Kapsayıcılara ve bloblara anonim genel okuma erişimini engelleme

Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yolu olabilir, ancak güvenlik riski de olabilir. Anonim erişimi büyük bir şekilde yönetmek ve verilerinize anonim erişimin nasıl değerlendirileceklerini anlamak önemlidir. Genel olarak erişilebilen verilere yönelik operasyonel karmaşıklık, insan hatası veya kötü amaçlı saldırı, yüksek maliyetli veri ihlallerine neden olabilir. Microsoft, anonim erişimi yalnızca uygulama senaryo için gerekli olduğunda etkinleştirmenizi önermektedir.

Varsayılan olarak, blob verilerinize genel erişim her zaman yasaktır. Ancak, bir depolama hesabı için varsayılan yapılandırma, uygun izinlere sahip bir kullanıcının bir depolama hesabı içinde kapsayıcılara ve bloblara genel erişimi yapılandırmasına izin sağlar. Gelişmiş güvenlik için, tek bir kapsayıcının genel erişim ayarına bakılmaksızın depolama hesabına tüm genel erişimine izin veyebilirsiniz. Depolama hesabına genel erişimin engeli, kullanıcının hesapta bir kapsayıcı için genel erişimi etkinleştirmesini önler. Microsoft, senaryo için gerekli olmadıkça depolama hesabına genel erişimine izin vemeyebilirsiniz. Genel erişime izin vermez, anonim erişimin neden olduğu veri ihlallerini önlemeye yardımcı olur.

Depolama hesabı için genel blob erişimini reddedersiniz, Azure Depolama bu hesaba yapılan tüm anonim istekleri reddeder. Bir hesap için genel erişime izin verilmedikten sonra, bu hesapta kapsayıcılar daha sonra genel erişim için yapılandırılamayacaktır. Genel erişim için yapılandırılmış olan kapsayıcılar artık anonim istekleri kabul etmez. Daha fazla bilgi için bkz. Kapsayıcılar ve bloblar için anonim genel okuma erişimini yapılandırma.

Bu makalede depolama hesaplarınız için genel erişimi sürekli olarak yönetmek üzere DRAG (Detection-Remediation-Audit-Governance) çerçevesinin nasıl kullanımı açıklanmıştır.

İstemci uygulamalarından anonim istekleri algılama

Bir depolama hesabı için genel okuma erişimini reddederken, şu anda genel erişim için yapılandırılmış olan kapsayıcılara ve bloblara yapılan istekleri reddetme riskiniz vardır. Bir depolama hesabı için genel erişimin izin dışı kılınması, bu depolama hesabı içinde tek tek kapsayıcılar için genel erişim ayarlarını geçersiz kılar. Depolama hesabı için genel erişime izin verilmiyorsa, bu hesaba gelecekte yapılan anonim istekler başarısız olur.

Genel erişimin izin verilenden farklı olarak istemci uygulamalarını nasıl etkileyeyeceğini anlamak için Microsoft, bu hesap için günlüğe kaydetmeyi ve ölçümleri etkinleştirmenizi ve belirli bir zaman aralığındaki anonim istek desenlerini analiz etmenizi önermektedir. Depolama hesabına yapılan anonim istek sayısını belirlemek için ölçümleri ve anonim olarak erişilen kapsayıcıları belirlemek için günlükleri kullanın.

Ölçüm Gezgini ile anonim Ölçüm Gezgini

Bir depolama hesabına yapılan anonim istekleri izlemek için, depolama Ölçüm Gezgini Azure Azure portal. Uygulama hakkında daha fazla Ölçüm Gezgini için bkz. Azure Ölçüm Gezgini.

Anonim istekleri takip edecek bir ölçüm oluşturmak için şu adımları izleyin:

  1. Azure portalda depolama hesabınıza gidin. İzleme bölümünde Ölçümler'i seçin.

  2. Ölçüm ekle seçeneğini belirleyin. Ölçüm iletişim kutusunda aşağıdaki değerleri belirtin:

    1. Kapsam alanını depolama hesabının adıyla ayarlanmış şekilde bırakın.
    2. Ölçüm Ad Alanı'nın Blob olarak ayarlayın. Bu ölçüm yalnızca Blob depolamaya yönelik istekleri bildirecek.
    3. Ölçüm alanını İşlemler olarak ayarlayın.
    4. Toplama alanını Toplam olarak ayarlayın.

