Mencegah replikasi objek di seluruh penyewa Microsoft Entra
Replikasi objek secara asinkron menyalin blob blok dari kontainer dalam satu akun penyimpanan ke kontainer di akun penyimpanan lain. Saat Anda mengonfigurasi kebijakan replikasi objek, Anda menentukan akun sumber dan kontainer serta akun dan kontainer tujuan. Setelah kebijakan dikonfigurasi, Azure Storage secara otomatis menyalin hasil operasi buat, perbarui, dan hapus pada objek sumber ke objek tujuan. Untuk informasi selengkapnya tentang replikasi objek di Azure Storage, lihat Replikasi objek untuk blob blok.
Pengguna yang berwenang dapat mengonfigurasi kebijakan replikasi objek di mana akun sumber berada dalam satu penyewa Microsoft Entra dan akun tujuan berada di penyewa yang berbeda jika replikasi lintas penyewa diizinkan di seluruh penyewa Microsoft Entra. Jika kebijakan keamanan Anda mengharuskan Anda membatasi replikasi objek ke akun penyimpanan yang hanya berada dalam penyewa yang sama, Anda dapat melarang pembuatan kebijakan jika akun sumber dan tujuan berada di penyewa yang berbeda. Secara default, replikasi objek lintas penyewa dinonaktifkan untuk semua akun penyimpanan baru yang dibuat setelah 15 Des 2023, kecuali Anda secara eksplisit mengizinkannya.
Artikel ini menjelaskan cara memulihkan replikasi objek lintas penyewa untuk akun penyimpanan Anda. Artikel ini juga menjelaskan cara membuat kebijakan untuk menerapkan larangan replikasi objek lintas penyewa untuk akun penyimpanan baru dan yang sudah ada.
Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan replikasi objek, termasuk kebijakan lintas penyewa, lihat Mengonfigurasi replikasi objek untuk blob blok.
Memulihkan replikasi objek lintas penyewa
Untuk mencegah replikasi objek di seluruh penyewa Microsoft Entra, atur properti AllowCrossTenantReplication untuk akun penyimpanan ke false. Jika akun penyimpanan saat ini tidak berpartisipasi dalam kebijakan replikasi objek lintas penyewa, mengatur properti AllowCrossTenantReplication ke false akan mencegah konfigurasi kebijakan replikasi objek lintas penyewa di masa mendatang dengan akun penyimpanan ini sebagai sumber atau tujuan. Namun, jika akun penyimpanan saat ini berpartisipasi dalam satu atau beberapa kebijakan replikasi objek lintas penyewa, maka mengatur properti AllowCrossTenantReplication ke false tidak diizinkan sampai Anda menghapus kebijakan lintas penyewa yang ada.
Kebijakan lintas penyewa tidak diizinkan secara default untuk akun penyimpanan yang dibuat setelah 15 Des 2023. Namun, properti AllowCrossTenantReplication tidak diatur secara default untuk akun penyimpanan yang ada yang dibuat sebelum 15 Des 2023, dan tidak mengembalikan nilai hingga Anda secara eksplisit mengaturnya. Akun penyimpanan dapat berpartisipasi dalam kebijakan replikasi objek di seluruh penyewa ketika nilai properti null atau true untuk akun yang dibuat sebelum Dev 15, 2023. Untuk akun yang dibuat setelah waktu tersebut, properti perlu diatur ke true. Mengatur properti AllowCrossTenantReplication tidak menimbulkan waktu henti pada akun penyimpanan.
Memulihkan replikasi lintas penyewa untuk akun baru
Untuk melarang replikasi lintas penyewa untuk akun penyimpanan baru, gunakan portal Microsoft Azure, PowerShell, atau Azure CLI. Properti default ke false untuk akun baru yang dibuat setelah 15 Des 2023, bahkan ketika tidak diatur secara eksplisit.
Untuk melarang replikasi objek lintas penyewa untuk akun penyimpanan, ikuti langkah-langkah berikut:
Di portal Microsoft Azure, buka halaman Akun penyimpanan dan pilih Buat.
