Udostępnij za pośrednictwem

Wybieranie sposobu autoryzowania dostępu do danych w kolejce w witrynie Azure Portal

  • Artykuł

Gdy uzyskujesz dostęp do danych kolejki przy użyciu witryny Azure Portal, portal wysyła żądania do usługi Azure Storage w ramach tych elementów. Żądanie do usługi Azure Storage może być autoryzowane przy użyciu konta usługi Microsoft Entra lub klucza dostępu do konta magazynu. Portal wskazuje używaną metodę i umożliwia przełączanie się między nimi, jeśli masz odpowiednie uprawnienia.

Uprawnienia wymagane do uzyskiwania dostępu do danych kolejki

W zależności od tego, jak chcesz autoryzować dostęp do danych kolejki w witrynie Azure Portal, potrzebne są określone uprawnienia. W większości przypadków te uprawnienia są udostępniane za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure. Aby uzyskać więcej informacji na temat kontroli dostępu na podstawie ról platformy Azure, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?.

Korzystanie z klucza dostępu do konta

Aby uzyskać dostęp do danych kolejki przy użyciu klucza dostępu do konta, musisz mieć przypisaną rolę platformy Azure obejmującą akcję RBAC platformy Azure Microsoft.Storage/storageAccounts/listkeys/action. Ta rola platformy Azure może być wbudowaną lub niestandardową rolą.

Następujące wbudowane role wymienione od najmniejszych do największych uprawnień obsługują usługę Microsoft.Storage/storageAccounts/listkeys/action:

Podczas próby uzyskania dostępu do danych kolejki w witrynie Azure Portal portal najpierw sprawdza, czy przypisano ci rolę za pomocą polecenia Microsoft.Storage/storageAccounts/listkeys/action. Jeśli przypisano rolę za pomocą tej akcji, portal używa klucza konta do uzyskiwania dostępu do danych kolejki. Jeśli nie przypisano ci roli z tą akcją, portal próbuje uzyskać dostęp do danych przy użyciu konta Microsoft Entra.

Ważne

Gdy konto magazynu jest zablokowane za pomocą blokady readOnly usługi Azure Resource Manager, operacja Klucze listy nie jest dozwolona dla tego konta magazynu. Klucze listy to operacja POST, a wszystkie operacje POST są blokowane, gdy dla konta skonfigurowano blokadę ReadOnly . Z tego powodu, gdy konto jest zablokowane za pomocą blokady ReadOnly , użytkownicy muszą używać poświadczeń firmy Microsoft Entra w celu uzyskania dostępu do danych kolejki w portalu. Aby uzyskać informacje na temat uzyskiwania dostępu do danych kolejki w portalu przy użyciu identyfikatora Entra firmy Microsoft, zobacz Use your Microsoft Entra account (Korzystanie z konta Microsoft Entra).

Uwaga

Role klasycznego administratora subskrypcji Administrator usługi i Współadministrator obejmują odpowiednik roli usługi Azure Resource Manager Owner . Rola Właściciel zawiera wszystkie akcje, w tym Microsoft.Storage/storageAccounts/listkeys/action, więc użytkownik z jedną z tych ról administracyjnych może również uzyskać dostęp do danych kolejki przy użyciu klucza konta. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Korzystanie z konta Microsoft Entra

Aby uzyskać dostęp do danych kolejki z witryny Azure Portal przy użyciu konta Microsoft Entra, oba poniższe instrukcje muszą być prawdziwe:

  • Przypisano ci wbudowaną lub niestandardową rolę, która zapewnia dostęp do danych w kolejce.
  • Masz przypisaną rolę Czytelnik usługi Azure Resource Manager w zakresie co najmniej do poziomu konta magazynu lub wyższego. Rola Czytelnik przyznaje najbardziej ograniczone uprawnienia, ale inna rola Azure Resource Manager, która przyznaje dostęp do zasobów zarządzania kontami magazynu, jest również akceptowalna.

Rola Czytelnik usługi Azure Resource Manager umożliwia użytkownikom wyświetlanie zasobów konta magazynu, ale nie ich modyfikowanie. Nie zapewnia uprawnień do odczytu danych w usłudze Azure Storage, ale tylko do zasobów zarządzania kontami. Rola Czytelnik jest niezbędna, aby użytkownicy mogli przechodzić do kolejek w witrynie Azure Portal.

Aby uzyskać informacje o wbudowanych rolach, które obsługują dostęp do danych kolejki, zobacz Autoryzowanie dostępu do kolejek przy użyciu identyfikatora Entra firmy Microsoft.

