Toegangsbeheer configureren voor opslagaccounts
Aanvragen voor een beveiligde resource in de blob-, bestands-, wachtrij- of tabelservice moeten zijn geautoriseerd. Autorisatie zorgt ervoor dat resources in uw opslagaccount alleen toegankelijk zijn wanneer u wilt dat ze zijn en alleen voor die gebruikers of toepassingen aan wie u toegang verleent.
In de volgende tabel worden de opties beschreven die Azure Storage biedt voor het autoriseren van toegang tot resources:
| Azure-artefact | Gedeelde sleutel (opslagaccountsleutel) | Shared Access Signature (SAS) | Microsoft Entra ID | On-premises Active Directory-domein Services | Anonieme openbare leestoegang |
|---|---|---|---|---|---|
| Azure-blobs | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Ondersteund |
| Azure Files (SMB) | Ondersteund | Niet ondersteund | Ondersteund met Microsoft Entra Domain Services of Microsoft Entra Kerberos | Ondersteund, referenties moeten worden gesynchroniseerd met Microsoft Entra-id | Niet ondersteund |
| Azure Files (REST) | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund |
| Azure-wachtrijen | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund |
| Azure-tabellen | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund |
Elke autorisatieoptie wordt hieronder kort beschreven:
- Microsoft Entra ID: Microsoft Entra is de cloudservice voor identiteits- en toegangsbeheer van Microsoft. Microsoft Entra ID-integratie is beschikbaar voor de blob-, bestands-, wachtrij- en tabelservices. Met Microsoft Entra ID kunt u fijnmazige toegang toewijzen aan gebruikers, groepen of toepassingen via op rollen gebaseerd toegangsbeheer (RBAC).
- Microsoft Entra Domain Services-autorisatie voor Azure Files. Azure Files ondersteunt autorisatie op basis van identiteit via Server Message Block (SMB) via Microsoft Entra Domain Services. U kunt RBAC gebruiken voor nauwkeurige controle over de toegang van een client tot Azure Files-resources in een opslagaccount.
- Active Directory-autorisatie (AD) voor Azure Files. Azure Files ondersteunt autorisatie op basis van identiteiten via SMB via AD. Uw AD-domeinservice kan worden gehost op on-premises machines of in Azure-VM's. SMB-toegang tot Bestanden wordt ondersteund met BEHULP van AD-referenties van aan een domein gekoppelde computers, on-premises of in Azure. U kunt RBAC gebruiken voor toegangsbeheer op shareniveau en NTFS-DACL's voor het afdwingen van machtigingen op map- en bestandsniveau.
- Gedeelde sleutel: Autorisatie van gedeelde sleutels is afhankelijk van de toegangssleutels van uw account en andere parameters om een versleutelde handtekeningtekenreeks te produceren die wordt doorgegeven aan de aanvraag in de autorisatieheader .
- Handtekeningen voor gedeelde toegang: Sas-handtekeningen (Shared Access Signatures) delegeren toegang tot een bepaalde resource in uw account met opgegeven machtigingen en gedurende een opgegeven tijdsinterval.
- Anonieme toegang tot containers en blobs: u kunt optioneel blob-resources openbaar maken op container- of blobniveau. Een openbare container of blob is toegankelijk voor elke gebruiker voor anonieme leestoegang. Leesaanvragen voor openbare containers en blobs vereisen geen autorisatie.
Het verifiëren en autoriseren van toegang tot blob-, bestands-, wachtrij- en tabelgegevens met Microsoft Entra ID biedt superieure beveiliging en gebruiksgemak ten opzichte van andere autorisatieopties. Als u bijvoorbeeld Microsoft Entra-id gebruikt, hoeft u uw accounttoegangssleutel niet op te slaan met uw code, net als bij autorisatie van gedeelde sleutels. Hoewel u gedeelde sleutelautorisatie kunt blijven gebruiken met uw blob- en wachtrijtoepassingen, raadt Microsoft u aan om waar mogelijk over te stappen naar Microsoft Entra-id.
Op dezelfde manier kunt u shared access signatures (SAS) blijven gebruiken om nauwkeurige toegang te verlenen tot resources in uw opslagaccount, maar Microsoft Entra ID biedt vergelijkbare mogelijkheden zonder dat u SAS-tokens hoeft te beheren of u zorgen hoeft te maken over het intrekken van een gecompromitteerde SAS.