Uzyskiwanie dostępu do zasobów zarządzania przy użyciu dostawcy zasobów usługi Azure Storage
Usługa Azure Resource Manager to usługa wdrażania i zarządzania dla platformy Azure. Dostawca zasobów usługi Azure Storage to usługa oparta na usłudze Azure Resource Manager i zapewniająca dostęp do zasobów zarządzania dla usługi Azure Storage. Za pomocą dostawcy zasobów usługi Azure Storage można tworzyć, aktualizować, zarządzać i usuwać zasoby, takie jak konta magazynu, prywatne punkty końcowe i klucze dostępu do konta. Aby uzyskać więcej informacji na temat usługi Azure Resource Manager, zobacz Omówienie usługi Azure Resource Manager.
Za pomocą dostawcy zasobów usługi Azure Storage można wykonywać akcje, takie jak tworzenie lub usuwanie konta magazynu lub pobieranie listy kont magazynu w ramach subskrypcji. Aby autoryzować żądania względem dostawcy zasobów usługi Azure Storage, użyj identyfikatora Entra firmy Microsoft. W tym artykule opisano sposób przypisywania uprawnień do zasobów zarządzania oraz wskazuje przykłady pokazujące, jak wysyłać żądania do dostawcy zasobów usługi Azure Storage.
Zarządzanie zasobami a zasobami danych
Firma Microsoft udostępnia dwa interfejsy API REST do pracy z zasobami usługi Azure Storage. Te interfejsy API stanowią podstawę wszystkich akcji, które można wykonać w usłudze Azure Storage. Interfejs API REST usługi Azure Storage umożliwia pracę z danymi na koncie magazynu, w tym z danymi obiektów blob, kolejki, plików i tabel. Interfejs API REST dostawcy zasobów usługi Azure Storage umożliwia pracę z kontem magazynu i powiązanymi zasobami.
Żądanie odczytujące lub zapisujące dane obiektu blob wymaga innych uprawnień niż żądanie, które wykonuje operację zarządzania. Kontrola dostępu oparta na rolach platformy Azure zapewnia szczegółową kontrolę nad uprawnieniami do obu typów zasobów. Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń upewnij się, że rozumiesz, jakie uprawnienia zostaną przyznane podmiotowi zabezpieczeń. Aby uzyskać szczegółowe informacje opisujące akcje skojarzone z każdą wbudowaną rolą platformy Azure, zobacz Wbudowane role platformy Azure.
Usługa Azure Storage obsługuje używanie identyfikatora Entra firmy Microsoft do autoryzowania żądań względem obiektów blob i usługi Queue Storage. Aby uzyskać informacje o rolach platformy Azure na potrzeby operacji na danych obiektów blob i kolejek, zobacz Autoryzowanie dostępu do obiektów blob i kolejek przy użyciu usługi Active Directory.
Przypisywanie uprawnień do zarządzania przy użyciu kontroli dostępu opartej na rolach platformy Azure (Azure RBAC)
Każda subskrypcja platformy Azure ma skojarzony identyfikator Entra firmy Microsoft, który zarządza użytkownikami, grupami i aplikacjami. Użytkownik, grupa lub aplikacja jest również określany jako podmiot zabezpieczeń w kontekście Platforma tożsamości Microsoft. Dostęp do zasobów w subskrypcji można udzielić jednostce zabezpieczeń zdefiniowanej w usłudze Active Directory przy użyciu kontroli dostępu opartej na rolach (Azure RBAC).
Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń należy również wskazać zakres, w którym obowiązują uprawnienia przyznane przez rolę. W przypadku operacji zarządzania można przypisać rolę na poziomie subskrypcji, grupy zasobów lub konta magazynu. Rolę platformy Azure można przypisać do podmiotu zabezpieczeń przy użyciu witryny Azure Portal, klasycznego interfejsu wiersza polecenia platformy Azure, programu PowerShell lub interfejsu API REST dostawcy zasobów usługi Azure Storage.
Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (RBAC)? i role platformy Azure, role firmy Microsoft Entra i klasyczne role administratora subskrypcji.
