Blobokhoz való hozzáférés engedélyezése az Azure Active Directoryval

Az Azure Storage támogatja az Azure Active Directory (Azure AD) használatát a blobadatokra irányuló kérések engedélyezéséhez. A Azure AD azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyeket adhat egy rendszerbiztonsági tagnak, amely lehet felhasználó, csoport vagy alkalmazás-szolgáltatásnév. A rendszerbiztonsági tag hitelesítése Azure AD történik egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat ezután a Blob szolgáltatásra irányuló kérések engedélyezésére használható.

Az Azure Storage-ra irányuló kérések engedélyezése Azure AD kiemelkedő biztonságot és egyszerű használatot biztosít a megosztott kulcsos hitelesítéssel szemben. A Microsoft Azure AD engedélyezését javasolja a blobalkalmazásokkal, amikor csak lehetséges, hogy a hozzáférést minimálisan szükséges jogosultságokkal biztosítsa.

A Azure AD-hitelesítés minden általános célú és Blob Storage-fiókhoz elérhető az összes nyilvános régióban és országos felhőben. Csak az Azure Resource Manager-alapú üzemi modellel létrehozott tárfiókok támogatják Azure AD engedélyezést.

A Blob Storage emellett támogatja Azure AD hitelesítő adatokkal aláírt közös hozzáférésű jogosultságkódok (SAS) létrehozását is. További információ: Korlátozott hozzáférés biztosítása közös hozzáférésű jogosultságkóddal rendelkező adatokhoz.

A blobok Azure AD áttekintése

Amikor egy rendszerbiztonsági tag (felhasználó, csoport vagy alkalmazás) megpróbál hozzáférni egy bloberőforráshoz, a kérést engedélyezni kell, kivéve, ha névtelen hozzáférésre alkalmas blobról van szó. Az Azure AD az erőforrásokhoz való hozzáférés kétlépéses folyamat. Először a rendszer hitelesíti a rendszerbiztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad vissza. Ezután a rendszer a jogkivonatot a blobszolgáltatásnak küldött kérés részeként továbbítja, és a szolgáltatás a megadott erőforráshoz való hozzáférés engedélyezésére használja.

A hitelesítési lépéshez egy alkalmazásnak futásidőben OAuth 2.0 hozzáférési jogkivonatot kell kérnie. Ha egy alkalmazás egy Azure-entitásból, például egy Azure-beli virtuális gépről, egy virtuálisgép-méretezési csoportból vagy egy Azure Functions-alkalmazásból fut, felügyelt identitással férhet hozzá a blobadatokhoz. Ha meg szeretné tudni, hogyan engedélyezheti a felügyelt identitás által az Azure Blob szolgáltatásnak küldött kéréseket, tekintse meg az Azure-erőforrások felügyelt identitásaival rendelkező blobadatokhoz való hozzáférés engedélyezését ismertető témakört.

Az engedélyezési lépéshez egy vagy több Azure RBAC-szerepkört kell hozzárendelni a kérést küldő rendszerbiztonsági taghoz. További információ: Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz.

Az Azure Blob szolgáltatáshoz kéréseket intéző natív alkalmazások és webalkalmazások is engedélyezhetik a hozzáférést Azure AD. Ha meg szeretné tudni, hogyan kérhet hozzáférési jogkivonatot, és hogyan engedélyezheti a blobadatokra vonatkozó kéréseket, tekintse meg az Azure Storage-hoz való hozzáférés engedélyezését Azure AD Azure Storage-alkalmazásból.

A blobadat-műveletek engedélyezése Azure AD csak a REST API 2017-11-09-es és újabb verzióiban támogatott. További információ: Az Azure Storage-szolgáltatások verziószámozása.

Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz

Az Azure Active Directory (Azure AD) hozzáférési jogosultságokat engedélyez a biztonságos erőforrásokhoz az Azure RBAC-n keresztül. Az Azure Storage beépített RBAC-szerepköröket határoz meg, amelyek a blobadatok eléréséhez használt általános engedélykészleteket foglalják magukban. A blobadatokhoz való hozzáféréshez egyéni szerepköröket is definiálhat. Ha többet szeretne megtudni az Azure-szerepkörök blobhozzáféréshez való hozzárendeléséről, tekintse meg az Azure-szerepkörök blobadatokhoz való hozzáféréshez való hozzárendelését ismertető témakört.