Role niestandardowe mogą obsługiwać różne kombinacje tych samych uprawnień udostępnianych przez wbudowane role. Aby uzyskać więcej informacji na temat tworzenia ról niestandardowych platformy Azure, zobacz Role niestandardowe platformy Azure i Omówienie definicji ról dla zasobów platformy Azure.

Aby wyświetlić dane kolejki w portalu, przejdź do obszaru Przegląd konta magazynu i wybierz linki dla pozycji Kolejki. Alternatywnie możesz przejść do sekcji Usługa kolejkowania w menu.

Zrzut ekranu przedstawiający sposób przechodzenia do danych kolejki w witrynie Azure Portal

Określanie bieżącej metody uwierzytelniania

Po przejściu do kolejki witryna Azure Portal wskazuje, czy obecnie używasz klucza dostępu do konta, czy konta Microsoft Entra do uwierzytelniania.

Uwierzytelnianie przy użyciu klucza dostępu do konta

Jeśli uwierzytelniasz się przy użyciu klucza dostępu do konta, zobaczysz klucz dostępu określony jako metoda uwierzytelniania w portalu:

Zrzut ekranu przedstawiający użytkownika, który aktualnie uzyskuje dostęp do kolejek przy użyciu klucza konta

Jeśli chcesz przełączyć się na korzystanie z konta Microsoft Entra, wybierz link wyróżniony na obrazie. Jeśli masz odpowiednie uprawnienia za pośrednictwem ról platformy Azure przypisanych do Ciebie, możesz kontynuować. Jeśli nie masz odpowiednich uprawnień, zostanie wyświetlony komunikat o błędzie i na liście nie są wyświetlane żadne obiekty blob.

Wybierz link Przełącz do klucza dostępu, aby ponownie użyć klucza dostępu do uwierzytelniania.

Uwierzytelnianie przy użyciu konta Microsoft Entra

Jeśli uwierzytelniasz się przy użyciu konta Microsoft Entra, zobaczysz konto użytkownika Microsoft Entra określone jako metoda uwierzytelniania w portalu:

Zrzut ekranu przedstawiający użytkownika, który aktualnie uzyskuje dostęp do kolejek przy użyciu konta Microsoft Entra

Jeśli chcesz przełączyć się na użycie klucza dostępu do konta, wybierz link wyróżniony na obrazie. Jeśli masz dostęp do klucza konta, możesz kontynuować. Jeśli nie masz dostępu do klucza konta, zostanie wyświetlony komunikat o błędzie i na liście nie są wyświetlane żadne obiekty blob.

Wybierz link Przełącz na konto użytkownika Microsoft Entra, aby ponownie użyć konta microsoft Entra na potrzeby uwierzytelniania.

Domyślna wartość autoryzacji microsoft Entra w witrynie Azure Portal

Podczas tworzenia nowego konta magazynu można określić, że w witrynie Azure Portal domyślna jest autoryzacja przy użyciu identyfikatora Entra firmy Microsoft, gdy użytkownik przechodzi do danych w kolejce. To ustawienie można również skonfigurować dla istniejącego konta magazynu. To ustawienie określa tylko domyślną metodę autoryzacji, dlatego należy pamiętać, że użytkownik może zastąpić to ustawienie i wybrać autoryzowanie dostępu do danych przy użyciu klucza konta.

Aby określić, że portal domyślnie używa autoryzacji Microsoft Entra na potrzeby dostępu do danych podczas tworzenia konta magazynu, wykonaj następujące kroki:

  1. Utwórz nowe konto magazynu, postępując zgodnie z instrukcjami w temacie Tworzenie konta magazynu.

  2. Na karcie Zaawansowane w sekcji Zabezpieczenia zaznacz pole wyboru obok pozycji Domyślne do autoryzacji Microsoft Entra w witrynie Azure Portal.

    Zrzut ekranu przedstawiający sposób konfigurowania domyślnej autoryzacji microsoft Entra w witrynie Azure Portal dla nowego konta.

  3. Wybierz przycisk Przejrzyj i utwórz, aby uruchomić walidację i utworzyć konto.

Aby zaktualizować to ustawienie dla istniejącego konta magazynu, wykonaj następujące kroki:

  1. Przejdź do przeglądu konta w witrynie Azure Portal.

  2. W obszarze Ustawienia wybierz pozycję Konfiguracja.

  3. Ustaw wartość Domyślna na wartość Autoryzacja entra firmy Microsoft w witrynie Azure Portal na wartość Włączone.

    Zrzut ekranu przedstawiający sposób konfigurowania domyślnej autoryzacji microsoft Entra w witrynie Azure Portal dla istniejącego konta.

Następne kroki