Condividi tramite


Scegliere come autorizzare l'accesso ai dati della coda con l'interfaccia della riga di comando di Azure

Archiviazione di Azure fornisce estensioni per l'interfaccia della riga di comando di Azure che consentono di specificare come autorizzare le operazioni sui dati della coda. È possibile autorizzare le operazioni sui dati nei modi seguenti:

  • Con un'entità di sicurezza di Microsoft Entra. Microsoft consiglia di usare le credenziali di Microsoft Entra per una maggiore sicurezza e facilità d'uso.
  • Con la chiave di accesso dell'account o un token di firma di accesso condiviso .With the account access key or a shared access signature (SAS) token.

Specificare la modalità di autorizzazione delle operazioni dei dati

I comandi dell'interfaccia della riga di comando di Azure per la lettura e la scrittura dei dati della coda includono il parametro facoltativo --auth-mode . Specificare questo parametro per indicare come deve essere autorizzata un'operazione dati:

  • Impostare il --auth-mode parametro su per login accedere usando un'entità di sicurezza Di Microsoft Entra (scelta consigliata).
  • Impostare il --auth-mode parametro sul valore legacy key per tentare di recuperare la chiave di accesso dell'account da usare per l'autorizzazione. Se si omette il --auth-mode parametro, l'interfaccia della riga di comando di Azure tenta anche di recuperare la chiave di accesso.

Per usare il --auth-mode parametro , assicurarsi di aver installato l'interfaccia della riga di comando di Azure v2.0.46 o versione successiva. Eseguire az --version per controllare la versione installata.

Nota

Quando un account di archiviazione è bloccato con un blocco ReadOnly di Azure Resource Manager, l'operazione List Keys non è consentita per tale account di archiviazione. List Keys è un'operazione POST e tutte le operazioni POST vengono impedite quando viene configurato un blocco ReadOnly per l'account. Per questo motivo, quando l'account è bloccato con un blocco ReadOnly , gli utenti che non possiedono già le chiavi dell'account devono usare le credenziali di Microsoft Entra per accedere ai dati della coda.

Importante

Se si omette il --auth-mode parametro o lo si imposta su key, l'interfaccia della riga di comando di Azure tenta di usare la chiave di accesso dell'account per l'autorizzazione. In questo caso, Microsoft consiglia di fornire la chiave di accesso nel comando o nella variabile di AZURE_STORAGE_KEY ambiente. Per altre informazioni sulle variabili di ambiente, vedere la sezione Impostare le variabili di ambiente per i parametri di autorizzazione.

Se non si specifica la chiave di accesso, l'interfaccia della riga di comando di Azure tenta di chiamare il provider di risorse Archiviazione di Azure per recuperarlo per ogni operazione. L'esecuzione di molte operazioni sui dati che richiedono una chiamata al provider di risorse può comportare una limitazione. Per altre informazioni sui limiti del provider di risorse, vedere Obiettivi di scalabilità e prestazioni per il provider di risorse Archiviazione di Azure.

Autorizzare con le credenziali di Microsoft Entra

Quando si accede all'interfaccia della riga di comando di Azure con le credenziali di Microsoft Entra, viene restituito un token di accesso OAuth 2.0. Tale token viene usato automaticamente dall'interfaccia della riga di comando di Azure per autorizzare le operazioni successive sui dati in Queue Archiviazione. Per le operazioni supportate, non è più necessario passare un chiave dell'account o un token di firma di accesso condiviso con il comando.

È possibile assegnare autorizzazioni ai dati della coda a un'entità di sicurezza Di Microsoft Entra tramite il controllo degli accessi in base al ruolo di Azure. Per altre informazioni sui ruoli di Azure in Archiviazione di Azure, vedere Gestire i diritti di accesso per Archiviazione di Azure dati con il controllo degli accessi in base al ruolo di Azure.

Autorizzazioni per chiamare le operazioni dei dati

Le estensioni Archiviazione di Azure sono supportate per le operazioni sui dati della coda. Le operazioni che è possibile chiamare dipendono dalle autorizzazioni concesse all'entità di sicurezza Microsoft Entra con cui si accede all'interfaccia della riga di comando di Azure. Le autorizzazioni per le code vengono assegnate tramite il controllo degli accessi in base al ruolo di Azure. Ad esempio, se viene assegnato il ruolo lettore dati coda Archiviazione, è possibile eseguire comandi di scripting che leggono i dati da una coda. Se viene assegnato il ruolo Collaboratore dati coda Archiviazione, è possibile eseguire comandi di scripting che leggono, scrivono o eliminano una coda o i dati che contengono.