A Azure AD rendszerbiztonsági tag lehet egy felhasználó, egy csoport, egy alkalmazás-szolgáltatásnév vagy az Azure-erőforrások felügyelt identitása. A rendszerbiztonsági taghoz rendelt RBAC-szerepkörök határozzák meg a rendszerbiztonsági tag engedélyeit. További információ az Azure-szerepkörök blobhozzáféréshez való hozzárendeléséről: Azure-szerepkör hozzárendelése blobadatokhoz való hozzáféréshez

Bizonyos esetekben előfordulhat, hogy engedélyeznie kell a bloberőforrásokhoz való részletes hozzáférést, vagy egyszerűsítenie kell az engedélyeket, ha nagy számú szerepkör-hozzárendeléssel rendelkezik egy tárerőforráshoz. Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) használatával konfigurálhatja a szerepkör-hozzárendelések feltételeit. A feltételeket egyéni szerepkörökkel is használhatja, vagy választhat beépített szerepköröket. További információ az Azure Storage-erőforrások feltételeinek ABAC-vel való konfigurálásáról: Blobokhoz való hozzáférés engedélyezése Azure-ral történő szerepkör-hozzárendelési feltételekkel (előzetes verzió). A blobadatok műveleteinek támogatott feltételeivel kapcsolatos részletekért tekintse meg az Azure-beli szerepkör-hozzárendelési feltételek műveleteit és attribútumait az Azure Storage előzetes verziójában.

Erőforrás hatóköre

Mielőtt Azure RBAC-szerepkört rendel egy rendszerbiztonsági taghoz, határozza meg a hozzáférés hatókörét, amellyel a rendszerbiztonsági tagnak rendelkeznie kell. Az ajánlott eljárások azt írják elő, hogy mindig a lehető legszűkebb hatókört érdemes megadni. A szélesebb hatókörben definiált Azure RBAC-szerepköröket az alattuk lévő erőforrások öröklik.

Az Azure-blob-erőforrásokhoz való hozzáférést a következő szinteken, a legszűkebb hatókörrel kezdődően végezheti el:

  • Egy különálló tároló. Ebben a hatókörben a szerepkör-hozzárendelés a tároló összes blobjára, valamint a tároló tulajdonságaira és metaadataira vonatkozik.
  • A tárfiók. Ebben a hatókörben a szerepkör-hozzárendelés az összes tárolóra és azok blobokra vonatkozik.
  • Az erőforráscsoport. Ebben a hatókörben a szerepkör-hozzárendelés az erőforráscsoport összes tárfiókjában található összes tárolóra vonatkozik.
  • Az előfizetés. Ebben a hatókörben a szerepkör-hozzárendelés az előfizetés összes erőforráscsoportjának összes tárfiókjában található összes tárolóra vonatkozik.
  • Egy felügyeleti csoport. Ebben a hatókörben a szerepkör-hozzárendelés a felügyeleti csoport összes előfizetésében lévő összes erőforráscsoport összes tárfiókjában található összes tárolóra vonatkozik.

További információ az Azure RBAC-szerepkör-hozzárendelések hatóköréről: Az Azure RBAC hatókörének ismertetése.

Azure beépített szerepkörök blobokhoz

Az Azure RBAC számos beépített szerepkört biztosít a blobadatokhoz való hozzáférés engedélyezéséhez Azure AD és OAuth használatával. Néhány példa az Azure Storage-beli adaterőforrásokhoz engedélyeket biztosító szerepkörökre:

Ha szeretné megtudni, hogyan rendelhet hozzá beépített Azure-szerepkört egy rendszerbiztonsági taghoz, tekintse meg az Azure-szerepkörök blobadatokhoz való hozzáférésének hozzárendelésével foglalkozó témakört. Az Azure RBAC-szerepkörök és -engedélyek listázásával kapcsolatos információkért tekintse meg az Azure-szerepkör-definíciók listázását.

További információ az Azure Storage beépített szerepköreinek definiálásáról: A szerepkör-definíciók ismertetése. További információ az egyéni Azure-szerepkörök létrehozásáról: Egyéni Azure-szerepkörök.

Csak az adathozzáféréshez explicit módon definiált szerepkörök teszik lehetővé a rendszerbiztonsági tagok számára a blobadatok elérését. A beépített szerepkörök, például a Tulajdonos, a Közreműködő és a Tárfiók közreműködője lehetővé teszik a rendszerbiztonsági tagok számára a tárfiókok kezelését, de nem biztosítanak hozzáférést a fiókon belüli blobadatokhoz Azure AD keresztül. Ha azonban egy szerepkör tartalmazza a Microsoft.Storage/storageAccounts/listKeys/action műveletet, akkor az a felhasználó, akihez a szerepkör hozzá van rendelve, megosztott kulcsos hitelesítéssel férhet hozzá a tárfiókban lévő adatokhoz a fiók hozzáférési kulcsaival. További információ: A blobadatokhoz való hozzáférés engedélyezése a Azure Portal.