Isi tab Dasar untuk akun penyimpanan baru.
Pada tab Tingkat Lanjut, di bagian Penyimpanan blob, temukan pengaturan Izinkan replikasi lintas penyewa, dan hapus centang pada kotak.
Selesaikan proses pembuatan akun baru.
Memulihkan replikasi lintas penyewa untuk akun yang sudah ada
Untuk melarang replikasi lintas penyewa untuk akun penyimpanan yang sudah ada, gunakan portal Microsoft Azure, PowerShell, atau Azure CLI.
Untuk melarang replikasi objek lintas penyewa untuk akun penyimpanan yang sudah ada yang saat ini tidak berpartisipasi dalam kebijakan lintas penyewa, ikuti langkah-langkah berikut:
Navigasikan ke akun penyimpanan Anda di portal Microsoft Azure.
Di Manajemen data, pilih Replikasi Objek.
Pilih Pengaturan tingkat lanjut.
Hapus centang Izinkan replikasi lintas penyewa. Secara default, kotak ini dicentang, karena replikasi objek lintas penyewa diizinkan untuk akun penyimpanan kecuali Anda secara eksplisit melarangnya.
Pilih OK untuk menyimpan perubahan Anda.
Jika akun penyimpanan saat ini berpartisipasi dalam satu atau beberapa kebijakan replikasi lintas penyewa, Anda tidak akan dapat melarang replikasi objek lintas penyewa sampai Anda menghapus kebijakan tersebut. Dalam skenario ini, pengaturan tidak tersedia di portal Microsoft Azure, seperti yang ditunjukkan pada gambar berikut.
Setelah Anda melarang replikasi lintas penyewa, mencoba mengonfigurasi kebijakan lintas penyewa dengan akun penyimpanan sebagai sumber atau tujuan akan gagal. Azure Storage mengembalikan kesalahan yang menunjukkan bahwa replikasi objek lintas penyewa tidak diizinkan untuk akun penyimpanan.
Jika replikasi objek lintas penyewa dilarang untuk akun penyimpanan, setiap kebijakan replikasi objek baru yang Anda buat dengan akun tersebut harus menyertakan ID Azure Resource Manager lengkap untuk akun sumber dan tujuan. Azure Storage memerlukan ID sumber daya lengkap untuk memverifikasi apakah akun sumber dan tujuan berada dalam penyewa yang sama. Untuk informasi selengkapnya, lihat Menentukan ID sumber daya lengkap untuk akun sumber dan tujuan.
Properti AllowCrossTenantReplication didukung untuk akun penyimpanan yang hanya menggunakan model penyebaran Azure Resource Manager. Untuk informasi tentang akun penyimpanan mana yang menggunakan model penyebaran Azure Resource Manager, lihat Jenis akun penyimpanan.
Izin untuk mengizinkan atau melarang replikasi lintas penyewa
Untuk mengatur properti AllowCrossTenantReplication untuk akun penyimpanan, pengguna harus memiliki izin untuk membuat dan mengelola akun penyimpanan. Peran kontrol akses berbasis peran Azure (Azure RBAC) yang memberikan izin ini mencakup tindakan Microsoft.Storage/storageAccounts/write atau Microsoft.Storage/storageAccounts/*. Peran bawaan dengan tindakan ini meliputi:
- Peran Pemilik Azure Resource Manager
- Peran Kontributor Azure Resource Manager
- Peran Kontributor Storage Account
Peran ini tidak menyediakan akses ke data di akun penyimpanan melalui ID Microsoft Entra. Namun, peran ini meliputi Microsoft.Storage/storageAccounts/listkeys/action, yang memberikan akses ke kunci akses akun. Dengan izin ini, pengguna dapat menggunakan kunci akses akun untuk mengakses semua data di akun penyimpanan.
Penetapan peran harus dicakup ke tingkat akun penyimpanan atau yang lebih tinggi untuk mengizinkan pengguna mengizinkan atau melarang replikasi objek lintas penyewa untuk akun penyimpanan. Untuk informasi selengkapnya tentang cakupan peran, lihat Memahami cakupan Azure RBAC.
