Udostępnij za pośrednictwem

Zarządzanie kontenerami obiektów blob przy użyciu witryny Azure Portal

  • Artykuł

Usługa Azure Blob Storage umożliwia przechowywanie dużych ilości danych obiektów bez struktury. Usługi Blob Storage można używać do zbierania lub uwidaczniania danych multimediów, zawartości lub aplikacji dla użytkowników. Ponieważ wszystkie dane obiektów blob są przechowywane w kontenerach, przed rozpoczęciem przekazywania danych należy utworzyć kontener magazynu. Aby dowiedzieć się więcej o usłudze Blob Storage, przeczytaj wprowadzenie do usługi Azure Blob Storage.

Z tego artykułu z instrukcjami dowiesz się, jak pracować z obiektami kontenerów w witrynie Azure Portal.

Wymagania wstępne

Aby uzyskać dostęp do usługi Azure Storage, potrzebujesz subskrypcji platformy Azure. Jeśli nie masz jeszcze subskrypcji, przed rozpoczęciem utwórz bezpłatne konto .

Cały dostęp do usługi Azure Storage odbywa się za pośrednictwem konta magazynu. W tym artykule z instrukcjami utwórz konto magazynu przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure. Aby uzyskać pomoc dotyczącą tworzenia konta magazynu, zobacz Tworzenie konta magazynu.

Tworzenie kontenera

Kontener porządkuje zestaw obiektów blob, pełniąc funkcję podobną do katalogu w systemie plików. Konto magazynu może zawierać nieograniczoną liczbę kontenerów, a każdy kontener może zawierać nieograniczoną liczbę obiektów blob.

Aby utworzyć kontener w witrynie Azure Portal, wykonaj następujące kroki:

  1. W okienku nawigacji portalu po lewej stronie ekranu wybierz pozycję Konta magazynu i wybierz konto magazynu. Jeśli okienko nawigacji nie jest widoczne, wybierz przycisk menu, aby przełączyć jego widoczność.

    Screenshot of the Azure portal homepage showing the location of the Menu button in the browser.

  2. W okienku nawigacji dla konta magazynu przewiń do sekcji Magazyn danych i wybierz pozycję Kontenery.

  3. W okienku Kontenery wybierz przycisk + Kontener, aby otworzyć okienko Nowy kontener.

  4. W okienku Nowy kontener podaj nazwę nowego kontenera. Nazwa kontenera musi być zapisana małymi literami, zaczynać się literą lub cyfrą i może zawierać tylko litery, cyfry i znak kreski (-). Nazwa musi również mieć długość od 3 do 63 znaków. Aby uzyskać dodatkowe informacje o regułach nazewnictwa kontenerów i obiektów blob, zobacz Nazewnictwo i odwołania do kontenerów, obiektów blob i metadanych.

  5. Ustaw poziom dostępu Anonimowe dla kontenera. Zalecany poziom to Prywatny (bez dostępu anonimowego). Aby uzyskać informacje na temat zapobiegania anonimowemu dostępowi do danych obiektów blob, zobacz Omówienie: korygowanie anonimowego dostępu do odczytu dla danych obiektów blob.

  6. Wybierz pozycję Utwórz, aby utworzyć kontener.

    Screenshot showing how to create a container within the Azure portal.

Odczytywanie właściwości i metadanych kontenera

Kontener uwidacznia zarówno właściwości systemu, jak i metadane zdefiniowane przez użytkownika. Właściwości systemu istnieją w każdym zasobie usługi Blob Storage. Niektóre właściwości są tylko do odczytu, podczas gdy inne mogą być odczytywane lub ustawiane.

Metadane zdefiniowane przez użytkownika składają się z co najmniej jednej pary nazwa-wartość określonej dla zasobu usługi Blob Storage. Za pomocą metadanych można przechowywać dodatkowe wartości z zasobem. Wartości metadanych są przeznaczone tylko do własnych celów i nie mają wpływu na zachowanie zasobu.

Właściwości kontenera

Aby wyświetlić właściwości kontenera w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do listy kontenerów na koncie magazynu.

