Kopyalama işlemlerinin kaynağını bir depolama hesabıyla kısıtlama

Makale
11/06/2024

Güvenlik nedeniyle, depolama yöneticileri verilerin güvenli hesaplara kopyalanabileceği ortamları sınırlamak isteyebilir. İzin verilen kopyalama işlemlerinin kapsamını sınırlamak, istenmeyen verilerin güvenilmeyen kiracılardan veya sanal ağlardan sızmasını önlemeye yardımcı olur.

Bu makalede, kopyalama işlemlerinin kaynak hesaplarını hedef hesapla aynı kiracıdaki hesaplarla veya hedefle aynı sanal ağa özel bağlantılarla nasıl sınırlandırabileceğiniz gösterilir.

Önemli

Kopyalama işlemleri için izin verilen kapsam şu anda ÖNİzLEME aşamasındadır. Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Kopyalama işlemleri için izin verilen kapsam hakkında (önizleme)

Bir depolama hesabının AllowedCopyScope özelliği, verilerin hedef hesaba kopyalanabileceği ortamları belirtmek için kullanılır. Azure portalında kopyalama işlemleri için izin verilen kapsam (önizleme) yapılandırma ayarı olarak görüntülenir. Özelliği varsayılan olarak ayarlanmaz ve siz açıkça ayarlayana kadar bir değer döndürmez. Üç olası değere sahiptir:

(null) (varsayılan): Herhangi bir depolama hesabından hedef hesaba kopyalamaya izin verin.
Microsoft Entra Kimliği: Yalnızca hedef hesapla aynı Microsoft Entra kiracısı içindeki hesaplardan kopyalamaya izin verir.
PrivateLink: Yalnızca hedef hesapla aynı sanal ağa özel bağlantıları olan depolama hesaplarından kopyalamaya izin verir.

Bu ayar Blobu Kopyala ve URL'den Blobu Kopyala işlemleri için geçerlidir. Blobu Kopyala'yı kullanan araçlara örnek olarak AzCopy ve Azure Depolama Gezgini verilebilir.

Bir kopyalama isteğinin kaynağı bu ayar tarafından belirtilen gereksinimleri karşılamadığında, istek HTTP durum kodu 403 (Yasak) ile başarısız olur.

AllowedCopyScope özelliği yalnızca Azure Resource Manager dağıtım modelini kullanan depolama hesapları için desteklenir. Hangi depolama hesaplarının Azure Resource Manager dağıtım modelini kullandığı hakkında bilgi için bkz . Depolama hesabı türleri.

Kopyalama işlemlerinin kaynak depolama hesaplarını belirleme

Depolama hesabı için AllowedCopyScope değerini değiştirmeden önce, değişiklikten etkilenecek kullanıcıları, uygulamaları veya hizmetleri tanımlayın. Bulgularınıza bağlı olarak, ayarı istenen tüm kopyalama kaynaklarını içeren bir kapsama ayarlamak veya bazı kaynak depolama hesapları için ağ veya Microsoft Entra yapılandırmasını ayarlamak gerekebilir.

Azure Depolama günlükleri, kopyalama işlemlerinin kaynağı ve hedefi de dahil olmak üzere depolama hesabında yapılan isteklerle ilgili ayrıntıları Azure İzleyici'de yakalar. Daha fazla bilgi için bkz . Azure Depolama'yı izleme. Hedef depolama hesabı için AllowedCopyScope'un değiştirilmesinden etkilenebilecek kopyalama işlemlerini belirlemek için günlükleri etkinleştirin ve analiz edin.

Azure portalında tanılama ayarı oluşturma

Azure İzleyici ile Azure Depolama verilerini günlüğe kaydetmek ve Azure Log Analytics ile analiz etmek isterseniz, önce ne tür istekler ve hangi depolama hizmetleri için verileri günlüğe kaydetmek istediğinizi belirten bir tanılama ayarı oluşturmanız gerekir. Depolama hesabınız için günlüğe kaydetmeyi yapılandırdıktan sonra günlükler Log Analytics çalışma alanında kullanılabilir. Çalışma alanı oluşturmak için bkz . Azure portalında Log Analytics çalışma alanı oluşturma.

Azure portalında tanılama ayarı oluşturmayı öğrenmek için bkz . Azure İzleyici'de tanılama ayarları oluşturma.

Azure İzleyici'deki Azure Depolama günlüklerinde bulunan alanlara başvuru için bkz . Kaynak günlükleri.

