IAM (Identity and Access Management) RBAC 2

ABAC
ストレージにおける権限

前述したがストレージアカウントはコントロールとデータアクションで別れてるためまたややこしい・・・

このあたりはJSONをみるとわかりやすい

Azure ロールの定義について - Azure RBAC
Azure リソースの詳細なアクセス管理を行うための Azure ロールベースのアクセス制御 (RBAC) の Azure ロール定義について説明します。

Owner権限でもコンテナまでの参照は可能
既定の動作で共有キーを利用したアクセスとなるためみれるらしい
この共有キーによるアクセスは禁止するのが望ましいらしい

共有キーによる承認の防止 - Azure Storage
Microsoft Entra ID を使用してクライアントに要求の認証を要求するには、共有キーで認証されたストレージ アカウントへの要求を許可しないようにします。

 

さらにACLやAzureABACもでてきて都度確認しないとわからなくなる・・・
ACL DataLakeStorageGen2
BlobをDatalakeStorageとして作成するとACLが利用可能で細かい制御が可能になる
ただし、AzureADロールが優先となる

Azure Data Lake Storage Gen2 のアクセス制御モデル - Azure Storage
階層型名前空間を持つアカウントでコンテナー、ディレクトリ、およびファイルレベルのアクセスを構成する方法について説明します。
Azure ABAC

AzureABACは属性ベースのアクセス制御、AzureADロールに条件を不可して、コンテナ、パス、ブロブに対する細かいアクセス制御を実現できる

Azure の属性ベースのアクセス制御 (Azure ABAC) とは
Azure の属性ベースのアクセス制御 (Azure ABAC) の概要を説明します。 条件を使ったロールの割り当てを使用して、Azure リソースへのアクセスを制御します。

コメント

タイトルとURLをコピーしました