  2. Zaznacz pole wyboru obok nazwy kontenera, którego właściwości chcesz wyświetlić.

  3. Wybierz przycisk Więcej kontenera (...), a następnie wybierz pozycję Właściwości kontenera, aby wyświetlić okienko Właściwości kontenera.

    Screenshot showing how to display container properties within the Azure portal.

Odczytywanie i zapisywanie metadanych kontenera

Użytkownicy, którzy mają dużą liczbę obiektów na koncie magazynu, mogą logicznie organizować swoje dane w kontenerach przy użyciu metadanych.

Aby zarządzać metadanymi kontenera w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do listy kontenerów na koncie magazynu.

  2. Zaznacz pole wyboru obok nazwy kontenera, którego metadane chcesz zarządzać.

  3. Wybierz przycisk Więcej kontenera (...), a następnie wybierz pozycję Edytuj metadane, aby wyświetlić okienko Metadane kontenera.

    Screenshot showing how to access container metadata within the Azure portal.

  4. W okienku Metadane kontenera będą wyświetlane istniejące pary klucz-wartość metadanych. Istniejące dane można edytować, wybierając istniejący klucz lub wartość i zastępując dane. Możesz dodać dodatkowe metadane, podając dane w podanych pustych polach. Na koniec wybierz pozycję Zapisz , aby zatwierdzić dane.

    Screenshot showing how to update container metadata within the Azure portal.

Zarządzanie dostępem do kontenerów i obiektów blob

Prawidłowe zarządzanie dostępem do kontenerów i ich obiektów blob jest kluczem do zapewnienia bezpieczeństwa danych. W poniższych sekcjach przedstawiono sposoby spełnienia wymagań dotyczących dostępu.

Zarządzanie przypisaniami ról RBAC platformy Azure dla kontenera

Identyfikator entra firmy Microsoft oferuje optymalne zabezpieczenia zasobów usługi Blob Storage. Kontrola dostępu oparta na rolach (RBAC) platformy Azure określa, jakie uprawnienia ma podmiot zabezpieczeń dla danego zasobu. Aby udzielić dostępu do kontenera, przypiszesz rolę RBAC w zakresie kontenera lub powyżej do użytkownika, grupy, jednostki usługi lub tożsamości zarządzanej. Możesz również dodać jeden lub więcej warunków do przypisania roli.

Informacje na temat przypisywania ról można uzyskać w temacie Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Generowanie sygnatury dostępu współdzielonego

Sygnatura dostępu współdzielonego (SAS) zapewnia tymczasowy, bezpieczny, delegowany dostęp do klienta, który normalnie nie ma uprawnień. Sygnatura dostępu współdzielonego zapewnia szczegółową kontrolę nad sposobem uzyskiwania dostępu do danych przez klienta. Można na przykład określić, które zasoby są dostępne dla klienta. Można również ograniczyć typy operacji, które klient może wykonać, i określić czas trwania.

pomoc techniczna platformy Azure trzy typy sygnatur dostępu współdzielonego. Sygnatura dostępu współdzielonego usługi zapewnia dostęp do zasobu tylko w jednej z usług magazynu: obiektu blob, kolejki, tabeli lub usługi plików. Sygnatura dostępu współdzielonego konta jest podobna do sygnatury dostępu współdzielonego usługi, ale może zezwalać na dostęp do zasobów w więcej niż jednej usłudze magazynu. Sygnatura dostępu współdzielonego delegowania użytkownika jest sygnaturą dostępu współdzielonego zabezpieczoną przy użyciu poświadczeń firmy Microsoft i może być używana tylko z usługą Blob Storage.

Podczas tworzenia sygnatury dostępu współdzielonego można ustawić ograniczenia dostępu na podstawie poziomu uprawnień, adresu IP lub zakresu albo daty i godziny rozpoczęcia i wygaśnięcia. Więcej informacji można przeczytać w temacie Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego.

Uwaga

Każdy klient, który posiada prawidłową sygnaturę dostępu współdzielonego, może uzyskać dostęp do danych na koncie magazynu zgodnie z zezwoleniem na ten sygnaturę dostępu współdzielonego. Ważne jest, aby chronić sygnaturę dostępu współdzielonego przed złośliwym lub niezamierzonym użyciem. Użyj uznania w dystrybucji sygnatury dostępu współdzielonego i zaplanuj odwołanie naruszonej sygnatury dostępu współdzielonego.