Kopyalama istekleri için sorgu günlükleri

Azure Depolama günlükleri, başka bir kaynaktan bir depolama hesabına veri kopyalamaya yönelik tüm istekleri içerir. Günlük girdileri, hedef depolama hesabının adını ve kaynak nesnenin URI'sini ve kopyayı isteyen istemciyi tanımlamaya yardımcı olacak bilgileri içerir. Azure İzleyici'deki Azure Depolama günlüklerinde bulunan alanların tam başvurusu için bkz . Kaynak günlükleri.

Son yedi gün içinde yapılan blobları kopyalama isteklerinin günlüklerini almak için şu adımları izleyin:

Azure portalda depolama hesabınıza gidin.
İzleme bölümünde Günlükler'i seçin.
Aşağıdaki sorguyu yeni bir günlük sorgusuna yapıştırın ve çalıştırın. Bu sorgu, belirtilen depolama hesabına veri kopyalama isteklerinde en sık başvuruda bulunılan kaynak nesneleri görüntüler. Aşağıdaki örnekte yer tutucu metni <account-name> kendi depolama hesabı adınızla değiştirin.
```
StorageBlobLogs
| where OperationName has "CopyBlobSource" and TimeGenerated > ago(7d) and AccountName == "<account-name>"
| summarize count() by Uri, CallerIpAddress, UserAgentHeader
```

Sorgunun sonuçları aşağıdakine benzer olmalıdır:

URI, depolama hesabı adını, kapsayıcı adını ve dosya adını içeren kopyalanan kaynak nesnenin tam yoludur. URI listesinden, belirli bir AllowedCopyScope ayarı uygulandığında kopyalama işlemlerinin engellenip engellenmeyeceğini belirleyin.

Ayrıca, hesap için Blobu Kopyalama istekleri hakkında sizi bilgilendirmek için bu sorguyu temel alan bir uyarı kuralı yapılandırabilirsiniz. Daha fazla bilgi için bkz . Azure İzleyici kullanarak günlük uyarıları oluşturma, görüntüleme ve yönetme.

Kopyalama işlemleri için İzin Verilen kapsamı kısıtlama (önizleme)

Kopyalama isteklerinin kaynaklarını belirli bir kapsamla güvenli bir şekilde kısıtlayabileceğinizden eminseniz, depolama hesabının AllowedCopyScope özelliğini bu kapsama ayarlayabilirsiniz.

Kopyalama işlemleri için İzin verilen kapsamı değiştirme izinleri (önizleme)

Depolama hesabının AllowedCopyScope özelliğini ayarlamak için kullanıcının depolama hesapları oluşturma ve yönetme izinlerine sahip olması gerekir. Bu izinleri sağlayan Azure rol tabanlı erişim denetimi (Azure RBAC) rolleri Microsoft.Storage/storageAccounts/write veya Microsoft.Storage/storageAccounts/* eylemini içerir. Bu eyleme sahip yerleşik roller şunlardır:

Azure Resource Manager Sahip rolü
Azure Resource Manager Katkıda Bulunan rolü
Depolama Hesabına Katkıda Bulunan rolü

Bu roller, Microsoft Entra Id aracılığıyla bir depolama hesabındaki verilere erişim sağlamaz. Ancak, hesap erişim anahtarlarına erişim izni veren Microsoft.Storage/storageAccounts/listkeys/action öğesini içerir. Bu izinle, kullanıcı bir depolama hesabındaki tüm verilere erişmek için hesap erişim anahtarlarını kullanabilir.

Bir kullanıcının hesap için kopyalama işlemlerinin kapsamını kısıtlamasına izin vermek için rol atamalarının kapsamının depolama hesabı düzeyine veya daha yüksek bir düzeye sahip olması gerekir. Rol kapsamı hakkında daha fazla bilgi için bkz . Azure RBAC kapsamını anlama.

Bu rollerin atamasını yalnızca depolama hesabı oluşturma veya özelliklerini güncelleştirme yeteneğine ihtiyaç duyanlarla kısıtlamaya dikkat edin. Kullanıcıların görevlerini gerçekleştirmek için ihtiyaç duydukları en az izinlere sahip olduğundan emin olmak için en az ayrıcalık ilkesini kullanın. Azure RBAC ile erişimi yönetme hakkında daha fazla bilgi için bkz . Azure RBAC için en iyi yöntemler.

Not

Klasik abonelik yöneticisi rolleri Hizmet Yöneticisi ve Ortak Yönetici, Azure Resource Manager Sahip rolünün eşdeğerini içerir. Sahip rolü tüm eylemleri içerdiğinden, bu yönetim rollerinden birine sahip bir kullanıcı da depolama hesapları oluşturabilir ve yönetebilir. Daha fazla bilgi için bkz . Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri.