    Yeni ölçüm, blob depolamaya yönelik işlem sayısının zaman aralığı içinde toplamını görüntüler. Elde edilen ölçüm aşağıdaki görüntüde gösterildiği gibi görünür:

    Blob işlemlerinin toplamı için ölçümü yapılandırmayı gösteren ekran görüntüsü

  3. Ardından Filtre ekle düğmesini seçerek anonim istekler için ölçümde bir filtre oluşturun.

  4. Filtre iletişim kutusunda aşağıdaki değerleri belirtin:

    1. Özellik değerini Kimlik Doğrulaması olarak ayarlayın.
    2. İşleç alanını eşittir işareti (=) olarak ayarlayın.
    3. Değerler alanını Anonim olarak ayarlayın.
  5. Sağ üst köşede, ölçümü görüntülemek istediğiniz zaman aralığını seçin. 1 dakika ile 1 ay arasında aralıklar belirterek isteklerin toplamanın ne kadar ayrıntılı olması gerektiğini de belirtebilirsiniz.

Ölçümü yapılandırdıktan sonra, grafikte anonim istekler görünmeye başlar. Aşağıdaki görüntüde son otuz dakika içinde toplanan anonim istekler yer almaktadır.

Blob depolamaya yönelik toplu anonim istekleri gösteren ekran görüntüsü

Ayrıca, depolama hesabınıza karşı belirli sayıda anonim istek olduğunda bunu size bildirecek bir uyarı kuralı yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure İzleyici kullanarak ölçüm uyarılarını oluşturma, görüntüleme ve yönetme.

Anonim istek alan kapsayıcıları belirlemek için günlükleri analiz etme

Azure Depolama günlükleri, bir isteğin nasıl yetkilendirildi olduğu da dahil olmak üzere depolama hesabına yapılan istekler hakkında ayrıntıları yakalar. Hangi kapsayıcıların anonim istekler aldığını belirlemek için günlükleri analiz edin.

Anonim istekleri değerlendirmek üzere Azure Depolama hesabınıza yapılan istekleri günlüğe kaydetmeniz için azure depolama (önizleme) Azure İzleyici kullanabilirsiniz. Daha fazla bilgi için bkz. Azure Depolama'da izleme.

Azure İzleyici Azure Depolama günlüğü, günlük verilerini analiz etmek için günlük sorgularını kullanmayı destekler. Günlükleri sorgulamak için Azure Log Analytics çalışma alanını kullanabilirsiniz. Günlük sorguları hakkında daha fazla bilgi edinmek için bkz. Öğretici: Kullanmaya başlayın Log Analytics sorgularını kullanma.

Not

Azure İzleyici'da Azure Depolama Azure İzleyici önizlemesi yalnızca Azure genel bulut üzerinde de kullanılabilir. Kamu bulutları, Azure Depolama için günlük kaydını Azure İzleyici.

Azure portal'de tanılama ayarı oluşturma

Azure Depolama verilerini Azure İzleyici Azure Log Analytics ile analiz etmek için, önce hangi istek türlerini ve hangi depolama hizmetleri için verileri günlüğe almak istediğinizi belirten bir tanılama ayarı oluşturmanız gerekir. Tanılama ayarı oluşturmak için Azure portal adımları izleyin:

  1. Azure Depolama hesabınız içeren abonelikte yeni bir Log Analytics çalışma alanı oluşturun. Depolama hesabınız için günlüğü yapılandırdıktan sonra günlükler Log Analytics çalışma alanında kullanılabilir. Daha fazla bilgi için bkz. Log Analytics çalışma alanı oluşturma Azure portal.

  2. Azure portalda depolama hesabınıza gidin.

  3. İzleme bölümünde Tanılama ayarları (önizleme) öğesini seçin.

  4. Blob depolamada yapılan istekleri günlüğe eklemek için Blob'ı seçin.

  5. Tanılama ayarı ekle’yi seçin.

  6. Tanılama ayarı için bir ad girin.

  7. Kategori ayrıntıları altında, günlük bölümünde günlüğe hangi tür isteklerin günlüğe kaydedilir olduğunu seçin. Tüm anonim istekler okuma istekleri olur, bu nedenle anonim istekleri yakalamak için StorageRead'i seçin.

