Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Pokaždé, když přistupujete k datům ve svém účtu úložiště, klientská aplikace odešle požadavek přes HTTP/HTTPS do Azure Storage. Ve výchozím nastavení je každý prostředek ve službě Azure Storage zabezpečený a každý požadavek na zabezpečený prostředek musí být autorizovaný. Autorizace zajišťuje, že klientská aplikace má příslušná oprávnění pro přístup k určitému prostředku ve vašem účtu úložiště.
Důležité
Pro zajištění optimálního zabezpečení společnost Microsoft doporučuje použít Microsoft Entra ID se spravovanými identitami k autorizaci požadavků na data objektů blob, fronty a tabulek, kdykoli je to možné. Autorizace s ID Microsoft Entra a spravovanými identitami poskytuje vynikající zabezpečení a snadné použití prostřednictvím autorizace sdíleného klíče. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure. Příklad povolení a použití spravované identity pro aplikaci .NET najdete v tématu Ověřování aplikací hostovaných v Azure v prostředcích Azure pomocí .NET.
Pro prostředky hostované mimo Azure, jako jsou místní aplikace, můžete použít spravované identity prostřednictvím služby Azure Arc. Aplikace spuštěné na serverech s podporou Azure Arc můžou například používat spravované identity pro připojení ke službám Azure. Další informace najdete v tématu Ověřování prostředků Azure pomocí serverů s podporou Azure Arc.
Ve scénářích, ve kterých se používají sdílené přístupové podpisy (SAS), Microsoft doporučuje používat delegovanou uživatelskou SAS. Delegovaný SAS uživatele je zabezpečen pomocí přihlašovacích údajů Microsoft Entra místo klíče účtu. Informace o sdílených přístupových podpisech najdete v tématu Udělení omezeného přístupu k datům pomocí sdílených přístupových podpisů. Příklad vytvoření a použití SAS delegování uživatele s .NET najdete v tématu Vytvoření SAS delegování uživatele pro objekt blob pomocí .NET.
Autorizace pro operace s daty
Následující část popisuje podporu autorizace a doporučení pro každou službu Azure Storage.
Následující tabulka obsahuje informace o podporovaných možnostech autorizace objektů blob:
| Možnost autorizace | Pokyny | Doporučení |
|---|---|---|
| Microsoft Entra ID | Autorizace přístupu k datům Azure Storage pomocí Microsoft Entra ID | Microsoft doporučuje používat Microsoft Entra ID se spravovanými identitami k autorizaci požadavků na prostředky objektů blob. |
| Sdílený klíč (klíč účtu úložiště) | Autorizace s využitím sdíleného klíče | Microsoft doporučuje zakázat autorizaci sdíleného klíče pro účty úložiště. |
| Sdílený přístupový podpis (SAS) | Použití sdílených přístupových podpisů (SAS) | Pokud je potřeba autorizace SAS, Microsoft doporučuje používat SAS s delegováním práv uživatele pro omezený delegovaný přístup k blobovým prostředkům. Autorizace SAS je podporovaná pro Blob Storage a Data Lake Storage a dá se použít pro volání koncových blob bodů a dfs koncových bodů. |
| Anonymní přístup pro čtení | Přehled: Náprava anonymního přístupu pro čtení blob údajů | Microsoft doporučuje zakázat anonymní přístup pro všechny účty úložiště. |
| Místní uživatelé úložiště | Podporováno pouze pro SFTP. Další informace najdete v tématu Autorizace přístupu ke službě Blob Storage pro klienta SFTP. | Možnosti najdete v doprovodných materiálech. |
| Zásady ochrany Microsoft Purview | Podporuje se pro Azure Blob Storage a Azure Data Lake Storage. Další informace najdete v tématu Vytváření a publikování zásad ochrany pro zdroje Azure (Preview). | Možnosti najdete v doprovodných materiálech. |
Následující část stručně popisuje možnosti autorizace pro Azure Storage:
Autorizace pomocí sdíleného klíče: Platí pro objekty blob, soubory, fronty a tabulky. Klient používající Sdílený klíč předává hlavičku s každým požadavkem, který je podepsán přístupovým klíčem k účtu úložiště. Další informace najdete v tématu Autorizace se sdíleným klíčem.