Kopyalama işlemleri için izin verilen kapsamı yapılandırma (önizleme)

Gerekli izinlere sahip bir hesap kullanarak Azure portalında, PowerShell ile veya Azure CLI kullanarak kopyalama işlemleri için izin verilen kapsamı yapılandırın.

Azure portalında var olan bir depolama hesabı için kopyalama işlemleri için izin verilen kapsamı yapılandırmak için şu adımları izleyin:

Azure portalda depolama hesabınıza gidin.
Ayarlar bölümünde Yapılandırma‘yı seçin.
Kopyalama işlemleri için izin verilen kapsam (önizleme) öğesini aşağıdakilerden biri olarak ayarlayın:
- Herhangi bir depolama hesabından
- Aynı Microsoft Entra kiracısında depolama hesaplarından
- Özel uç noktası olan depolama hesaplarından aynı sanal ağa
Kaydet'i seçin.

PowerShell ile yeni veya mevcut bir depolama hesabı için kopyalama işlemlerine izin verilen kapsamı yapılandırmak için Az.Storage PowerShell modülünün 4.9.0 veya sonraki bir sürümünü yükleyin. Ardından, yeni veya mevcut bir depolama hesabı için AllowedCopyScope özelliğini yapılandırın. allowedCopyScope parametresi için desteklenen tek değerler Microsoft Entra Id veya PrivateLink'tir. AllowedCopyScope'ı Herhangi bir depolama hesabından varsayılan ayarına ayarlamak için Azure portalında değiştirmeniz gerekir.

Aşağıdaki örnekte, mevcut bir depolama hesabının AllowedCopyScope özelliğinin yalnızca aynı Microsoft Entra kiracısı içindeki depolama hesaplarından veri kopyalamaya izin verecek şekilde nasıl ayarlanacağı gösterilmektedir. Köşeli ayraçlardaki (<>) yer tutucu değerlerini kendi değerlerinizle değiştirin:

Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -AccountName <storage-account> `
    -allowedCopyScope "AAD"

Aşağıdaki örnekte, mevcut bir depolama hesabının AllowedCopyScope özelliğinin yalnızca aynı sanal ağa özel bağlantıları olan depolama hesaplarından veri kopyalamaya izin verecek şekilde nasıl ayarlanacağı gösterilmektedir. Köşeli ayraçlardaki (<>) yer tutucu değerlerini kendi değerlerinizle değiştirin:

Set-AzStorageAccount -ResourceGroupName <resource-group> `
    -AccountName <storage-account> `
    -allowedCopyScope "PrivateLink"

Azure CLI ile yeni veya mevcut bir depolama hesabı için kopyalama işlemlerinin izin verilen kapsamını yapılandırmak için aşağıdaki adımları gerçekleştirin:

En son Azure CLI sürümünü yükleyin. Daha fazla bilgi için bkz . Azure CLI'yi yükleme.
komutunu az extension add -n storage-previewkullanarak Azure CLI depolama önizleme uzantısını yükleyin.

Önemli

Azure CLI depolama önizleme uzantısı, şu anda ÖNİzLEME aşamasında olan özellikler veya bağımsız değişkenler için destek ekler.

Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Yeni veya mevcut bir depolama hesabı için AllowedCopyScope özelliğini yapılandırmak için veya az storage account update komutunun allowed-copy-scope bağımsız değişkenini az storage account create kullanın. Bağımsız değişken için desteklenen tek değerler Microsoft Entra Id veya PrivateLink'tir. AllowedCopyScope'ı Herhangi bir depolama hesabından varsayılan ayarına ayarlamak için Azure portalında değiştirmeniz gerekir.

Aşağıdaki örnekte, var olan bir depolama hesabı için AllowedCopyScope özelliğinin yalnızca aynı Microsoft Entra kiracısı içindeki depolama hesaplarından hedef hesaba veri kopyalamaya izin verecek şekilde nasıl yapılandırılması gösterilmektedir. Köşeli ayraçlardaki (<>) yer tutucu değerlerini kendi değerlerinizle değiştirin:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allowed-copy-scope "AAD"

Aşağıdaki örnekte, yalnızca aynı sanal ağa özel bağlantıları olan depolama hesaplarından hedef hesaba veri kopyalamaya izin vermek için mevcut bir depolama hesabı için izin verilen kopyalama işlemlerinin kapsamının nasıl yapılandırılması gösterilmektedir. Köşeli ayraçlardaki (<>) yer tutucu değerlerini kendi değerlerinizle değiştirin:

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allowed-copy-scope "PrivateLink"

Aracılığıyla paylaş