Обзор новой функции в Azure - доступ к Azure Storage Account с Attribute-based Access Control (ABAC) HD

Подписаться на канал ►►► http://bit.ly/iwalker2000_subs | Мой LinkedIn ►►► https://www.linkedin.com/in/iwalker2000/ | Пред.серия ►►► https://youtu.be/7Yz3fPuQH6k | Подготовка к AZ-900 ►►► http://bit.ly/Exam-Az-900 | Открытое собеседование Azure admin ►►► https://youtu.be/eE-6AA3Cm6Q | Как стать системным администратором ►►► http://bit.ly/ITProSysAdmin | ИТ карьера - что для этого нужно ►►► http://bit.ly/ITcarriera_ | Загляните на мой блог ►►► http://iwalker2000.com | Про производительность дисков ►►► http://bit.ly/Disk_perf_p01 В Azure в пока в режиме превью появилась очень интересная новая функция по контролю за доступом к данным в блобах Azure Storage на основе аттрибутов этих самых блобов или параметров операции - Azure Storage Attribute-based Access Control (ABAC) - https://azure.microsoft.com/en-us/updates/azure-storage-abac-preview/ . Принцип работы такой функции очень даже простой - для какого-то хранилища через AIM и роль типа Storage Blob Data Reader/Storage Blob Data Owner мы делигируем права работы с контейнерами для определенного пользователя Azure AD. НО! При этом добавляются дополнительные ограничения для данной делегации, которые описывают, какая операция (Read, Write, Create, Delete) с какими условиями (наличие тега и его определенного значения, имя контейнера, имя аккаунта, путь к конкретному блобу) может быть выполнена. Таким образом возможности роли в целом могут быть серьезно ограничены с применением условий ABAC, что делает доступ к блобам в конкретном контейнере хранилища очень гранулированным. Так, в приведенных примерах можно увидеть различные сценарии: * использование роли Storage Blob Data Reader с условиями ABAC, при которых участник данной роли будет иметь права на чтение только тех блобов в контейнерах Azure Storage Account, которые имеют тег user со значением igorsh * использование роли Storage Blob Data Owner, которая при этом ограничена на создание новых/запись в существующие блобы только если в запросе присутствует тот же тег user со значением igorsh (таким образом - пользователь создает только те блобы, которые после может сам и читать) * и сценарий с аттрибутами контейнеров - та же роль Storage Blob Data Owner модифицирована при помощи условий ABAC и пользователи не могут выполнять операции модификации/удаления блобов в определенных контейнерах. В целом - новая функция Azure Storage Attribute-based Access Control (ABAC) в режиме превью работает нормально, единственные моменты, которые следует учитывать - это небольшие задержки при добавлении/изменении тегов или других аттрибутов - они должны быть проиндексированны, а также - применение самих условий, которые ограничивают операцию - иногда для этого требуется несколько минут. Кроме того, если вы планируете самостоятельно "поиграться" с новым превью Azure Storage Attribute-based Access Control (ABAC) - помните, что для активации данной новой функции требуется предварительно зарегистрировать модуль BlobIndex для провайдера Microsoft.Storage в той подписке