Limitare l'origine delle operazioni di copia a un account di archiviazione

Per motivi di sicurezza, gli amministratori di archiviazione potrebbero voler limitare gli ambienti da cui è possibile copiare i dati negli account protetti. La limitazione dell'ambito delle operazioni di copia permesse consente di impedire l'infiltrazione di dati indesiderati da tenant non attendibili o reti virtuali.

Questo articolo illustra come limitare gli account di origine delle operazioni di copia agli account all'interno dello stesso tenant dell'account di destinazione o con collegamenti privati alla stessa rete virtuale della destinazione.

Importante

L'ambito consentito per le operazioni di copia è attualmente disponibile in ANTEPRIMA. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Informazioni sull'ambito consentito per le operazioni di copia (anteprima)

La proprietà AllowedCopyScope di un account di archiviazione viene usata per specificare gli ambienti da cui è possibile copiare i dati nell'account di destinazione. Viene visualizzato nel portale di Azure come impostazione di configurazione Ambito consentito per le operazioni di copia (anteprima). La proprietà non è impostata per impostazione predefinita e non restituisce un valore fino a quando non viene impostata in modo esplicito. Ha tre possibili valori:

  • (null) (impostazione predefinita): consente la copia da qualsiasi account di archiviazione all'account di destinazione.
  • Microsoft Entra ID: consente la copia solo da account all'interno dello stesso tenant di Microsoft Entra dell'account di destinazione.
  • PrivateLink: consente la copia solo da account di archiviazione con collegamenti privati alla stessa rete virtuale dell'account di destinazione.

L'impostazione si applica alle operazioni Copia BLOB e Copia BLOB da URL. Esempi di strumenti che usano BLOB di copia sono AzCopy e Azure Storage Explorer.

Quando l'origine di una richiesta di copia non soddisfa i requisiti specificati da questa impostazione, la richiesta ha esito negativo con codice di stato HTTP 403 (Accesso negato).

La proprietà AllowedCopyScope è supportata per gli account di archiviazione che usano solo il modello di distribuzione Azure Resource Manager. Per informazioni sugli account di archiviazione che usano il modello di distribuzione Azure Resource Manager, vedere Tipi di account di archiviazione.

Identificare gli account di archiviazione di origine delle operazioni di copia

Prima di modificare il valore di AllowedCopyScope per un account di archiviazione, identificare utenti, applicazioni o servizi interessati dalla modifica. A seconda dei risultati, potrebbe essere necessario modificare l'impostazione in un ambito che includa tutte le origini di copia desiderate oppure modificare la configurazione di rete o Microsoft Entra per alcuni degli account di archiviazione di origine.

I log di Archiviazione di Azure acquisiscono i dettagli in Monitoraggio di Azure sulle richieste effettuate sull'account di archiviazione, tra cui l'origine e la destinazione delle operazioni di copia. Per altre informazioni, vedere Monitoraggio di Archiviazione di Azure. Abilitare e analizzare i log per identificare le operazioni di copia che potrebbero essere interessate dalla modifica di AllowedCopyScope per l'account di archiviazione di destinazione.

Creare un'impostazione di diagnostica nel portale di Azure

Per registrare Archiviazione di Azure dati con Monitoraggio di Azure e analizzarli con Analisi dei log di Azure, è prima necessario creare un'impostazione di diagnostica che indica quali tipi di richieste e per quali servizi di archiviazione si vogliono registrare i dati. Dopo aver configurato la registrazione per l'account di archiviazione, i log sono disponibili nell'area di lavoro Log Analytics. Per creare un'area di lavoro, vedere Creare un'area di lavoro Log Analytics nel portale di Azure.

Per informazioni su come creare un'impostazione di diagnostica nel portale di Azure, vedere Creare impostazioni di diagnostica in Monitoraggio di Azure.

Per informazioni di riferimento sui campi disponibili nei log di Archiviazione di Azure in Monitoraggio di Azure, vedere Log delle risorse.

Eseguire query sui log per le richieste di copia

I log di Archiviazione di Azure includono tutte le richieste di copia dei dati in un account di archiviazione da un'altra origine. Le voci di log includono il nome dell'account di archiviazione di destinazione e l'URI dell'oggetto di origine, insieme alle informazioni per identificare il client che richiede la copia. Per informazioni di riferimento complete sui campi disponibili nei log di Archiviazione di Azure in Monitoraggio di Azure, vedere Log delle risorse.