  8. Hedef ayrıntıları'nın altında Log Analytics'e Gönder'i seçin. Aşağıdaki görüntüde gösterildiği gibi aboneliğinizi ve daha önce oluşturduğunuz Log Analytics çalışma alanını seçin.

    Günlük istekleri için tanılama ayarının nasıl oluşturul olduğunu gösteren ekran görüntüsü

Tanılama ayarını oluşturdukta depolama hesabına yapılan istekler bu ayara göre daha sonra günlüğe kaydedilir. Daha fazla bilgi için bkz. Azure'da kaynak günlüklerini ve ölçümlerini toplamak için tanılama ayarı oluşturma.

Azure Depolama günlüklerinde kullanılabilen alanların başvurusu için Azure İzleyici bkz. Kaynak günlükleri (önizleme).

Anonim istekler için günlükleri sorgulama

Azure İzleyici'daki Azure Depolama günlükleri, depolama hesabına istekte etmek için kullanılan yetkilendirme türünü içerir. Günlük sorgunuza, anonim istekleri görüntülemek için AuthenticationType özelliğini filtrele.

Blob depolamaya yönelik anonim istekler için son 7 gün içinde günlükleri almak için Log Analytics çalışma alanınızı açın. Ardından, aşağıdaki sorguyu yeni bir günlük sorgusuna yapıştırın ve çalıştırın:

StorageBlobLogs
| where TimeGenerated > ago(7d) and AuthenticationType == "Anonymous"
| project TimeGenerated, AccountName, AuthenticationType, Uri

Anonim istekleri size bildirmek için bu sorguyu temel alan bir uyarı kuralı da yapılandırabilirsiniz. Daha fazla bilgi için bkz. Azure İzleyici kullanarak günlük uyarıları oluşturma, görüntüleme ve yönetme.

Anonim genel erişimi düzeltme

Depolama hesabınızla kapsayıcılara ve bloblara yönelik anonim istekleri değerlendirdikten sonra, genel erişimi sınırlamak veya önlemek için eyleme geçebilirsiniz. Depolama hesabınızla ilgili bazı kapsayıcıların genel erişim için kullanılabilir olması gerekirse, depolama hesabınızla ilgili her kapsayıcı için genel erişim ayarını yapılandırabilirsiniz. Bu seçenek, genel erişim üzerinde en ayrıntılı denetimi sağlar. Daha fazla bilgi için bkz. Kapsayıcı için genel erişim düzeyini ayarlama.

Gelişmiş güvenlik için, tüm depolama hesabı için genel erişime izin veyebilirsiniz. Bir depolama hesabının genel erişim ayarı, bu hesapta kapsayıcılar için tek tek ayarları geçersiz kılar. Bir depolama hesabı için genel erişime izin vermezken, genel erişime izin verecek şekilde yapılandırılmış tüm kapsayıcılara artık anonim olarak erişilemez. Daha fazla bilgi için bkz. Depolama hesabı için genel okuma erişimine izin verme veya erişimine izin verme.

Senaryonun belirli kapsayıcıların genel erişim için kullanılabilir olması gerekirse, bu kapsayıcıların ve bloblarının genel erişim için ayrılmış depolama hesaplarına taşınmaları tavsiye edilebilir. Daha sonra diğer depolama hesapları için genel erişime izin veyebilirsiniz.

Bloba genel erişime izin verilmediğini doğrulayın

Belirli bir bloba yönelik ortak erişime izin verilmedikçe emin olmak için blobu URL 'SI aracılığıyla indirmeyi deneyebilirsiniz. İndirme başarılı olursa blobu hala herkese açık olarak kullanılabilir olur. Depolama hesabı için genel erişime izin verilmediğinden blob herkese açık bir şekilde erişilemezse, bu depolama hesabında genel erişime izin verilmediğini belirten bir hata iletisi görürsünüz.

Aşağıdaki örnek, bir blob 'u URL aracılığıyla indirmeyi denemek için PowerShell 'in nasıl kullanılacağını gösterir. Köşeli ayraçlar içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$url = "<absolute-url-to-blob>"
$downloadTo = "<file-path-for-download>"
Invoke-WebRequest -Uri $url -OutFile $downloadTo -ErrorAction Stop

Kapsayıcının ortak erişim ayarını değiştirmeye izin verilmediğini doğrula

Depolama hesabı için ortak erişime izin verdikten sonra kapsayıcının genel erişim ayarının değiştirilemeyeceğini doğrulamak için, ayarı değiştirmeyi deneyebilirsiniz. Depolama hesabı için genel erişime izin verilmedikçe kapsayıcının ortak erişim ayarını değiştirmek başarısız olur.