Přístupový klíč účtu úložiště by se měl používat s opatrností. Každý, kdo má přístupový klíč, může autorizovat požadavky na účet úložiště a efektivně má přístup ke všem datům. Microsoft doporučuje zakázat autorizaci sdíleného klíče pro váš účet úložiště. Pokud je autorizace sdíleného klíče zakázaná, klienti musí k autorizaci požadavků na data v daném účtu úložiště použít ID Microsoft Entra nebo SAS delegování uživatele. Další informace najdete v tématu Zabránění autorizaci sdíleného klíče pro účet Azure Storage.
Sdílené přístupové podpisy pro objekty blob, soubory, fronty a tabulky. Sdílené přístupové podpisy (SAS) poskytují omezený delegovaný přístup k prostředkům v účtu úložiště prostřednictvím podepsané adresy URL. Podepsaná adresa URL určuje oprávnění udělená prostředku a interval platnosti podpisu. SAS služby nebo SAS účtu je podepsaný pomocí klíče účtu, zatímco SAS delegování uživatele je podepsaný pomocí přihlašovacích údajů Microsoft Entra a vztahuje se pouze na objekty blob. Další informace naleznete v tématu Použití sdílených přístupových podpisů (SAS).
Integrace Microsoft Entra: Aplikuje se na prostředky objektů blob, front a tabulek. Microsoft doporučuje používat přihlašovací údaje Microsoft Entra se spravovanými identitami k autorizaci požadavků na data, pokud je to možné pro optimální zabezpečení a snadné použití. Další informace o integraci Microsoft Entra najdete v článcích o prostředcích objektů blob, front nebo tabulka.
Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete spravovat oprávnění objektu zabezpečení k prostředkům objektů blob, front a tabulek v účtu úložiště. K přidání podmínek do přiřazení rolí Azure pro prostředky objektů blob můžete také použít řízení přístupu na základě atributů Azure (ABAC).
Další informace o RBAC najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?
Další informace o ABAC najdete v tématu Co je řízení přístupu na základě atributů Azure (Azure ABAC)? Informace o stavu funkcí ABAC najdete v tématu Stav funkcí podmínky ABAC ve službě Azure Storage.
Ověřování služby Microsoft Entra Domain Services: Platí pro službu Azure Files. Služba Azure Files podporuje autorizaci založenou na identitě přes protokol SMB (Server Message Block) prostřednictvím služby Microsoft Entra Domain Services. Azure RBAC můžete použít k podrobné kontrole přístupu klienta k prostředkům Azure Files v účtu úložiště. Další informace o ověřování službou Azure Files pomocí doménových služeb najdete v tématu Přehled možností ověřování na základě identity služby Azure Files pro přístup k protokolu SMB.
Ověřování služby Active Directory Domain Services (AD DS, nebo místní AD DS): Platí pro službu Azure Files. Služba Azure Files podporuje autorizaci založenou na identitě přes protokol SMB prostřednictvím služby AD DS. Vaše prostředí SLUŽBY AD DS je možné hostovat v místních počítačích nebo ve virtuálních počítačích Azure. Přístup smb k souborům se podporuje pomocí přihlašovacích údajů služby AD DS z počítačů připojených k doméně, ať už místně, nebo v Azure. Můžete použít kombinaci Azure RBAC pro řízení přístupu na úrovni sdílené složky a seznamy DACLs NTFS pro vynucení oprávnění na úrovni adresáře/souboru. Další informace o ověřování azure Files pomocí doménových služeb najdete v přehledu.
Anonymní přístup k čtení: Platí pro prostředky typu BLOB. Tato možnost se nedoporučuje. Když je nakonfigurovaný anonymní přístup, můžou klienti číst data objektů blob bez autorizace. Doporučujeme zakázat anonymní přístup pro všechny účty úložiště. Další informace naleznete v tématu Přehled: Oprava anonymního přístupu k datům objektu blob.
