Share via

Zelfstudie: Een voorwaarde voor roltoewijzing toevoegen om de toegang tot blobs te beperken met behulp van Azure Portal

  • Artikel

In de meeste gevallen verleent een roltoewijzing de machtigingen die u nodig hebt voor Azure-resources. In sommige gevallen wilt u echter meer gedetailleerd toegangsbeheer bieden door een voorwaarde voor roltoewijzing toe te voegen.

In deze zelfstudie leert u het volgende:

  • Een voorwaarde toevoegen aan een roltoewijzing
  • Toegang tot blobs beperken op basis van een blobindextag

Belangrijk

Op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC) is algemeen beschikbaar (GA) voor het beheren van de toegang tot Azure Blob Storage, Azure Data Lake Storage Gen2 en Azure Queues met behulp van request, resourceen environmentprincipal kenmerken in de prestatielagen standard en Premium Storage-account. Momenteel zijn het resourcekenmerk voor containermetagegevens en de lijst-blob inclusief het aanvraagkenmerk in PREVIEW. Zie Status van voorwaardefuncties in Azure Storage voor volledige informatie over de functiestatus van ABAC voor Azure Storage.

Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.

Vereisten

Zie Voorwaarden voor informatie over de vereisten voor het toevoegen of bewerken van voorwaarden voor roltoewijzing.

Conditie

In deze zelfstudie beperkt u de toegang tot blobs met een specifieke tag. U voegt bijvoorbeeld een voorwaarde toe aan een roltoewijzing, zodat Chandra alleen bestanden met de tag Project=Cascadekan lezen.

Diagram van roltoewijzing met een voorwaarde.

Als Chandra probeert een blob zonder de tag Project=Cascadete lezen, is toegang niet toegestaan.

Diagram met leestoegang tot blobs met project=trapsgewijs label.

De voorwaarde ziet er als volgt uit in code:

(
    (
        !(ActionMatches{'Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read'}
        AND NOT
        SubOperationMatches{'Blob.List'})
    )
    OR
    (
        @Resource[Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags:Project<$key_case_sensitive$>] StringEqualsIgnoreCase 'Cascade'
    )
)

Stap 1: Een gebruiker maken

  1. Meld u als eigenaar van een abonnement aan bij Azure Portal.

  2. Selecteer Microsoft Entra ID.

  3. Maak een gebruiker of zoek een bestaande gebruiker. In deze zelfstudie wordt Chandra gebruikt als voorbeeld.

Stap 2: Opslag instellen

  1. Maak een opslagaccount dat compatibel is met de functie blobindextags. Zie Azure Blob-gegevens beheren en zoeken met blobindextags voor meer informatie.

  2. Maak een nieuwe container in het opslagaccount en stel het anonieme toegangsniveau in op Privé (geen anonieme toegang).

  3. Selecteer Uploaden in de container om het deelvenster Blob uploaden te openen.

  4. Zoek een tekstbestand dat u wilt uploaden.

  5. Selecteer Geavanceerd om het deelvenster uit te vouwen.

  6. Voeg in de sectie Blob-indextags de volgende blobindextag toe aan het tekstbestand.

    Als u de sectie Blob-indextags niet ziet en u uw abonnement zojuist hebt geregistreerd, moet u mogelijk enkele minuten wachten totdat wijzigingen zijn doorgevoerd. Zie Blob-indextags gebruiken voor het beheren en vinden van gegevens in Azure Blob Storage voor meer informatie.

    Notitie

    Blobs bieden ook ondersteuning voor de mogelijkheid om willekeurige door de gebruiker gedefinieerde sleutelwaardemetagegevens op te slaan. Hoewel metagegevens vergelijkbaar zijn met blob-indextags, moet u blobindextags met voorwaarden gebruiken.

    Sleutel Weergegeven als
    Project Cascade

Schermopname van het deelvenster Blob uploaden met de sectie Blogindextags.

  1. Selecteer de knop Uploaden om het bestand te uploaden.

  2. Upload een tweede tekstbestand.

  3. Voeg de volgende blobindextag toe aan het tweede tekstbestand.

    Sleutel Weergegeven als
    Project Baker

Stap 3: Een opslagblobgegevensrol toewijzen

  1. Open de resourcegroep.

  2. Klik op Toegangsbeheer (IAM) .

  3. Selecteer het tabblad Roltoewijzingen om de roltoewijzingen voor dit bereik weer te geven.

  4. Selecteer Toevoegen>Roltoewijzing toevoegen. De pagina Roltoewijzing toevoegen wordt geopend:

Schermopname van het menu Roltoewijzing toevoegen > .