Aşağıdaki örnek, bir kapsayıcının ortak erişim ayarını değiştirmeye çalışmak için PowerShell 'in nasıl kullanılacağını gösterir. Köşeli ayraçlar içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$containerName = "<container-name>"

$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context

Set-AzStorageContainerAcl -Context $ctx -Container $containerName -Permission Blob

Ortak erişime sahip bir kapsayıcı oluşturmaya izin verilmediğini doğrulayın

Depolama hesabı için genel erişime izin verilmediğinde, ortak erişim etkin olan yeni bir kapsayıcı oluşturabileceksiniz. Doğrulamak için, ortak erişim etkinleştirilmiş bir kapsayıcı oluşturmayı deneyebilirsiniz.

Aşağıdaki örnek, ortak erişim etkinleştirilmiş bir kapsayıcı oluşturmayı denemek için PowerShell 'in nasıl kullanılacağını gösterir. Köşeli ayraçlar içindeki yer tutucu değerlerini kendi değerlerinizle değiştirmeyi unutmayın:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$containerName = "<container-name>"

$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context

New-AzStorageContainer -Name $containerName -Permission Blob -Context $ctx

Birden çok hesap için genel erişim ayarını denetleyin

En iyi performansa sahip bir dizi depolama hesabı genelinde genel erişim ayarını denetlemek için Azure portal Azure Kaynak Grafiği Gezginini kullanabilirsiniz. Kaynak Grafiği Gezginini kullanma hakkında daha fazla bilgi edinmek için bkz. hızlı başlangıç: Azure Kaynak Grafiği gezginini kullanarak Ilk kaynak grafik sorgunuzu çalıştırma.

Allowblobpublicaccess özelliği bir depolama hesabı için varsayılan olarak ayarlı değildir ve açıkça ayarlanana kadar bir değer döndürmez. Özellik değeri null ya da doğru olduğunda depolama hesabı ortak erişime izin verir.

Kaynak Graph Explorer 'da aşağıdaki sorguyu çalıştırmak, depolama hesaplarının bir listesini döndürür ve her bir hesap için ortak erişim ayarını görüntüler:

resources
| where type =~ 'Microsoft.Storage/storageAccounts'
| extend allowBlobPublicAccess = parse_json(properties).allowBlobPublicAccess
| project subscriptionId, resourceGroup, name, allowBlobPublicAccess

Aşağıdaki görüntüde bir abonelik genelindeki bir sorgunun sonuçları gösterilmektedir. Allowblobpublicaccess özelliğinin açıkça ayarlandığı depolama hesapları için, sonuçlarda doğru veya yanlış olarak göründüğünü unutmayın. Allowblobpublicaccess özelliği bir depolama hesabı için ayarlanmamışsa, sorgu sonuçlarında boş (veya null) olarak görünür.

Depolama hesapları genelinde genel erişim ayarı için sorgu sonuçlarını gösteren ekran görüntüsü

Uyumluluğu denetlemek için Azure Ilkesini kullanma

Çok sayıda depolama hesabınız varsa, bu hesapların genel erişimi engelleyecek şekilde yapılandırıldığından emin olmak için bir denetim yapmak isteyebilirsiniz. Uyumluluğun bir depolama hesapları kümesini denetlemek için Azure Ilkesi ' ni kullanın. Azure Ilkesi, Azure kaynaklarına kurallar uygulayan ilkeler oluşturmak, atamak ve yönetmek için kullanabileceğiniz bir hizmettir. Azure Ilkesi, bu kaynakları kurumsal standartlarınızla ve hizmet düzeyi Sözleşmelerinizle uyumlu tutmanıza yardımcı olur. Daha fazla bilgi için bkz. Azure Ilkesine genel bakış.

Denetim efektli bir ilke oluşturma

Azure Ilkesi, bir ilke kuralı bir kaynağa göre değerlendirildiğinde ne olacağını belirlemek için etkileri destekler. Denetim etkisi, bir kaynak uyumlu olmadığında, ancak isteği durdurmadığında bir uyarı oluşturur. Efektler hakkında daha fazla bilgi için bkz. Azure ilke efektlerini anlama.

