Mengotorisasi akses ke Azure Blob Storage menggunakan kondisi penetapan peran Azure

  • Artikel

Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan tingkat akses berdasarkan atribut yang terkait dengan prinsip keamanan, sumber daya, lingkungan, dan permintaan itu sendiri. Dengan ABAC, Anda dapat memberikan akses prinsipal keamanan pada sumber daya berdasarkan ketentuan yang dinyatakan sebagai predikat dengan menggunakan atribut ini.

Azure ABAC dibuat berdasarkan kontrol akses berbasis peran Azure (Azure RBAC) dengan menambahkan ketentuan pada penetapan peran Azure. Ini memungkinkan Anda menulis kondisi penetapan peran berdasarkan atribut utama, sumber daya, permintaan, dan lingkungan.

Penting

Kontrol akses berbasis atribut Azure (Azure ABAC) umumnya tersedia (GA) untuk mengontrol akses ke Azure Blob Storage, Azure Data Lake Storage Gen2, dan Azure Queues menggunakan requestatribut , , resourceenvironment, dan principal di tingkat performa akun penyimpanan standar dan premium. Saat ini, atribut sumber daya metadata kontainer dan blob daftar menyertakan atribut permintaan ada di PRATINJAU. Untuk informasi status fitur lengkap ABAC untuk Azure Storage, lihat Status fitur kondisi di Azure Storage.

Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

Gambaran umum ketentuan di Azure Storage

Anda dapat menggunakan ID Microsoft Entra (ID Microsoft Entra) untuk mengotorisasi permintaan ke sumber daya penyimpanan Azure menggunakan Azure RBAC. Azure RBAC membantu Anda mengelola akses ke sumber daya dengan menetapkan pihak yang memiliki akses ke sumber daya serta menetapkan hal yang dapat mereka lakukan dengan sumber daya tersebut, menggunakan definisi peran dan penetapan peran. Azure Storage mendefinisikan set peran bawaan Azure yang mencakup set izin umum yang digunakan untuk mengakses data penyimpanan Azure. Anda juga dapat menentukan peran khusus, dengan sekumpulan izin tertentu. Azure Storage mendukung penetapan peran untuk akun penyimpanan atau kontainer blob.

Azure ABAC dibangun pada Azure RBAC dengan menambahkan ketentuan penetapan peran dalam konteks tindakan tertentu. Ketentuan penetapan peran adalah pemeriksaan tambahan yang dievaluasi ketika tindakan pada sumber daya penyimpanan diotorisasi. Ketentuan ini dinyatakan sebagai predikat menggunakan atribut yang terkait dengan salah satu hal berikut:

  • Prinsipal keamanan yang meminta otorisasi
  • Sumber daya yang aksesnya diminta
  • Parameter permintaan
  • Lingkungan tempat permintaan dibuat

Keuntungan menggunakan ketentuan penetapan peran adalah:

  • Mengaktifkan akses yang lebih baik ke sumber daya - Misalnya, jika Anda ingin memberikan akses baca pengguna ke blob yang berada dalam akun penyimpanan Anda hanya ketika blob ditandai sebagai Project=Sierra, Anda dapat menggunakan pada tindakan baca menggunakan tag sebagai atribut.
  • Mengurangi jumlah penetapan peran yang harus Anda buat dan kelola - Anda dapat melakukan ini dengan menggunakan penetapan peran umum untuk grup keamanan, lalu membatasi akses untuk anggota individu grup dengan menggunakan ketentuan yang sesuai dengan atribut pokok dengan atribut sumber daya tertentu yang sedang diakses (seperti, blob atau kontainer).
  • Menyatakan aturan kontrol akses dalam konteks atribut dengan makna bisnis - Misalnya, Anda dapat menyatakan ketentuan Anda menggunakan atribut yang mewakili nama proyek, aplikasi bisnis, fungsi organisasi, atau tingkat klasifikasi.

Trade-off dari penggunaan kondisi adalah Anda memerlukan taksonomi terstruktur dan konsisten saat menggunakan atribut di seluruh organisasi Anda. Atribut harus dilindungi agar akses tidak disusupi. Selain itu, ketentuan harus dirancang dengan baik dan dampaknya harus ditinjau.

