Konfigurieren der Zugriffssteuerung für Speicherkonten
Anforderungen für eine geschützte Ressource im Blob Storage-, File Storage-, Queue Storage- oder Table Storage-Dienst müssen autorisiert werden. Die Autorisierung stellt sicher, dass auf Ressourcen in Ihrem Speicherkonto nur zugegriffen werden kann, wenn Sie dies wünschen, und auch nur von den Benutzern und Anwendungen, denen Sie Zugriff gewähren.
In der folgenden Tabelle werden die Optionen beschrieben, die in Azure Storage zum Autorisieren des Ressourcenzugriffs zur Verfügung stehen:
| Azure-Artefakt | Gemeinsam verwendeter Schlüssel (Speicherkontoschlüssel) | Shared Access Signature (SAS) | Microsoft Entra ID | Lokale Active Directory Domain Services | Anonymer öffentlicher Lesezugriff |
|---|---|---|---|---|---|
| Azure-Blobs | Unterstützt | Unterstützt | Unterstützt | Nicht unterstützt | Unterstützt |
| Azure Files (SMB) | Unterstützt | Nicht unterstützt | Unterstützt mit Microsoft Entra Domain Services oder Microsoft Entra Kerberos | Unterstützt, Anmeldeinformationen müssen mit der Microsoft Entra-ID synchronisiert werden | Nicht unterstützt |
| Azure Files (REST) | Unterstützt | Unterstützt | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| Azure-Warteschlangen | Unterstützt | Unterstützt | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| Azure-Tabellen | Unterstützt | Unterstützt | Unterstützt | Nicht unterstützt | Nicht unterstützt |
Im Anschluss werden die einzelnen Autorisierungsoptionen kurz erläutert:
- Microsoft Entra ID: Microsoft Entra ID ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Die Microsoft Entra ID-Integration ist für die Dienste Azure Blob Storage, Azure Files, Azure Queue Storage und Azure Table Storage verfügbar. Mit Microsoft Entra ID können Sie Benutzer*innen, Gruppen oder Anwendungen über die rollenbasierte Zugriffssteuerung (Role-based Access Control, RBAC) die benötigten Zugriffsberechtigungen präzise zuweisen.
- Microsoft Entra Domain Services-Autorisierung für Azure Files Azure Files unterstützt die identitätsbasierte Autorisierung über SMB (Server Message Block) mithilfe von Microsoft Entra Domain Services. Sie können die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für eine präzise Steuerung des Clientzugriffs auf Azure Files-Ressourcen in einem Speicherkonto verwenden.
- Active Directory (AD)-Autorisierung für Azure Files. Azure Files unterstützt identitätsbasierte Autorisierung über SMB über AD. Ihr AD-Domänendienst kann auf lokalen Computern oder auf Azure-VMs gehostet werden. Der SMB-Zugriff auf Dateien wird mithilfe von AD-Anmeldeinformationen von in die Domäne eingebundenen Computern unterstützt, entweder lokal oder in Azure. Sie können RBAC für die Zugriffssteuerung auf Freigabeebene und NTFS-DACLs für die Berechtigungserzwingung auf Verzeichnis- und Dateiebene verwenden.
- Gemeinsam verwendeter Schlüssel: Die Autorisierung mit gemeinsam verwendeten Schlüsseln basiert auf Ihren Kontozugriffsschlüsseln und anderen Parametern, um eine verschlüsselte Signaturzeichenfolge zu erzeugen, die im Header Autorisierung der Anforderung übergeben wird.
- Shared Access Signatures: Shared Access Signatures (SAS) delegieren den Zugriff auf eine bestimmte Ressource in Ihrem Konto mit angegebenen Berechtigungen und für ein angegebenes Zeitintervall.
- Anonymer Zugriff auf Container und Blobs: Optional können Sie Blobressourcen auf Container- oder Blobebene öffentlich machen. Jeder Benutzer hat anonymen Lesezugriff auf öffentliche Container und Blobs. Leseanforderungen bei öffentlichen Containern und Blobs erfordern keine Autorisierung.
Die Authentifizierung und Autorisierung des Zugriffs auf Azure Blob Storage-, Azure Files-, Azure Queue Storage- und Azure Table Storage-Daten mit Microsoft Entra ID bietet eine höhere Sicherheit und Benutzerfreundlichkeit als andere Autorisierungsoptionen. Wenn Sie Microsoft Entra ID verwenden, wird Ihr Kontozugriffsschlüssel beispielsweise nicht mit Ihrem Code gespeichert, wie dies bei der Autorisierung mit gemeinsam verwendeten Schlüsseln der Fall ist. Sie können die Autorisierung mit gemeinsam verwendeten Schlüsseln weiterhin für Ihre Blob- und Warteschlangenanwendungen einsetzen, aber Microsoft empfiehlt, nach Möglichkeit zu Microsoft Entra ID zu wechseln.
Ebenso können Sie weiterhin Shared Access Signatures (SAS) für einen präzisen Zugriff auf Ressourcen in Ihrem Speicherkonto verwenden, aber Microsoft Entra ID bietet ähnliche Funktionen ohne die Notwendigkeit, SAS-Token zu verwalten oder sich um das Widerrufen einer gefährdeten SAS kümmern zu müssen.