Azure portal bir depolama hesabı için genel erişim ayarı için denetim etkisi olan bir ilke oluşturmak için aşağıdaki adımları izleyin:

  1. Azure portal Azure Ilke hizmeti ' ne gidin.

  2. Yazma bölümünde tanımlar' ı seçin.

  3. İlke tanımı Ekle ' yi seçerek yeni bir ilke tanımı oluşturun.

  4. Tanım konumu alanı için, denetim ilkesi kaynağının nerede olduğunu belirtmek üzere daha fazla düğmesini seçin.

  5. İlke için bir ad belirtin. İsteğe bağlı olarak bir açıklama ve kategori belirtebilirsiniz.

  6. İlke kuralı altında, policyrule bölümüne aşağıdaki ilke tanımını ekleyin.

    {
      "if": {
        "allOf": [
          {
            "field": "type",
            "equals": "Microsoft.Storage/storageAccounts"
          },
          {
            "not": {
              "field":"Microsoft.Storage/storageAccounts/allowBlobPublicAccess",
              "equals": "false"
            }
          }
        ]
      },
      "then": {
        "effect": "audit"
      }
    }
    
  7. İlkeyi kaydedin.

İlke atama

Sonra, ilkeyi bir kaynağa atayın. İlke kapsamı bu kaynağa ve altındaki kaynaklara karşılık gelir. İlke atama hakkında daha fazla bilgi için bkz. Azure ilke atama yapısı.

İlkeyi Azure portal atamak için aşağıdaki adımları izleyin:

  1. Azure portal Azure Ilke hizmeti ' ne gidin.
  2. Yazma bölümünde atamalar' ı seçin.
  3. Yeni ilke ataması oluşturmak için Ilke ata ' yı seçin.
  4. Kapsam alanı için, ilke atamasının kapsamını seçin.
  5. İlke tanımı alanı Için, daha fazla düğmesini seçin ve ardından listeden önceki bölümde tanımladığınız ilkeyi seçin.
  6. İlke ataması için bir ad girin. Açıklama isteğe bağlıdır.
  7. İlke zorlamasının etkin olarak ayarlanmış kalsın. Bu ayarın denetim ilkesi üzerinde hiçbir etkisi yoktur.
  8. Atamayı oluşturmak için gözden geçir + oluştur ' u seçin.

Uyumluluk raporunu görüntüle

İlkeyi atadıktan sonra, uyumluluk raporunu görüntüleyebilirsiniz. Bir denetim ilkesi için uyumluluk raporu, ilke ile uyumlu olmayan depolama hesaplarının hakkında bilgi sağlar. Daha fazla bilgi için bkz. ilke uyumluluk verilerini edinme.

Uyumluluk raporunun, ilke ataması oluşturulduktan sonra kullanılabilir olması birkaç dakika sürebilir.

Uyumluluk raporunu Azure portal görüntülemek için aşağıdaki adımları izleyin:

  1. Azure portal Azure Ilke hizmeti ' ne gidin.

  2. Uyumluluk' i seçin.

  3. Önceki adımda oluşturduğunuz ilke atamasının adı için sonuçları filtreleyin. Rapor, ilkeyle ilgili olarak kaç kaynağın uyumsuz olduğunu gösterir.

  4. Uyumluluğa sahip olmayan depolama hesaplarının bir listesi de dahil olmak üzere ek ayrıntılar için raporda ayrıntıya gidebilirsiniz.

    Blob genel erişimi için denetim ilkesi uyumluluk raporunu gösteren ekran görüntüsü

Yetkili erişimi zorlamak için Azure Ilkesini kullanma

Azure Ilkesi, Azure kaynaklarının gereksinimlere ve standartlara bağlı olmasını sağlayarak bulut idare desteği sağlar. Kuruluşunuzdaki depolama hesaplarının yalnızca yetkili isteklere izin verdiğinden emin olmak için, anonim isteklere izin veren bir genel erişim ayarı ile yeni bir depolama hesabı oluşturulmasını önleyen bir ilke oluşturabilirsiniz. Bu ilke, bu hesap için genel erişim ayarı ilkeyle uyumlu değilse, mevcut bir hesapta tüm yapılandırma değişikliklerini de engeller.