Aby wygenerować token SAS przy użyciu witryny Azure Portal, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do listy kontenerów w ramach swojego konta magazynu.

  2. Zaznacz pole wyboru obok nazwy kontenera, dla którego wygenerujesz token SAS.

  3. Wybierz przycisk Więcej kontenera (...), a następnie wybierz pozycję Generuj sygnaturę dostępu współdzielonego, aby wyświetlić okienko Generuj sygnaturę dostępu współdzielonego.

    Screenshot showing how to access container shared access signature settings in the Azure portal.

  4. W okienku Generuj sygnaturę dostępu współdzielonego wybierz wartość klucza konta dla pola Metoda podpisywania.

  5. W polu Metoda podpisywania wybierz pozycję Klucz konta. Wybranie klucza konta spowoduje utworzenie sygnatury dostępu współdzielonego usługi.

  6. W polu Klucz podpisywania wybierz żądany klucz, który ma zostać użyty do podpisania sygnatury dostępu współdzielonego.

  7. W polu Przechowywane zasady dostępu wybierz pozycję Brak.

  8. Wybierz pole Uprawnienia, a następnie zaznacz pola wyboru odpowiadające żądanym uprawnieniam.

  9. W sekcji Data/godzina rozpoczęcia i wygaśnięcia określ żądane wartości daty rozpoczęcia i wygaśnięcia, godziny i strefy czasowej.

  10. Opcjonalnie określ adres IP lub zakres adresów IP, z których mają być akceptowane żądania w polu Dozwolone adresy IP. Jeśli adres IP żądania nie jest zgodny z adresem IP lub zakresem adresów określonym w tokenie SAS, nie zostanie autoryzowany.

  11. Opcjonalnie określ protokół dozwolony dla żądań wysyłanych przy użyciu sygnatury dostępu współdzielonego w polu Dozwolone protokoły . Wartość domyślna to HTTPS.

  12. Przejrzyj ustawienia pod kątem dokładności, a następnie wybierz pozycję Generuj token SAS i adres URL , aby wyświetlić ciągi zapytań dotyczących tokenu SAS obiektu blob i adresu URL sygnatury dostępu współdzielonego obiektu blob.

    Screenshot showing how to generate a SAS for a container within the Azure portal.

  13. Skopiuj i wklej wartości tokenu SAS obiektu blob i adresu URL sygnatury dostępu współdzielonego obiektu blob w bezpiecznej lokalizacji. Będą one wyświetlane tylko raz i nie można ich pobrać po zamknięciu okna.

Uwaga

Token SYGNATURy dostępu współdzielonego zwrócony przez portal nie zawiera znaku ogranicznika ('?') dla ciągu zapytania adresu URL. Jeśli dołączasz token SAS do adresu URL zasobu, pamiętaj, aby dołączyć znak ogranicznika do adresu URL zasobu przed dołączeniem tokenu SAS.

Tworzenie przechowywanych zasad dostępu lub niezmienności

Przechowywane zasady dostępu umożliwiają dodatkową kontrolę po stronie serwera nad co najmniej jednym sygnaturą dostępu współdzielonego. Po skojarzeniu sygnatury dostępu współdzielonego z zapisanymi zasadami dostępu sygnatura dostępu współdzielonego dziedziczy ograniczenia zdefiniowane w zasadach. Te dodatkowe ograniczenia umożliwiają zmianę czasu rozpoczęcia, czasu wygaśnięcia lub uprawnień dla podpisu. Można go również odwołać po jego wydaniu.

Zasady niezmienności mogą służyć do ochrony danych przed zastępowaniami i usuwaniem. Zasady niezmienności umożliwiają tworzenie i odczytywanie obiektów, ale uniemożliwia ich modyfikowanie lub usuwanie przez określony czas trwania. Usługa Blob Storage obsługuje dwa typy zasad niezmienności. Zasady przechowywania na podstawie czasu uniemożliwiają operacje zapisu i usuwania przez określony okres czasu. Blokada prawna zabrania również operacji zapisu i usuwania, ale należy je jawnie wyczyścić, zanim te operacje będą mogły zostać wznowione.

