Konfigurowanie kontroli dostępu dla kont magazynu
Żądania zabezpieczonego zasobu w usłudze Blob, File, Queue lub Table muszą być autoryzowane. Autoryzacja gwarantuje, że zasoby na koncie magazynu są dostępne tylko wtedy, gdy mają być dostępne, i tylko dla tych użytkowników lub aplikacji, którym udzielasz dostępu.
W poniższej tabeli opisano opcje, które oferuje usługa Azure Storage w celu autoryzowania dostępu do zasobów:
| Artefakt platformy Azure | Klucz współużytkowany (klucz konta magazynu) | Sygnatura dostępu współdzielonego (SAS) | Tożsamość Microsoft Entra | Lokalne usługi domena usługi Active Directory | Anonimowy publiczny dostęp do odczytu |
|---|---|---|---|---|---|
| Obiekty blob platformy Azure | Obsługiwane | Obsługiwane | Obsługiwane | Nieobsługiwane | Obsługiwane |
| Azure Files (SMB) | Obsługiwane | Nieobsługiwane | Obsługiwane w usługach Microsoft Entra Domain Services lub Microsoft Entra Kerberos | Obsługiwane, poświadczenia muszą być synchronizowane z identyfikatorem Entra firmy Microsoft | Nieobsługiwane |
| Azure Files (REST) | Obsługiwane | Obsługiwane | Obsługiwane | Nieobsługiwane | Nieobsługiwane |
| Azure Queues | Obsługiwane | Obsługiwane | Obsługiwane | Nieobsługiwany | Nieobsługiwane |
| Tabele Azure | Obsługiwane | Obsługiwane | Obsługiwane | Nieobsługiwane | Nieobsługiwane |
Każda opcja autoryzacji jest krótko opisana poniżej:
- Microsoft Entra ID: Microsoft Entra to oparta na chmurze usługa zarządzania tożsamościami i dostępem firmy Microsoft. Integracja identyfikatora Entra firmy Microsoft jest dostępna dla usług obiektów blob, plików, kolejek i tabel. Za pomocą identyfikatora Entra firmy Microsoft można przypisać precyzyjny dostęp do użytkowników, grup lub aplikacji za pomocą kontroli dostępu opartej na rolach (RBAC).
- Autoryzacja usług Microsoft Entra Domain Services dla usługi Azure Files. Usługa Azure Files obsługuje autoryzację opartą na tożsamościach za pośrednictwem protokołu SMB (Server Message Block) za pośrednictwem usług Microsoft Entra Domain Services. Kontrola dostępu oparta na rolach umożliwia precyzyjną kontrolę nad dostępem klienta do zasobów usługi Azure Files na koncie magazynu.
- Autoryzacja usługi Active Directory (AD) dla usługi Azure Files. Usługa Azure Files obsługuje autoryzację opartą na tożsamościach za pośrednictwem protokołu SMB za pośrednictwem usługi AD. Usługę domenową usługi AD można hostować na maszynach lokalnych lub na maszynach wirtualnych platformy Azure. Dostęp SMB do usługi Files jest obsługiwany przy użyciu poświadczeń usługi AD z maszyn przyłączonych do domeny, lokalnych lub na platformie Azure. RBAC można użyć do kontroli dostępu na poziomie udziału i list kontroli dostępu systemu plików NTFS na potrzeby wymuszania uprawnień na poziomie katalogu i pliku.
- Klucz wspólny: autoryzacja klucza współdzielonego opiera się na kluczach dostępu do konta i innych parametrach w celu utworzenia zaszyfrowanego ciągu podpisu przekazanego do żądania w nagłówku Autoryzacja .
- Sygnatury dostępu współdzielonego: sygnatury dostępu współdzielonego (SAS) delegować dostęp do określonego zasobu na koncie z określonymi uprawnieniami i w określonym przedziale czasu.
- Anonimowy dostęp do kontenerów i obiektów blob: opcjonalnie możesz udostępnić zasoby obiektów blob na poziomie kontenera lub obiektu blob. Publiczny kontener lub obiekt blob jest dostępny dla dowolnego użytkownika w celu uzyskania anonimowego dostępu do odczytu. Żądania odczytu do kontenerów publicznych i obiektów blob nie wymagają autoryzacji.
Uwierzytelnianie i autoryzowanie dostępu do danych obiektów blob, plików, kolejek i tabel za pomocą identyfikatora Entra firmy Microsoft zapewnia doskonałe zabezpieczenia i łatwość użycia w innych opcjach autoryzacji. Na przykład przy użyciu identyfikatora Entra firmy Microsoft należy unikać konieczności przechowywania klucza dostępu do konta przy użyciu kodu, tak jak w przypadku autoryzacji klucza współdzielonego. Mimo że możesz nadal używać autoryzacji klucza współdzielonego z aplikacjami obiektów blob i kolejek, firma Microsoft zaleca przejście do identyfikatora Entra firmy Microsoft, jeśli to możliwe.
Podobnie możesz nadal używać sygnatur dostępu współdzielonego (SAS), aby udzielić szczegółowego dostępu do zasobów na koncie magazynu, ale identyfikator Microsoft Entra oferuje podobne możliwości bez konieczności zarządzania tokenami SAS lub martwienia się o cofnięcie naruszonej sygnatury dostępu współdzielonego.