Berhati-hatilah untuk membatasi penetapan peran ini hanya kepada mereka yang membutuhkan kemampuan untuk membuat akun penyimpanan atau memperbarui propertinya. Gunakan prinsip hak istimewa paling sedikit untuk memastikan bahwa pengguna memiliki izin terkecil yang dibutuhkan dalam menyelesaikan tugasnya. Untuk informasi selengkapnya tentang pengelolaan akses dengan Azure RBAC, lihat Praktik terbaik untuk Azure RBAC.
Catatan
Peran administrator langganan klasik Administrator Layanan dan Administrator Bersama mencakup peran Pemilik Azure Resource Manager yang setara. Peran Pemilik mencakup semua tindakan, sehingga pengguna dengan salah satu peran administratif ini juga dapat membuat dan mengelola akun penyimpanan. Untuk informasi selengkapnya, lihat Peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik.
Menggunakan Azure Policy untuk mengaudit kepatuhan
Jika Anda memiliki banyak akun penyimpanan, Anda mungkin ingin melakukan audit untuk memastikan bahwa akun tersebut dikonfigurasi untuk mencegah replikasi objek lintas penyewa. Untuk mengaudit sekumpulan akun penyimpanan atas kepatuhannya, gunakan Azure Policy. Azure Policy adalah layanan yang dapat Anda gunakan untuk membuat, menetapkan, dan mengelola kebijakan yang menerapkan aturan ke sumber daya Azure. Azure Policy membantu Anda menjaga sumber daya tersebut sesuai dengan standar perusahaan dan perjanjian tingkat layanan Anda. Untuk mengetahui informasi selengkapnya, lihat Gambaran Umum Azure Policy.
Membuat kebijakan dengan efek Audit
Azure Policy mendukung efek yang menentukan apa yang terjadi jika aturan kebijakan dievaluasi terhadap sumber daya. Efek Audit membuat peringatan jika sumber daya tidak mematuhi, tetapi tidak menghentikan permintaan. Untuk informasi selengkapnya tentang efek, lihat Memahami efek Azure Policy.
Untuk membuat kebijakan dengan efek Audit pengaturan replikasi objek lintas penyewa untuk akun penyimpanan dengan portal Microsoft Azure, ikuti langkah-langkah berikut:
Di portal Microsoft Azure, navigasikan ke layanan Azure Policy.
Di bagian Penulisan, pilih Definisi.
Pilih Tambahkan definisi kebijakan untuk membuat definisi kebijakan baru.
Untuk bidang Lokasi definisi, pilih tombol Lainnya untuk menentukan tempat sumber daya kebijakan audit berada.
Tentukan nama untuk kebijakan tersebut. Anda dapat menentukan deskripsi dan kategori secara opsional.
Pada Aturan kebijakan, tambahkan definisi kebijakan berikut ke bagian policyRule.
{ "if": { "allOf": [ { "field": "type", "equals": "Microsoft.Storage/storageAccounts" }, { "not": { "field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication", "equals": "false" } } ] }, "then": { "effect": "audit" } }Simpan kebijakan.
Menetapkan kebijakan
Selanjutnya, tetapkan kebijakan ke sumber daya. Cakupan kebijakan sesuai dengan sumber daya tersebut dan sumber daya apa pun di bawahnya. Untuk informasi selengkapnya tentang penetapan kebijakan, lihat Struktur penetapan Azure Policy.
Untuk menetapkan kebijakan dengan portal Microsoft Azure, ikuti langkah-langkah berikut:
- Di portal Microsoft Azure, navigasikan ke layanan Azure Policy.
- Di bagian Penulisan, pilih Penugasan.
- Pilih Tetapkan kebijakan untuk membuat penetapan kebijakan baru.
- Untuk bidang Cakupan, pilih cakupan penetapan kebijakan.