Zorlama ilkesi, genel erişime izin vermek üzere bir depolama hesabı oluşturacak veya değiştirecek bir isteği engellemek için reddetme efektini kullanır. Efektler hakkında daha fazla bilgi için bkz. Azure ilke efektlerini anlama.

Anonim isteklere izin veren bir genel erişim ayarı için reddetme etkisi olan bir ilke oluşturmak için, uyumluluğu denetlemek Için Azure Ilkesi kullanmabölümünde açıklanan adımları izleyin, ancak Ilke tanımının POLICYRULE bölümünde aşağıdaki JSON 'ı sağlayın:

{
  "if": {
    "allOf": [
      {
        "field": "type",
        "equals": "Microsoft.Storage/storageAccounts"
      },
      {
        "not": {
          "field":"Microsoft.Storage/storageAccounts/allowBlobPublicAccess",
          "equals": "false"
        }
      }
    ]
  },
  "then": {
    "effect": "deny"
  }
}

İlkeyi reddetme etkimiyle oluşturup bir kapsama atadıktan sonra, Kullanıcı, genel erişime izin veren bir depolama hesabı oluşturamaz. Ya da bir Kullanıcı, mevcut bir depolama hesabında halen genel erişime izin veren bir yapılandırma değişikliği yapabilir. Bunun denenmeye çalışılması bir hata ile sonuçlanır. Hesap oluşturma veya yapılandırmaya devam etmek için depolama hesabının genel erişim ayarı yanlış olarak ayarlanmalıdır.

Aşağıdaki görüntüde, reddetme etkisi olan bir ilke ortak erişime izin verilmediğinde genel erişime izin veren (yeni bir hesap için varsayılan) bir depolama hesabı oluşturmaya çalıştığınızda oluşan hata gösterilmektedir.

İlke ihlalinden bir depolama hesabı oluşturulurken oluşan hatayı gösteren ekran görüntüsü

Genel erişime izin verme veya erişimi vermeme izinleri

Depolama hesabı için Allowblobpublicaccess özelliğini ayarlamak için, bir kullanıcının depolama hesapları oluşturma ve yönetme izinleri olması gerekir. Bu izinleri sağlayan Azure rol tabanlı erişim denetimi (Azure RBAC) rolleri, Microsoft. Storage/storageAccounts/Write veya Microsoft. Storage/storageaccounts/ * Action ' i içerir. Bu eylemle birlikte yerleşik roller şunlardır:

Bu roller, Azure Active Directory (Azure AD) aracılığıyla bir depolama hesabındaki verilere erişim sağlamaz. Ancak, hesap erişim anahtarlarına erişim izni veren Microsoft. Storage/storageAccounts/ListKeys/Action öğeleri de bulunur. Bu izinle, bir Kullanıcı, bir depolama hesabındaki tüm verilere erişmek için hesap erişim anahtarlarını kullanabilir.

Rol atamaları, bir kullanıcının depolama hesabı için genel erişime izin verip vermemesine izin vermek için depolama hesabı düzeyi veya daha yüksek olmalıdır. Rol kapsamı hakkında daha fazla bilgi için bkz. Azure RBAC kapsamını anlama.

Bu rollerin atamasını yalnızca bir depolama hesabı oluşturma veya özelliklerini güncelleştirme yeteneğine ihtiyaç duyan kullanıcılarla sınırlandırmamaya dikkat edin. Kullanıcıların görevlerini gerçekleştirmek için ihtiyacı olan en az izinlere sahip olduğundan emin olmak için en az ayrıcalık ilkesini kullanın. Azure RBAC ile erişimi yönetme hakkında daha fazla bilgi için bkz. Azure RBAC Için en iyi uygulamalar.

Not

Klasik abonelik yöneticisi rolleri hizmet yöneticisi ve Co-Administrator Azure Resource Manager sahip rolünün eşdeğerini içerir. Sahip rolü tüm eylemleri içerir, bu nedenle bu yönetici rollerinden biri olan bir kullanıcı depolama hesapları da oluşturabilir ve yönetebilir. Daha fazla bilgi için bkz. Klasik abonelik yönetici rolleri, Azure rolleri ve Azure AD yönetici rolleri.

Sonraki adımlar