Популярное

Обзор новой функции в Azure - доступ к Azure Storage Account с Attribute-based Access Control (ABAC)

4.7
( 137 )
Оцени!
Обзор новой функции в Azure - доступ к Azure Storage Account с Attribute-based Access Control (ABAC). Подписаться на канал ►►► | Мой LinkedIn ►►► | Пред.серия ►►► | Подготовка к AZ-900 ►►► -Az-900 | Открытое собеседование Azure admin ►►► -6AA3Cm6Q | Как стать системным администратором ►►► | ИТ карьера - что для этого нужно ►►► | Загляните на мой блог ►►► | Про производительность дисков ►►►

В Azure в пока в режиме превью появилась очень интересная новая функция по контролю за доступом к данным в блобах Azure Storage на основе аттрибутов этих самых блобов или параметров операции - Azure Storage Attribute-based Access Control (ABAC) - -us/updates/azure-storage-abac-preview/ . Принцип работы такой функции очень даже простой - для какого-то хранилища через AIM и роль типа Storage Blob Data Reader/Storage Blob Data Owner мы делигируем права работы с контейнерами для определенного пользователя Azure AD. НО! При этом добавляются дополнительные ограничения для данной делегации, которые описывают, какая операция (Read, Write, Create, Delete) с какими условиями (наличие тега и его определенного значения, имя контейнера, имя аккаунта, путь к конкретному блобу) может быть выполнена.

Таким образом возможности роли в целом могут быть серьезно ограничены с применением условий ABAC, что делает доступ к блобам в конкретном контейнере хранилища очень гранулированным. Так, в приведенных примерах можно увидеть различные сценарии:

* использование роли Storage Blob Data Reader с условиями ABAC, при которых участник данной роли будет иметь права на чтение только тех блобов в контейнерах Azure Storage Account, которые имеют тег user со значением igorsh

* использование роли Storage Blob Data Owner, которая при этом ограничена на создание новых/запись в существующие блобы только если в запросе присутствует тот же тег user со значением igorsh (таким образом - пользователь создает только те блобы, которые после может сам и читать)

* и сценарий с аттрибутами контейнеров - та же роль Storage Blob Data Owner модифицирована при помощи условий ABAC и пользователи не могут выполнять операции модификации/удаления блобов в определенных контейнерах.

В целом - новая функция Azure Storage Attribute-based Access Control (ABAC) в режиме превью работает нормально, единственные моменты, которые следует учитывать - это небольшие задержки при добавлении/изменении тегов или других аттрибутов - они должны быть проиндексированны, а также - применение самих условий, которые ограничивают операцию - иногда для этого требуется несколько минут. Кроме того, если вы планируете самостоятельно "поиграться" с новым превью Azure Storage Attribute-based Access Control (ABAC) - помните, что для активации данной новой функции требуется предварительно зарегистрировать модуль BlobIndex для провайдера Microsoft.Storage в той подписке Azure, которую вы планируете использовать, как тестовую. Это можно выполнить непосредственно из консоли Cloud Shell, которая доступна в портале Azure, следующими командами:

* Для PowerShell:

Register-AzProviderFeature -FeatureName BlobIndex -ProviderNamespace Microsoft.Storage
Register-AzResourceProvider -ProviderNamespace Microsoft.Storage

* Для Azure CLI:

az feature register --namespace Microsoft.Storage --name BlobIndex
az provider register --namespace 'Microsoft.Storage'

и один важный момент здесь - регистрация модуля может занимать 5-10 минут, потому не торопитесь сразу "кидаться в бой" и начинать тестировать - проверьте сначала статус регистрации модуля BlobIndex командой
Get-AzProviderFeature -FeatureName BlobIndex -ProviderNamespace Microsoft.Storage - статус должен быть RegisterED :)

И ждем уже глобальной продуктовой доступности функции Azure Storage Attribute-based Access Control (ABAC) - уж очень она полезная и решает многие вопросы, которые поднимали различные пользователи насчет гранулярного управления доступом для разных пользователей к блобам в одном или нескольких контейнерах одной Azure Storage Account.

Смотрите другие видео, посвященные Azure, у меня на канале:

* Windows 10 c ядром Linux (WSL2) "научилась" запускать графические GUI приложения Linux - демо WSLg -

* Azure SALES - онлайн-семинар MUK - продажа сервисов Azure для различных сценариев кибербезопасности -

* Azure AZ-900 - онлайн-семинар MUK - обзор Azure Automation, Monitor, Log Analytics, Logic Apps -

* Закон Мерфи для кода или автоматическое копирование файлов между Azure Storage с Azure Logic Apps -

* Azure Global AI Bootcamp (UAE) - рус.версия по Cognitive services с PowerShell, Functions, Logic Apps -

* Что такое облачные технологии и подготовка к экзамену Microsoft AZ-900 Azure Fundamentals - -Az-900
Категория
Наука и техника
Комментариев нет.

Вместе с Обзор новой функции в Azure - доступ к Azure Storage Account с Attribute-based Access Control (ABAC) так же смотрят: