De Azure Storage-resourceprovider gebruiken voor toegang tot beheerresources
Azure Resource Manager is de implementatie- en beheerservice voor Azure. De Azure Storage-resourceprovider is een service die is gebaseerd op Azure Resource Manager en die toegang biedt tot beheerresources voor Azure Storage. U kunt de Azure Storage-resourceprovider gebruiken om resources zoals opslagaccounts, privé-eindpunten en toegangssleutels voor accounts te maken, bij te werken, te beheren en te verwijderen. Zie het overzicht van Azure Resource Manager voor meer informatie over Azure Resource Manager.
U kunt de Azure Storage-resourceprovider gebruiken om acties uit te voeren, zoals het maken of verwijderen van een opslagaccount of het ophalen van een lijst met opslagaccounts in een abonnement. Als u aanvragen wilt autoriseren voor de Azure Storage-resourceprovider, gebruikt u de Microsoft Entra-id. In dit artikel wordt beschreven hoe u machtigingen toewijst aan beheerresources en verwijst naar voorbeelden die laten zien hoe u aanvragen kunt indienen bij de Azure Storage-resourceprovider.
Beheerbronnen versus gegevensbronnen
Microsoft biedt twee REST API's voor het werken met Azure Storage-resources. Deze API's vormen de basis van alle acties die u kunt uitvoeren op Azure Storage. Met de REST API van Azure Storage kunt u werken met gegevens in uw opslagaccount, waaronder blob-, wachtrij-, bestands- en tabelgegevens. Met de REST API van de Azure Storage-resourceprovider kunt u werken met het opslagaccount en gerelateerde resources.
Een aanvraag die blobgegevens leest of schrijft, vereist andere machtigingen dan een aanvraag die een beheerbewerking uitvoert. Azure RBAC biedt gedetailleerde controle over machtigingen voor beide typen resources. Wanneer u een Azure-rol toewijst aan een beveiligingsprincipaal, moet u weten welke machtigingen aan die principal worden verleend. Zie ingebouwde Azure-rollen voor een gedetailleerde referentie waarin wordt beschreven welke acties zijn gekoppeld aan elke ingebouwde Azure-rol.
Azure Storage biedt ondersteuning voor het gebruik van Microsoft Entra ID voor het autoriseren van aanvragen voor Blob- en Queue Storage. Zie Toegang tot blobs en wachtrijen autoriseren met Behulp van Active Directory voor informatie over Azure-rollen voor blob- en wachtrijgegevensbewerkingen.
Beheermachtigingen toewijzen met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)
Elk Azure-abonnement heeft een bijbehorende Microsoft Entra-id waarmee gebruikers, groepen en toepassingen worden beheerd. Een gebruiker, groep of toepassing wordt ook wel een beveiligingsprincipaal genoemd in de context van het Microsoft Identity Platform. U kunt toegang verlenen tot resources in een abonnement op een beveiligingsprincipaal die is gedefinieerd in Active Directory met behulp van op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC).
Wanneer u een Azure-rol toewijst aan een beveiligingsprincipaal, geeft u ook het bereik aan waarop de machtigingen die door de rol zijn verleend, van kracht zijn. Voor beheerbewerkingen kunt u een rol toewijzen op het niveau van het abonnement, de resourcegroep of het opslagaccount. U kunt een Azure-rol toewijzen aan een beveiligingsprincipaal met behulp van Azure Portal, de klassieke Azure CLI, PowerShell of de REST API van de Azure Storage-resourceprovider.
Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)? en Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.
Ingebouwde rollen voor beheerbewerkingen
Azure biedt ingebouwde rollen die machtigingen verlenen voor het aanroepen van beheerbewerkingen. Azure Storage biedt ook ingebouwde rollen die specifiek zijn bedoeld voor gebruik met de Azure Storage-resourceprovider.
Ingebouwde rollen die machtigingen verlenen voor het aanroepen van opslagbeheerbewerkingen zijn de rollen die in de volgende tabel worden beschreven:
Azure-rol | Beschrijving | Inclusief toegang tot accountsleutels? |
---|---|---|
Eigenaar | Kan alle opslagbronnen en toegang tot resources beheren. | Ja, biedt machtigingen om de sleutels van het opslagaccount weer te geven en opnieuw te genereren. |
Inzender | Kan alle opslagbronnen beheren, maar kan de toegang tot resources niet beheren. | Ja, biedt machtigingen om de sleutels van het opslagaccount weer te geven en opnieuw te genereren. |
Lezer | Kan informatie over het opslagaccount weergeven, maar kan de accountsleutels niet weergeven. | Nee |
Inzender voor opslagaccounts | Kan het opslagaccount beheren, informatie ophalen over de resourcegroepen en resources van het abonnement en implementaties van abonnementsresourcegroepen maken en beheren. | Ja, biedt machtigingen om de sleutels van het opslagaccount weer te geven en opnieuw te genereren. |
Beheerder van gebruikerstoegang | Kan de toegang tot het opslagaccount beheren. | Ja, hiermee kan een beveiligingsprincipaal machtigingen aan zichzelf en anderen toewijzen. |
Inzender voor virtuele machines | Kan virtuele machines beheren, maar niet het opslagaccount waarmee ze zijn verbonden. | Ja, biedt machtigingen om de sleutels van het opslagaccount weer te geven en opnieuw te genereren. |
De derde kolom in de tabel geeft aan of de ingebouwde rol ondersteuning biedt voor microsoft.Storage /storageAccounts/listkeys/action. Met deze actie worden machtigingen verleend om de sleutels van het opslagaccount te lezen en opnieuw te genereren. Machtigingen voor toegang tot Azure Storage-beheerbronnen omvatten niet ook machtigingen voor toegang tot gegevens. Azure RBAC biedt afzonderlijke ingebouwde rollen voor het autoriseren van gegevenstoegang. Als een gebruiker echter toegang heeft tot de accountsleutels, kunnen ze de accountsleutels gebruiken om toegang te krijgen tot Azure Storage-gegevens via autorisatie voor gedeelde sleutels.
Aangepaste rollen voor beheerbewerkingen
Azure biedt ook ondersteuning voor het definiëren van aangepaste Azure-rollen voor toegang tot beheerresources. Zie Aangepaste Azure-rollen voor meer informatie over aangepaste rollen.
Codevoorbeelden
Zie de volgende voorbeelden voor codevoorbeelden die laten zien hoe u beheerbewerkingen kunt autoriseren en aanroepen vanuit de Azure Storage-beheerbibliotheken:
Azure Resource Manager versus klassieke implementaties
Het implementatiemodel van Resource Manager en het klassieke implementatiemodel zijn twee verschillende manieren voor het implementeren en beheren van uw Azure-oplossingen. Microsoft raadt u aan het azure Resource Manager-implementatiemodel te gebruiken wanneer u een nieuw opslagaccount maakt. Indien mogelijk raadt Microsoft ook aan om bestaande klassieke opslagaccounts opnieuw te maken met het Resource Manager-model. Hoewel u een opslagaccount kunt maken met het klassieke implementatiemodel, is het klassieke model minder flexibel en wordt het uiteindelijk afgeschaft.
Zie Resource Manager en klassieke implementatie voor meer informatie over Azure-implementatiemodellen.