelme
A tárfiók hozzáférési kulcsai teljes hozzáférést biztosítanak a tárfiók konfigurációihoz, valamint az adatokhoz. Mindig ügyeljen a hozzáférési kulcsok védelmére. Az Azure Key Vault használatával biztonságosan kezelheti és elforgathatja a kulcsokat. A megosztott kulcshoz való hozzáférés teljes hozzáférést biztosít a felhasználónak a tárfiók konfigurációihoz és adataihoz. A megosztott kulcsokhoz való hozzáférést gondosan korlátozni és figyelni kell. Használjon korlátozott hozzáférési hatókörű felhasználói delegálási SAS-jogkivonatokat olyan esetekben, amikor a Microsoft Entra ID-alapú hitelesítés nem használható. Kerülje a hozzáférési kulcsok kódolását vagy mentését bárhol, egyszerű, mások számára elérhető szövegben. Forgassa el a kulcsokat, ha úgy véli, hogy feltörték őket.
Fontos
Ha meg szeretné akadályozni, hogy a felhasználók megosztott kulccsal férhessenek hozzá a tárfiók adataihoz, letilthatja a tárfiók megosztott kulcsának engedélyezését. Ajánlott biztonsági eljárásként ajánlott a minimális jogosultságokkal rendelkező adatokhoz való részletes hozzáférés. A Microsoft Entra ID-alapú hitelesítést felügyelt identitásokkal kell használni az OAuth-t támogató forgatókönyvekhez. Kerberost vagy SMTP-t kell használni az Azure Fileshoz SMB-en keresztül. A REST-en keresztüli Azure Files esetében SAS-jogkivonatok használhatók. A megosztott kulcs hozzáférését le kell tiltani, ha nincs szükség a véletlen használat megakadályozására. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.
Az Azure Storage-fiók Microsoft Entra feltételes hozzáférési szabályzatokkal való védelméhez le kell tiltania a tárfiók megosztott kulcsának engedélyezését.
Ha letiltotta a megosztott kulcshoz való hozzáférést, és a diagnosztikai naplókban a megosztott kulcs engedélyezését látja, az azt jelzi, hogy a rendszer megbízható hozzáférést használ a tárterület eléréséhez. További információ: Az előfizetésben regisztrált erőforrások megbízható hozzáférése.