Tworzenie przechowywanych zasad dostępu

Konfigurowanie przechowywanych zasad dostępu jest procesem dwuetapowym: najpierw należy zdefiniować zasady, a następnie zastosować je do kontenera. Aby skonfigurować przechowywane zasady dostępu, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do listy kontenerów w ramach swojego konta magazynu.

  2. Zaznacz pole wyboru obok nazwy kontenera, dla którego wygenerujesz token SAS.

  3. Wybierz przycisk Więcej kontenera (...), a następnie wybierz pozycję Zasady dostępu, aby wyświetlić okienko Zasady dostępu.

    Screenshot showing how to access container stored access policy settings in the Azure portal.

  4. W okienku Zasady dostępu wybierz pozycję + Dodaj zasady w sekcji Przechowywane zasady dostępu, aby wyświetlić okienko Dodawanie zasad. Wszystkie istniejące zasady będą wyświetlane w odpowiedniej sekcji.

    Screenshot showing how to add a stored access policy in the Azure portal.

  5. W okienku Dodawanie zasad wybierz pole Identyfikator i dodaj nazwę dla nowych zasad.

  6. Wybierz pole Uprawnienia, a następnie zaznacz pola wyboru odpowiadające uprawnieniam żądanym dla nowych zasad.

  7. Opcjonalnie podaj wartości daty, godziny i strefy czasowej dla pól Godzina rozpoczęcia i Godzina wygaśnięcia , aby ustawić okres ważności zasad.

  8. Przejrzyj ustawienia pod kątem dokładności, a następnie wybierz przycisk OK , aby zaktualizować okienko Zasady dostępu.

    Uwaga

    Mimo że zasady są teraz wyświetlane w tabeli Zasady dostępu przechowywane, nadal nie są stosowane do kontenera. Jeśli w tym momencie przejdziesz z okienka Zasady dostępu, zasady nie zostaną zapisane ani zastosowane i utracisz pracę.

    Screenshot showing how to create a stored access policy within the Azure portal.

  9. W okienku Zasady dostępu wybierz pozycję + Dodaj zasady , aby zdefiniować inne zasady, lub wybierz pozycję Zapisz , aby zastosować nowe zasady do kontenera. Po utworzeniu co najmniej jednej przechowywanej zasady dostępu będzie można skojarzyć z nim inne sygnatury bezpiecznego dostępu (SAS).

    Screenshot showing how to apply a stored access policy within the Azure portal.

Tworzenie zasad niezmienności

Dowiedz się więcej na temat konfigurowania zasad niezmienności dla kontenerów. Aby uzyskać pomoc dotyczącą implementowania zasad niezmienności, wykonaj kroki opisane w artykule Konfigurowanie zasad przechowywania lub Konfigurowanie lub czyszczenie artykułów dotyczących archiwizacji ze względów prawnych.

Zarządzanie dzierżawami

Dzierżawa kontenera służy do ustanawiania blokady operacji usuwania lub zarządzania nią. Po uzyskaniu dzierżawy w witrynie Azure Portal blokadę można utworzyć tylko z nieskończonym czasem trwania. Po utworzeniu programowo czas trwania blokady może wynosić od 15 do 60 sekund lub może być nieskończony.

Istnieją pięć różnych trybów operacji dzierżawy, ale tylko dwa są dostępne w witrynie Azure Portal:

Przypadek użycia Dostępne w witrynie Azure Portal
Tryb uzyskiwania Zażądaj nowej dzierżawy.
Tryb odnawiania Odnów istniejącą dzierżawę.
Tryb zmiany Zmień identyfikator istniejącej dzierżawy.
Tryb wydania Zakończ bieżącą dzierżawę; umożliwia innym klientom uzyskanie nowej dzierżawy
Tryb przerwania Zakończ bieżącą dzierżawę; uniemożliwia innym klientom uzyskanie nowej dzierżawy w bieżącym okresie dzierżawy

Uzyskiwanie dzierżawy

Aby uzyskać dzierżawę przy użyciu witryny Azure Portal, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do listy kontenerów w ramach swojego konta magazynu.