- Untuk bidang Definisi kebijakan, pilih tombol Lainnya, lalu pilih kebijakan yang Anda tentukan di bagian sebelumnya dari daftar.
- Berikan nama untuk penetapan kebijakan tersebut. Deskripsinya bersifat opsional.
- Biarkan Pemberlakuan kebijakan diatur ke Aktif. Pengaturan ini tidak berpengaruh pada kebijakan audit.
- Pilih Tinjau + buat untuk membuat penetapan.
Melihat hasil kepatuhan
Setelah menetapkan kebijakan, Anda dapat melihat laporan kepatuhan. Laporan kepatuhan kebijakan audit memberikan informasi tentang akun penyimpanan mana yang masih mengizinkan kebijakan replikasi objek lintas penyewa. Untuk informasi selengkapnya, lihat Mendapatkan data kepatuhan kebijakan.
Mungkin perlu waktu beberapa menit agar laporan kepatuhan tersedia setelah penetapan kebijakan dibuat.
Untuk melihat laporan kepatuhan dalam portal Microsoft Azure, ikuti langkah-langkah berikut ini:
Di portal Microsoft Azure, navigasikan ke layanan Azure Policy.
Pilih Kepatuhan.
Filter hasil untuk nama penetapan kebijakan yang Anda buat di langkah sebelumnya. Laporan tersebut menunjukkan berapa banyak sumber daya yang tidak mematuhi kebijakan.
Anda dapat menelusuri detail laporan untuk detail tambahan, termasuk daftar akun penyimpanan yang tidak mematuhinya.
Menggunakan Azure Policy untuk menerapkan kebijakan replikasi penyewa yang sama
Azure Policy mendukung tata kelola cloud dengan memastikan sumber daya Azure mematuhi persyaratan dan standar. Untuk memastikan bahwa akun penyimpanan di organisasi Anda hanya melarang replikasi lintas penyewa, Anda dapat membuat kebijakan yang mencegah pembuatan akun penyimpanan baru yang mengizinkan kebijakan replikasi objek lintas penyewa. Kebijakan penerapan menggunakan efek Tolak untuk mencegah permintaan yang akan membuat atau memodifikasi akun penyimpanan guna mengizinkan replikasi objek lintas penyewa. Kebijakan Tolak juga akan mencegah semua perubahan konfigurasi pada akun yang sudah ada jika pengaturan replikasi objek lintas penyewa untuk akun tersebut tidak mematuhi kebijakan. Untuk informasi selengkapnya tentang efek Tolak, lihat Memahami efek Azure Policy.
Untuk membuat kebijakan dengan efek Tolak untuk replikasi objek lintas penyewa, ikuti langkah-langkah yang sama dengan yang dijelaskan dalam Menggunakan Azure Policy untuk mengaudit kepatuhan, namun sertakan JSON berikut di bagian policyRule dari definisi kebijakan:
{
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Storage/storageAccounts"
},
{
"not": {
"field":"Microsoft.Storage/storageAccounts/allowCrossTenantReplication",
"equals": "false"
}
}
]
},
"then": {
"effect": "deny"
}
}
Setelah Anda membuat kebijakan dengan efek Tolak dan menetapkannya ke cakupan, pengguna tidak dapat membuat akun penyimpanan yang mengizinkan replikasi objek lintas penyewa. Pengguna juga tidak dapat membuat perubahan konfigurasi apa pun ke akun penyimpanan yang ada yang saat ini mengizinkan replikasi objek lintas penyewa. Percobaan untuk melakukannya akan menyebabkan kesalahan. Properti AllowCrossTenantReplication untuk akun penyimpanan harus diatur ke false untuk melanjutkan pembuatan akun atau pembaruan konfigurasi, sesuai dengan kebijakan.
Gambar berikut menunjukkan kesalahan yang terjadi jika Anda mencoba membuat akun penyimpanan yang mengizinkan replikasi objek lintas penyewa (default untuk akun baru) ketika kebijakan dengan efek Tolak mengharuskan replikasi objek lintas penyewa tidak diizinkan.