Per recuperare i log per le richieste di copia dei BLOB effettuati negli ultimi sette giorni, seguire questa procedura:

  1. Passare all'account di archiviazione nel portale di Azure.

  2. Nella sezione Monitoraggio selezionare Log.

  3. Incollare la query seguente in una nuova query di log ed eseguirla. Questa query visualizza gli oggetti di origine a cui viene fatto riferimento più di frequente nelle richieste per copiare i dati nell'account di archiviazione specificato. Nell'esempio seguente sostituire il testo segnaposto <account-name> con il proprio nome dell'account di archiviazione.

    StorageBlobLogs
    | where OperationName has "CopyBlobSource" and TimeGenerated > ago(7d) and AccountName == "<account-name>"
    | summarize count() by Uri, CallerIpAddress, UserAgentHeader
    

I risultati della query dovrebbero essere simili ai seguenti:

Screenshot che mostra l'aspetto possibile di una query del log Copia origine BLOB.

L'URI è il percorso completo dell'oggetto di origine copiato, che include il nome dell'account di archiviazione, il nome del contenitore e il nome del file. Dall'elenco degli URI determinare se le operazioni di copia verrebbero bloccate se viene applicata un'impostazione AllowedCopyScope specifica.

È anche possibile configurare una regola di avviso basata su questa query per inviare una notifica sulle richieste di copia BLOB per l'account. Per altre informazioni, vedere Creare, visualizzare e gestire i registri utilizzando Monitoraggio di Azure.

Limitare l'ambito consentito per le operazioni di copia (anteprima)

Quando si è certi di poter limitare in modo sicuro le origini delle richieste di copia a un ambito specifico, è possibile impostare la proprietà AllowedCopyScope per l'account di archiviazione su tale ambito.

Autorizzazioni per la modifica dell'ambito consentito per le operazioni di copia (anteprima)

Per impostare la proprietà AllowedCopyScope per l'account di archiviazione, un utente deve disporre delle autorizzazioni per creare e gestire gli account di archiviazione. I ruoli di controllo degli accessi in base al ruolo di Azure che forniscono queste autorizzazioni includono l'azione Microsoft.Storage/storageAccounts/write o Microsoft.Storage/storageAccounts/*. I ruoli predefiniti con questa azione includono:

Questi ruoli non forniscono l'accesso ai dati in un account di archiviazione tramite Microsoft Entra ID. Tuttavia, includono Microsoft.Storage/storageAccounts/listkeys/action, che concede l'accesso alle chiavi di accesso dell'account. Con questa autorizzazione, un utente può usare le chiavi di accesso dell'account per accedere a tutti i dati in un account di archiviazione.

Le assegnazioni di ruolo devono avere come ambito il livello dell'account di archiviazione o superiore per consentire a un utente di limitare l'ambito delle operazioni di copia per l'account. Per altre informazioni sull'ambito del ruolo, vedere Informazioni sull'ambito per il controllo degli accessi in base al ruolo di Azure.

Prestare attenzione a limitare l'assegnazione di questi ruoli solo agli utenti che richiedono la possibilità di creare un account di archiviazione o di aggiornarne le proprietà. Usare il principio dei privilegi minimi per assicurarsi che gli utenti abbiano le autorizzazioni minime necessarie per eseguire le attività. Per altre informazioni sulla gestione dell'accesso con il controllo degli accessi in base al ruolo di Azure, vedere Procedure consigliate per il controllo degli accessi in base al ruolo di Azure.

Nota

I ruoli di amministratore della sottoscrizione classica Amministratore del servizio e Coamministratore includono l'equivalente del ruolo di Proprietario di Azure Resource Manager. Il ruolo di Proprietario include tutte le azioni, quindi un utente con uno di questi ruoli amministrativi può anche creare e gestire gli account di archiviazione. Per altre informazioni, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.

Configurare l'ambito consentito per le operazioni di copia (anteprima)

Usando un account con le autorizzazioni necessarie, configurare l'ambito consentito per le operazioni di copia nel portale di Azure, con PowerShell o usando l'interfaccia della riga di comando di Azure.

Per configurare l'ambito consentito per le operazioni di copia per un account di archiviazione esistente nel portale di Azure, seguire questa procedura:

  1. Passare all'account di archiviazione nel portale di Azure.

  2. In Impostazioni selezionare Configurazione.

  3. Impostare Ambito consentito per le operazioni di copia (anteprima) su una delle opzioni seguenti:

    • Da qualsiasi account di archiviazione
    • Da account di archiviazione nello stesso tenant di Microsoft Entra
    • Dagli account di archiviazione con un endpoint privato nella stessa rete virtuale

    Screenshot che mostra come impedire l'accesso con chiave condivisa per un account di archiviazione.

  4. Seleziona Salva.

Passaggi successivi