Místní uživatelé úložiště: Platí pro blob s protokolem SFTP nebo soubory s protokolem SMB. Místní uživatelé úložiště podporují oprávnění na úrovni kontejneru pro autorizaci. Pro podrobnosti o tom, jak mohou být místní uživatelé úložiště použiti s protokolem SFTP, si přečtěte Kapacita připojení ke službě Azure Blob Storage pomocí protokolu SSH File Transfer Protocol (SFTP).
Integrace služby Microsoft Purview Information Protection: Platí pro Azure Blob Storage a Azure Data Lake Storage. Microsoft Purview Information Protection nabízí zásady ochrany pro ochranu citlivých dat ve službě Azure Blob Storage a Azure Data Lake Storage. Purview nabízí možnost publikovat popisky na základě citlivosti obsahu. Nad těmito popisky citlivosti můžete vytvořit zásady ochrany, které umožňují nebo odepírají přístup určitým uživatelům, což umožňuje bezpečnější a podrobnější přístup k důvěrným souborům. Tato funkce pomáhá nejen minimalizovat riziko neoprávněného přístupu a potenciálního úniku dat, ale také zvyšuje celkový stav zabezpečení organizace. Další informace najdete v tématu Vytváření a publikování zásad ochrany pro zdroje Azure (Preview).
Ochrana přístupových klíčů
Přístupové klíče účtu úložiště poskytují úplný přístup k datům účtu úložiště a možnost generovat tokeny SAS. Vždy buďte opatrní při ochraně přístupových klíčů. Pomocí služby Azure Key Vault můžete klíče bezpečně spravovat a otáčet. Přístup ke sdílenému klíči uděluje uživateli úplný přístup k datům účtu úložiště. Přístup ke sdíleným klíčům by měl být pečlivě omezený a monitorovaný. Použijte SAS tokeny pro delegování uživatele s omezeným rozsahem přístupu ve scénářích, kde nelze použít autorizaci na základě Microsoft Entra ID. Vyhněte se pevně kódovacím přístupovým klíčům nebo je uložte kdekoli ve formátu prostého textu, který je přístupný ostatním uživatelům. Pokud se domníváte, že by mohly být ohroženy, obměňte klíče.
Důležité
Pokud chcete uživatelům zabránit v přístupu k datům ve vašem účtu úložiště pomocí sdíleného klíče, můžete zakázat autorizaci sdíleného klíče pro účet úložiště. Podrobný přístup k datům s minimálními potřebnými oprávněními se doporučuje jako osvědčený postup zabezpečení. Pro scénáře, které podporují OAuth, by se měla použít autorizace založená na ID Microsoftu s využitím spravovaných identit. Protokol Kerberos nebo SMTP by se měly používat pro službu Azure Files přes protokol SMB. Pro Službu Azure Files přes REST je možné použít tokeny SAS. Přístup ke sdílenému klíči by měl být zakázán, pokud není vyžadován, aby se zabránilo jeho neúmyslným použití. Další informace najdete v tématu Zabránění autorizaci sdíleného klíče pro účet Azure Storage.
Pokud chcete chránit účet azure Storage pomocí zásad podmíněného přístupu Microsoft Entra, musíte zakázat autorizaci sdíleného klíče pro účet úložiště.
Pokud jste zakázali přístup ke sdíleným klíčům a v diagnostických protokolech se zobrazuje autorizace sdíleného klíče, znamená to, že se pro přístup k úložišti používá důvěryhodný přístup. Další podrobnosti najdete v tématu Důvěryhodný přístup k prostředkům registrovaným v tenantovi Microsoft Entra.
Další kroky
- Autorizovat přístup pomocí identifikátoru Microsoft Entra k prostředkům blob, fronty nebo tabulky.
- Autorizace s využitím sdíleného klíče
- Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů