Autorisieren des Zugriffs auf Warteschlangen mithilfe von Azure-Rollenzuweisungsbedingungen

Die attributbasierte Zugriffssteuerung (Attribute-Based Access Control, ABAC) ist eine Autorisierungsstrategie, mit der Zugriffsebenen anhand von Attributen definiert werden, die einer Zugriffsanforderung zugeordnet sind, z. B. dem Sicherheitsprinzipal, der Ressource, der Umgebung und der Anforderung selbst. Mit ABAC können Sie einem Sicherheitsprinzipal – basierend auf Azure-Rollenzuweisungsbedingungen – Zugriff auf eine Ressource gewähren.

Wichtig

Die attributbasierte Zugriffssteuerung (Attribute-Based Access Control, ABAC) in Azure ist allgemein verfügbar, um den Zugriff auf Azure Blob Storage, Azure Data Lake Storage Gen2 und Azure-Warteschlangen mithilfe der Attribute request, resource, environment und principal sowohl auf der standardmäßigen als auch auf der Premium-Speicherkonto-Leistungsstufe zu steuern. Derzeit befinden sich das Ressourcenattribut für Containermetadaten und das Listen-BLOB-Anforderungsattribut in der VORSCHAU. Vollständige Informationen zum Status des ABAC-Features für Azure Storage finden Sie unter Status der Bedingungsfeatures in Azure Storage.

Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Übersicht über Bedingungen in Azure Storage

Sie können Microsoft Entra ID verwenden, um Anforderungen an Azure Storage-Ressourcen mithilfe von Azure RBAC (Role-Based Access Control, rollenbasierte Zugriffssteuerung) zu autorisieren. Azure RBAC hilft Ihnen bei der Verwaltung des Zugriffs auf Ressourcen, indem über Rollendefinitionen und Rollenzuweisungen definiert wird, wer Zugriff auf Ressourcen hat und welche Aufgaben mit diesen Ressourcen erledigt werden können. Azure Storage definiert eine Reihe von in Azure integrierten Rollen mit allgemeinen Berechtigungssätzen für den Zugriff auf Azure Storage-Daten. Sie können auch benutzerdefinierte Rollen mit ausgewählten Berechtigungssätzen definieren. Azure Storage unterstützt Rollenzuweisungen sowohl für Speicherkonten als auch für Blobcontainer oder Warteschlangen.

Azure ABAC baut auf Azure RBAC auf und fügt Rollenzuweisungsbedingungen im Kontext von bestimmten Aktionen hinzu. Eine Rollenzuweisungsbedingung ist eine zusätzliche Prüfung, die beim Autorisieren der Aktion für die Speicherressource ausgewertet wird. Diese Bedingung wird als Prädikat mit Attributen ausgedrückt, die einem der folgenden Elemente zugeordnet sind:

  • Sicherheitsprinzipal, der die Autorisierung anfordert
  • Ressource, für die der Zugriff angefordert wird
  • Parameter der Anforderung
  • Umgebung, aus der die Anforderung stammt

Die Verwendung von Rollenzuweisungsbedingungen bietet folgende Vorteile:

  • Ermöglichen eines differenzierteren Zugriffs auf Ressourcen – Wenn Sie beispielsweise einem Benutzer Zugriff auf Vorschaunachrichten in einer bestimmten Warteschlange gewähren möchten, können Sie dazu „Vorschaunachrichten DataAction“ und das Speicherattribut des Warteschlangennamens verwenden.
  • Verringern der Anzahl von Rollenzuweisungen, die Sie erstellen und verwalten müssen – Dazu können Sie eine generalisierte Rollenzuweisung für eine Sicherheitsgruppe verwenden und dann den Zugriff für einzelne Mitglieder der Gruppe mithilfe einer Bedingung einschränken, die Attribute eines Prinzipals mit Attributen einer bestimmten Ressource, auf die zugegriffen wird (z. B. einer Warteschlange), abgleicht.
  • Ausdrücken von Regeln für die Zugriffssteuerung in Form von Attributen mit geschäftlicher Bedeutung – Sie können Ihre Bedingungen beispielsweise über Attribute ausdrücken, die einen Projektnamen, eine Geschäftsanwendung, eine Organisationsfunktion oder eine Klassifizierungsebene darstellen.

Der Nachteil der Verwendung von Bedingungen ist die Notwendigkeit, dass eine strukturierte und konsistente Taxonomie bei der Verwendung von Attributen in Ihrer Organisation erforderlich ist. Der Zugriff auf Attribute muss geschützt sein, um eine Kompromittierung zu verhindern. Darüber hinaus müssen Bedingungen sorgfältig entworfen und auf ihre Wirksamkeit überprüft werden.

Unterstützte Attribute und Vorgänge

Sie können Bedingungen für Rollenzuweisungen für DataActions konfigurieren, um diese Ziele zu erreichen. Sie können Bedingungen bei einer benutzerdefinierten Rolle verwenden oder integrierte Rollen auswählen. Beachten Sie, dass Bedingungen für Verwaltungsaktionen über den Speicherressourcenanbieter nicht unterstützt werden.

Sie können integrierten Rollen oder benutzerdefinierten Rollen Bedingungen hinzufügen. Die integrierten Rollen, für die Sie Rollenzuweisungsbedingungen verwenden können, umfassen:

Sie können Bedingungen mit benutzerdefinierten Rollen verwenden, solange die Rolle Aktionen, die Bedingungen unterstützen enthält.

Das Format für Azure-Rollenzuweisungsbedingungen ermöglicht die Verwendung von @Principal-, @Resource- oder @Request-Attributen in den Bedingungen. Ein @Principal-Attribut ist ein benutzerdefiniertes Sicherheitsattribut für einen Prinzipal, z. B. ein Benutzer, eine Unternehmensanwendung (Dienstprinzipal) oder eine verwaltete Identität. Ein @Resource-Attribut bezieht sich auf ein vorhandenes Attribut einer Speicherressource, auf die zugegriffen wird, z. B. ein Speicherkonto oder eine Warteschlange. Ein @Request-Attribut bezieht sich auf ein Attribut oder einen Parameter, das/der in einer Speichervorgangsanforderung enthalten ist.

Azure RBAC unterstützt derzeit 2.000 Rollenzuweisungen in einem Abonnement. Wenn Sie viele tausend Azure-Rollenzuweisungen erstellen müssen, wird dieser Grenzwert möglicherweise überschritten. Die Verwaltung von Hunderten oder Tausenden von Rollenzuweisungen kann schwierig sein. In einigen Fällen können Sie Bedingungen verwenden, um die Anzahl der Rollenzuweisungen für Ihr Speicherkonto zu verringern und deren Verwaltung zu vereinfachen. Sie können die Verwaltung von Azure-Rollenzuweisungen skalieren, indem Sie Bedingungen und benutzerdefinierte Microsoft Entra-Sicherheitsattribute für Prinzipale verwenden.

Nächste Schritte

Weitere Informationen