Az Azure beépített Azure-szerepköreivel kapcsolatos részletes információkért az Azure Storage-hoz mind az adatszolgáltatásokhoz, mind a felügyeleti szolgáltatáshoz, tekintse meg az Azure beépített azure RBAC-szerepköreinek Storage szakaszát. Emellett az Azure-ban engedélyeket biztosító szerepkörtípusokról további információt a klasszikus előfizetés-rendszergazdai szerepkörök, az Azure-szerepkörök és Azure AD szerepkörök című témakörben talál.

Fontos

Az Azure-beli szerepkör-hozzárendelések propagálása akár 30 percet is igénybe vehet.

Adatműveletek hozzáférési engedélyei

Az egyes Blob-szolgáltatásműveletek meghívásához szükséges engedélyekkel kapcsolatos részletekért tekintse meg az adatműveletek meghívásához szükséges engedélyeket.

Adatok elérése Azure AD-fiókkal

A blobadatokhoz való hozzáférés a Azure Portal, a PowerShell vagy az Azure CLI használatával engedélyezhető a felhasználó Azure AD fiókjával vagy a fiók hozzáférési kulcsaival (megosztott kulcsos hitelesítés).

Adathozzáférés a Azure Portal

A Azure Portal használhatja a Azure AD-fiókját vagy a fiók hozzáférési kulcsait egy Azure Storage-fiók blobadatainak eléréséhez. A Azure Portal által használt engedélyezési séma az Önhöz rendelt Azure-szerepköröktől függ.

Amikor blobadatokat próbál elérni, a Azure Portal először ellenőrzi, hogy a Microsoft.Storage/storageAccounts/listkeys/action használatával hozzárendelt-e Azure-szerepkört. Ha ezzel a művelettel szerepkört kapott, akkor a Azure Portal a fiókkulcsot használja a blobadatok megosztott kulcsos hitelesítéssel való eléréséhez. Ha nem kapott szerepkört ezzel a művelettel, akkor a Azure Portal megpróbál hozzáférni az adatokhoz a Azure AD-fiókjával.

Ha a Azure AD-fiókjával szeretné elérni a blobadatokat a Azure Portal, a blobadatok eléréséhez engedélyekre van szüksége, valamint engedélyekre is szüksége van a tárfiók erőforrásai között való navigáláshoz a Azure Portal. Az Azure Storage által biztosított beépített szerepkörök hozzáférést biztosítanak a bloberőforrásokhoz, de nem adnak engedélyeket a tárfiók erőforrásaihoz. A portálhoz való hozzáféréshez ezért egy olyan Azure Resource Manager-szerepkör hozzárendelésére is szükség van, amelynek hatóköre legalább a tárfiók szintjére kiterjed (például az Olvasó szerepkör). Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz. Azzal kapcsolatban, hogyan adhat az Azure AD-fiókkal rendelkező felhasználóknak adathozzáférést biztosító engedélyeket, lásd a blobadatokhoz való hozzáférést biztosító Azure-szerepkör hozzárendelését ismertető cikket.

Amikor egy tárolóhoz lép, az Azure Portal jelzi, hogy melyik engedélyezési séma van használatban. A portálon való adathozzáféréssel kapcsolatos további információkért lásd az Azure Portalon a blobadatokhoz való hozzáférés engedélyezési módjának kiválasztását ismertető cikket.

Adathozzáférés a PowerShellből vagy az Azure CLI-ből

Az Azure CLI és a PowerShell támogatja a Azure AD hitelesítő adatokkal való bejelentkezést. A bejelentkezés után a munkamenet ezen hitelesítő adatok alatt fut. További információért tekintse meg az alábbi cikkek egyikét:

Szolgáltatások támogatása

Ennek a funkciónak a támogatását befolyásolhatja a Data Lake Storage Gen2, a Hálózati fájlrendszer (NFS) 3.0 protokoll vagy az SSH File Transfer Protocol (SFTP) engedélyezése.

Ha engedélyezte ezeket a képességeket, tekintse meg a Blob Storage szolgáltatástámogatását az Azure Storage-fiókokban a funkció támogatásának felméréséhez.

Következő lépések