  1. Selecteer op het tabblad Rollen de rol Opslagblobgegevenslezer .

Schermopname van de pagina Roltoewijzing toevoegen met het tabblad Rollen.

  1. Selecteer op het tabblad Leden de gebruiker die u eerder hebt gemaakt.

Schermopname van de pagina Roltoewijzing toevoegen met het tabblad Leden.

  1. (Optioneel) Voer in het vak Beschrijving leestoegang tot blobs in met de tag Project=Trapsgewijs.

  2. Selecteer Volgende.

Stap 4: Een voorwaarde toevoegen

  1. Selecteer Op het tabblad Voorwaarden (optioneel) de optie Voorwaarde toevoegen. De pagina Roltoewijzingsvoorwaarde toevoegen wordt weergegeven:

Schermopname van de pagina Roltoewijzingsvoorwaarde toevoegen voor een nieuwe voorwaarde.

  1. Selecteer actie toevoegen in de sectie Actie toevoegen.

    Het deelvenster Een actie selecteren wordt weergegeven. Dit deelvenster is een gefilterde lijst met gegevensacties op basis van de roltoewijzing die het doel van uw voorwaarde is. Schakel het selectievakje naast Een blob lezen in en selecteer vervolgens Selecteren:

Schermopname van Een actievenster selecteren met een actie geselecteerd.

  1. Selecteer in de sectie Build-expressie de optie Expressie toevoegen.

    De sectie Expressie wordt uitgevouwen.

  2. Geef de volgende expressie-instellingen op:

    Instelling Weergegeven als
    Kenmerkbron Bron
    Kenmerk Blob-indextags [Waarden in sleutel]
    Sleutel Project
    Operator StringEqualsIgnoreCase
    Weergegeven als Cascade

Schermopname van de sectie Build-expressie voor blobindextags.

  1. Schuif omhoog naar het type Editor en selecteer Code.

    De voorwaarde wordt weergegeven als code. U kunt wijzigingen aanbrengen in de voorwaarde in deze code-editor. Als u terug wilt gaan naar de visualeditor, selecteert u Visual.

Schermopname van de voorwaarde die wordt weergegeven in de code-editor.

  1. Selecteer Opslaan om de voorwaarde toe te voegen en terug te gaan naar de pagina Roltoewijzing toevoegen.

  2. Selecteer Volgende.

  3. Selecteer Op het tabblad Beoordelen en toewijzen de optie Controleren + toewijzen om de rol met een voorwaarde toe te wijzen .

    Na enkele ogenblikken wordt de rol in het geselecteerde bereik toegewezen aan de beveiligings-principal.

Schermopname van de lijst met roltoewijzingen na het toewijzen van de rol.

Stap 5: Rol Lezer toewijzen

  • Herhaal de vorige stappen om de rol Lezer toe te wijzen aan de gebruiker die u eerder hebt gemaakt in het bereik van de resourcegroep.

    Notitie

    Doorgaans hoeft u de rol Lezer niet toe te wijzen. Dit wordt echter gedaan zodat u de voorwaarde kunt testen met behulp van Azure Portal.

Stap 6: De voorwaarde testen

  1. Meld u in een nieuw venster aan bij Azure Portal.

  2. Meld u aan als de gebruiker die u eerder hebt gemaakt.

  3. Open het opslagaccount en de container die u hebt gemaakt.

  4. Zorg ervoor dat de verificatiemethode is ingesteld op het Microsoft Entra-gebruikersaccount en niet op de toegangssleutel.

Schermopname van opslagcontainer met testbestanden.

  1. Selecteer het tekstbestand Baker.

    U moet de blob NIET kunnen weergeven of downloaden en er moet een bericht met een autorisatie mislukt worden weergegeven.

  2. Selecteer Trapsgewijs tekstbestand.

    U moet de blob kunnen bekijken en downloaden.

Stap 7: resources opschonen

  1. Verwijder de roltoewijzing die u hebt toegevoegd.

  2. Verwijder het testopslagaccount dat u hebt gemaakt.

  3. Verwijder de gebruiker die u hebt gemaakt.

Volgende stappen