Wbudowane role dla operacji zarządzania
Platforma Azure udostępnia wbudowane role, które udzielają uprawnień do wywoływania operacji zarządzania. Usługa Azure Storage udostępnia również wbudowane role przeznaczone specjalnie do użycia z dostawcą zasobów usługi Azure Storage.
Wbudowane role, które udzielają uprawnień do wywoływania operacji zarządzania magazynem, obejmują role opisane w poniższej tabeli:
Rola na platformie Azure | opis | Obejmuje dostęp do kluczy kont? |
---|---|---|
Właściciel | Może zarządzać wszystkimi zasobami magazynu i dostępem do zasobów. | Tak, zapewnia uprawnienia do wyświetlania i ponownego generowania kluczy konta magazynu. |
Współautor | Może zarządzać wszystkimi zasobami magazynu, ale nie może zarządzać dostępem do zasobów. | Tak, zapewnia uprawnienia do wyświetlania i ponownego generowania kluczy konta magazynu. |
Czytelnik | Może wyświetlać informacje o koncie magazynu, ale nie może wyświetlić kluczy konta. | L.p. |
Współautor konta magazynu | Może zarządzać kontem magazynu, uzyskiwać informacje o grupach zasobów i zasobach subskrypcji oraz tworzyć wdrożenia grup zasobów subskrypcji i zarządzać nimi. | Tak, zapewnia uprawnienia do wyświetlania i ponownego generowania kluczy konta magazynu. |
Administrator dostępu użytkowników | Może zarządzać dostępem do konta magazynu. | Tak, zezwala podmiotowi zabezpieczeń na przypisywanie wszelkich uprawnień do siebie i innych. |
Współautor maszyny wirtualnej | Może zarządzać maszynami wirtualnymi, ale nie kontem magazynu, z którym są połączone. | Tak, zapewnia uprawnienia do wyświetlania i ponownego generowania kluczy konta magazynu. |
Trzecia kolumna w tabeli wskazuje, czy wbudowana rola obsługuje akcję Microsoft.Storage/storageAccounts/listkeys/action. Ta akcja udziela uprawnień do odczytu i ponownego generowania kluczy konta magazynu. Uprawnienia dostępu do zasobów zarządzania usługi Azure Storage nie obejmują również uprawnień dostępu do danych. Kontrola dostępu oparta na rolach platformy Azure udostępnia oddzielne wbudowane role umożliwiające autoryzowanie dostępu do danych. Jeśli jednak użytkownik ma dostęp do kluczy konta, może użyć kluczy konta, aby uzyskać dostęp do danych usługi Azure Storage za pośrednictwem autoryzacji klucza współdzielonego.
Role niestandardowe dla operacji zarządzania
Platforma Azure obsługuje również definiowanie ról niestandardowych platformy Azure na potrzeby dostępu do zasobów zarządzania. Aby uzyskać więcej informacji na temat ról niestandardowych, zobacz Role niestandardowe platformy Azure.
Przykłady kodu
Przykłady kodu pokazujące sposób autoryzacji i wywoływania operacji zarządzania z bibliotek zarządzania usługi Azure Storage można znaleźć w następujących przykładach:
Usługa Azure Resource Manager a wdrożenia klasyczne
Model wdrażania przy użyciu usługi Resource Manager i model klasyczny to dwa różne sposoby wdrażania rozwiązań platformy Azure i zarządzania nimi. Firma Microsoft zaleca korzystanie z modelu wdrażania usługi Azure Resource Manager podczas tworzenia nowego konta magazynu. Jeśli to możliwe, firma Microsoft zaleca również ponowne utworzenie istniejących klasycznych kont magazynu przy użyciu modelu usługi Resource Manager. Chociaż można utworzyć konto magazynu przy użyciu klasycznego modelu wdrażania, model klasyczny jest mniej elastyczny i ostatecznie zostanie wycofany.
Aby uzyskać więcej informacji na temat modeli wdrażania platformy Azure, zobacz Resource Manager i wdrożenie klasyczne.
Następne kroki
- Omówienie usługi Azure Resource Manager
- Co to jest kontrola dostępu oparta na rolach na platformie Azure (Azure RBAC)?
- Cele skalowalności dostawcy zasobów usługi Azure Storage