  2. Zaznacz pole wyboru obok nazwy kontenera, dla którego uzyskasz dzierżawę.

  3. Wybierz przycisk Więcej kontenera (...), a następnie wybierz pozycję Uzyskaj dzierżawę, aby zażądać nowej dzierżawy i wyświetlić szczegóły w okienku Stan dzierżawy.

    Screenshot showing how to access container lease settings in the Azure portal.

  4. Wartości właściwości Container and Lease ID nowo żądanej dzierżawy są wyświetlane w okienku Stan dzierżawy. Skopiuj i wklej te wartości w bezpiecznej lokalizacji. Będą one wyświetlane tylko raz i nie można ich pobrać po zamknięciu okienka.

    Screenshot showing how to access container lease status pane within the Azure portal.

Przerywanie dzierżawy

Aby przerwać dzierżawę przy użyciu witryny Azure Portal, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do listy kontenerów w ramach swojego konta magazynu.

  2. Zaznacz pole wyboru obok nazwy kontenera, dla którego zostanie przerwana dzierżawa.

  3. Wybierz przycisk Więcej kontenera (...), a następnie wybierz pozycję Przerwij dzierżawę, aby przerwać dzierżawę.

    Screenshot showing how to break a container lease within the Azure portal.

  4. Po przerwaniu dzierżawy wartość stanu dzierżawy wybranego kontenera zostanie zaktualizowana, a zostanie wyświetlone potwierdzenie stanu.

    Screenshot showing a container's broken lease within the Azure portal.

Usuwanie kontenerów

Po usunięciu kontenera w witrynie Azure Portal wszystkie obiekty blob w kontenerze również zostaną usunięte.

Ostrzeżenie

Wykonanie poniższych kroków może trwale usunąć kontenery i wszystkie w nich obiekty blob. Firma Microsoft zaleca włączenie usuwania nietrwałego kontenera w celu ochrony kontenerów i obiektów blob przed przypadkowym usunięciem. Aby uzyskać więcej informacji, zobacz Usuwanie nietrwałe dla kontenerów.

Aby usunąć kontener w witrynie Azure Portal, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do listy kontenerów w ramach swojego konta magazynu.

  2. Wybierz kontener do usunięcia.

  3. Wybierz przycisk Więcej (... ), a następnie wybierz pozycję Usuń.

    Screenshot showing how to delete a container within the Azure portal.

  4. W oknie dialogowym Usuwanie kontenerów upewnij się, że chcesz usunąć kontener.

W niektórych przypadkach można pobrać kontenery, które zostały usunięte. Jeśli opcja ochrony danych usuwania nietrwałego jest włączona na koncie magazynu, możesz uzyskać dostęp do kontenerów usuniętych w skojarzonym okresie przechowywania. Aby dowiedzieć się więcej na temat usuwania nietrwałego, zapoznaj się z artykułem Usuwanie nietrwałe dla kontenerów .

Wyświetlanie kontenerów usuniętych nietrwale

Po włączeniu usuwania nietrwałego można wyświetlać kontenery usunięte nietrwale w witrynie Azure Portal. Kontenery usunięte nietrwale są widoczne w określonym okresie przechowywania. Po wygaśnięciu okresu przechowywania kontener usunięty nietrwale zostanie trwale usunięty i nie będzie już widoczny.

Aby wyświetlić kontenery usunięte nietrwale w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do konta magazynu w witrynie Azure Portal i wyświetl listę kontenerów.

  2. Przełącz przełącznik Pokaż usunięte kontenery, aby uwzględnić usunięte kontenery na liście.

    Screenshot showing how to view soft-deleted containers within the Azure portal.

Przywracanie kontenera usuniętego nietrwale

W okresie przechowywania można przywrócić kontener usunięty nietrwale i jego zawartość. Aby przywrócić kontener usunięty nietrwale w witrynie Azure Portal, wykonaj następujące kroki:

  1. Przejdź do konta magazynu w witrynie Azure Portal i wyświetl listę kontenerów.

  2. Wyświetl menu kontekstowe kontenera, który chcesz przywrócić, a następnie z menu wybierz pozycję Cofnij usunięcie .

    Screenshot showing how to restore a soft-deleted container in Azure portal.

Zobacz też