Ketentuan penetapan peran dalam Azure Storage didukung untuk Azure blob storage. Anda juga dapat menggunakan kondisi dengan akun yang mengaktifkan fitur namespace hierarkis (HNS) pada akun tersebut (Data Lake Storage Gen2).

Atribut dan operasi yang didukung

Anda dapat menentukan ketentuan pada penetapan peran untuk DataActions untuk mencapai tujuan ini. Anda dapat menggunakan ketentuan dengan peran kustom atau memilih peran bawaan. Perhatikan, kondisi tidak didukung untuk Tindakan manajemen melalui penyedia sumber daya Penyimpanan.

Anda dapat menambahkan ketentuan ke peran bawaan atau peran kustom. Peran bawaan tempat Anda dapat menggunakan ketentuan penetapan peran termasuk:

Anda dapat menggunakan kondisi dengan peran kustom selama peran menyertakan tindakan yang mendukung kondisi.

Jika Anda bekerja dengan ketentuan berdasarkan tag indeks blob, Anda harus menggunakan Storage Blob Data Owner karena izin untuk operasi tag disertakan dalam peran ini.

Catatan

Tag indeks blob tidak didukung untuk akun penyimpanan Data Lake Storage Gen2, yang menggunakan namespace layanan hierarkis. Anda tidak boleh menulis ketentuan penetapan peran menggunakan tag indeks pada akun penyimpanan yang mengaktifkan HNS.

Format kondisi penetapan peran Azure memungkinkan penggunaan @Principalatribut , @Resource, @Request atau @Environment dalam kondisi. Atribut @Principal adalah atribut keamanan kustom pada prinsipal, seperti pengguna, aplikasi perusahaan (perwakilan layanan), atau identitas terkelola. Atribut @Resource merujuk pada atribut sumber daya penyimpanan yang sudah ada yang sedang diakses, seperti akun penyimpanan, kontainer, atau blob. Atribut @Request mengacu pada atribut atau parameter yang disertakan dalam permintaan operasi penyimpanan. Atribut @Environment mengacu pada lingkungan jaringan atau tanggal dan waktu permintaan.

Azure RBAC mendukung sejumlah penetapan peran terbatas per langganan. Jika Anda perlu membuat ribuan penetapan peran Azure, Anda mungkin mengalami batas ini. Mengelola ratusan atau ribuan penetapan peran mungkin adalah hal yang sulit. Dalam beberapa kasus, Anda dapat menggunakan ketentuan untuk mengurangi jumlah penetapan peran dalam akun penyimpanan Anda agar lebih mudah dikelola. Anda dapat menskalakan manajemen penetapan peran menggunakan kondisi dan atribut keamanan kustom Microsoft Entra untuk prinsipal.

Status fitur kondisi di Azure Storage

Kontrol akses berbasis atribut Azure (Azure ABAC) umumnya tersedia (GA) untuk mengontrol akses ke Azure Blob Storage, Azure Data Lake Storage Gen2, dan Azure Queues menggunakan requestatribut , , resourceenvironment, dan principal di tingkat performa akun penyimpanan standar dan premium. Saat ini, atribut sumber daya metadata kontainer dan blob daftar menyertakan atribut permintaan ada di PRATINJAU.

Tabel berikut menunjukkan status ABAC saat ini menurut jenis sumber daya penyimpanan dan jenis atribut. Pengecualian untuk atribut tertentu juga ditampilkan.

Jenis Sumber Daya Jenis atribut Atribut Ketersediaan
Blobs
Data Lake Storage Gen2
Antrean		 Minta
Sumber daya
Lingkungan
Utama		 Semua atribut kecuali yang tercantum dalam tabel ini GA
Data Lake Storage Gen2 Sumber daya Snapshot Pratinjau
Blobs
Data Lake Storage Gen2		 Sumber daya Metadata kontainer Pratinjau
Blobs Minta Blob daftar termasuk Pratinjau

Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum yang berlaku pada fitur Azure dalam versi beta, pratinjau, atau belum dirilis secara umum.

Catatan

Beberapa fitur penyimpanan tidak didukung untuk akun penyimpanan Data Lake Storage Gen2, yang menggunakan namespace hierarkis (HNS). Untuk mempelajari selengkapnya, lihat Dukungan fitur penyimpanan Blob.

Atribut ABAC berikut tidak didukung saat namespace hierarki diaktifkan untuk akun penyimpanan:

Langkah berikutnya

Lihat juga