Предотвращение репликации в хранилище BLOB-объектов Azure.
У меня есть множество учетных записей хранения Azure. Я хотел бы запретить любому из моих пользователей реплицировать данные в учетную запись хранения за пределами подписки, например, они могут реплицировать данные в другой регион для той же среды, но не в другую учетную запись. Есть ли четкий способ сделать это?
1 ответ
Встроенная георепликация в Azure поддерживает репликацию только в дополнительный регион в той же учетной записи, поэтому этот способ нельзя использовать для вывода данных.
Учитывая это, сценарий, о котором вы говорите, по сути, заключается в том, что пользователь загружает данные, а затем загружает их в другую учетную запись хранения или использует что-то вроде AzCopy для перемещения данных из одной учетной записи в другую. В Azure нет ничего, что могло бы помешать пользователю сделать это, если у него есть возможность загружать данные из вашей учетной записи хранения. Есть несколько вещей, которые вы можете сделать, чтобы минимизировать риск:
- Предоставляйте доступ к учетным записям хранения только тем пользователям, которые в них нуждаются.
- Не предоставляйте пользователям доступ к ключам учетной записи хранения и вместо этого используйте токены SaS, которые привязаны по времени и ограничены только теми ресурсами, к которым им необходим доступ.
- Используйте управление привилегированными пользователями, чтобы требовать повышения прав с одобрением для любого пользователя, которому необходим доступ к учетной записи хранения на портале Azure или в интерфейсе командной строки.
- Зарегистрируйте свои учетные записи хранения в Центре безопасности Azure, чтобы обнаруживать подозрительную активность.
- Ограничьте доступ к своей учетной записи хранения, используя ограничения IP, чтобы разрешить доступ только из определенных мест.