Per informazioni dettagliate sulle autorizzazioni necessarie per ogni operazione di Archiviazione di Azure in una coda, vedere Chiamare le operazioni di archiviazione con token OAuth.

Esempio: Autorizzare un'operazione a creare una coda con le credenziali di Microsoft Entra

L'esempio seguente illustra come creare una coda dall'interfaccia della riga di comando di Azure usando le credenziali di Microsoft Entra. Per creare la coda, è necessario accedere all'interfaccia della riga di comando di Azure ed è necessario un gruppo di risorse e un account di archiviazione.

  1. Prima di creare la coda, assegnare il ruolo collaboratore ai dati della coda di Archiviazione a se stessi. Anche se si è il proprietario dell'account, sono necessarie autorizzazioni esplicite per eseguire operazioni sui dati sull'account di archiviazione. Per altre informazioni sull'assegnazione dei ruoli di Azure, vedere Assegnare un ruolo di Azure per l'accesso ai dati della coda.

    Importante

    La propagazione delle assegnazioni dei ruoli può richiedere alcuni minuti.

  2. Chiamare il az storage queue create comando con il --auth-mode parametro impostato per login creare la coda usando le credenziali di Microsoft Entra. È necessario ricordare di sostituire i valori segnaposto tra parentesi uncinate con i valori personalizzati:

    az storage queue create \
        --account-name <storage-account> \
        --name sample-queue \
        --auth-mode login
    

Autorizzare con la chiave di accesso dell'account

Se si possiede la chiave dell'account, è possibile chiamare qualsiasi operazione Archiviazione di Azure dati. In generale, l'uso della chiave dell'account è meno sicuro. Se la chiave dell'account viene compromessa, tutti i dati nell'account potrebbero essere compromessi.

Nell'esempio seguente viene illustrato come creare una coda usando la chiave di accesso dell'account. Specificare la chiave dell'account e specificare il --auth-mode parametro con il key valore :

az storage queue create \
    --account-name <storage-account> \
    --name sample-queue \
    --account-key <key>
    --auth-mode key

Autorizzare con un token di firma di accesso condiviso

Se si possiede un token di firma di accesso condiviso, è possibile chiamare le operazioni sui dati consentite dalla firma di accesso condiviso. L'esempio seguente illustra come creare una coda usando un token di firma di accesso condiviso:

az storage queue create \
    --account-name <storage-account> \
    --name sample-queue \
    --sas-token <token>

Impostare le variabili di ambiente per i parametri di autorizzazione

È possibile specificare i parametri di autorizzazione nelle variabili di ambiente per evitare di includerli in ogni chiamata a un'operazione di dati Archiviazione di Azure. Nella tabella seguente vengono descritte le variabili di ambiente disponibili.

Variabile di ambiente Descrizione
AZURE_STORAGE_ACCOUNT nome dell'account di archiviazione. Questa variabile deve essere usata insieme alla chiave dell'account di archiviazione o a un token di firma di accesso condiviso. Se nessuno dei due è presente, l'interfaccia della riga di comando di Azure tenta di recuperare la chiave di accesso dell'account di archiviazione usando l'account Microsoft Entra autenticato. Se un numero elevato di comandi viene eseguito contemporaneamente, è possibile raggiungere il limite di limitazione del provider di risorse Archiviazione di Azure. Per altre informazioni sui limiti del provider di risorse, vedere Obiettivi di scalabilità e prestazioni per il provider di risorse Archiviazione di Azure.
AZURE_STORAGE_KEY Chiave dell'account di archiviazione. Questa variabile deve essere usata insieme al nome dell'account di archiviazione.
AZURE_STORAGE_CONNECTION_STRING Un stringa di connessione che include la chiave dell'account di archiviazione o un token di firma di accesso condiviso. Questa variabile deve essere usata insieme al nome dell'account di archiviazione.
AZURE_STORAGE_SAS_TOKEN Token di firma di accesso condiviso. Questa variabile deve essere usata insieme al nome dell'account di archiviazione.
AZURE_STORAGE_AUTH_MODE Modalità di autorizzazione con cui eseguire il comando. I valori consentiti sono login (consigliati) o key. Se si specifica login, l'interfaccia della riga di comando di Azure usa le credenziali di Microsoft Entra per autorizzare l'operazione sui dati. Se si specifica la modalità legacy key , l'interfaccia della riga di comando di Azure tenta di eseguire una query per la chiave di accesso dell'account e di autorizzare il comando con la chiave.

Passaggi successivi