Лекция Облачные технологии
Управление доступом к учетным записям хранения Диспетчера
Download 3.58 Mb. Pdf ko'rish
|
|
Управление доступом к учетным записям хранения Диспетчера
Ресурсов с помощью RBAC, Azure AD и Azure Key Vault RBAC и Azure AD. Механизм RBAC Диспетчера Ресурсов позволяет назначать роли пользователям, группам и приложениям [8]. Каждой роли соответствуют наборы разрешенных и запрещенных действий. При предоставлении доступа к учетной записи хранения посредством RBAC затрагиваются только операции управления этой учетной записью. Предоставлять доступ к объектам плоскости данных (например, к отдельным контейнерам или файловым ресурсам общего доступа) с помощью RBAC нельзя. Однако посредством RBAC можно открыть доступ к ключам учетной записи хранения, а с их помощью — считывать объекты данных. Например, вы можете предоставить пользователю роль «Владелец» (Owner) в отношении учетной записи хранения. У такого пользователя будет доступ к ключам, а значит, он сможет работать с объектами данных, создавать учетные записи хранения и вообще выполнять практически любые действия. 84 Также предусмотрена роль, которая называется «Читатель» (Reader). Она позволяет получать информацию об учетной записи хранения. Пользователь с такой ролью сможет получать данные о ресурсах и их группах, однако не будет иметь доступа к ключам учетной записи хранения, а значит, и к объектам данных. Если пользователю необходимо создавать виртуальные машины, ему следует назначить роль «Участник виртуальных машин» (Virtual Machine Contributor). Она позволяет получать ключи учетной записи хранения, но не позволяет создавать новые учетные записи хранения. Ключи потребуются такому пользователю для создания файлов VHD, на основе которых работают диски виртуальных машин. Azure Key Vault. Azure Key Vault помогает обеспечить безопасность криптографических ключей и секретных данных, которые используются в службах и приложениях Azure. Ключи учетной записи хранения также можно поместить в Azure Key Vault. Для чего это нужно? С помощью Active Directory управлять доступом непосредственно к объектам данных нельзя, а к Azure Key Vault — можно. Таким образом, вы можете поместить ключи учетной записи хранения в Azure Key Vault и предоставить доступ к ним определенному пользователю, группе или приложению. В качестве примера рассмотрим веб-приложение, которое загружает файлы в учетную запись хранения. Необходимо надежно защитить эти файлы от несанкционированного доступа. Вы вносите это приложение в Azure Active Directory и предоставляете ему доступ к Azure Key Vault, в котором размещены ключи этой учетной записи хранения. После этого доступ к ключам будет только у этого приложения. Это гораздо более безопасный подход, нежели простое размещение ключей в файле web.config, где хакер может до них добраться. Download 3.58 Mb. Do'stlaringiz bilan baham: 
|