Выбор способа авторизации доступа к данным BLOB-объектов на портале Azure
При доступе к данным BLOB-объекта с помощью портала Azure портал отправляет запросы к службе хранилища Azure. Для запросов к службе хранилища Azure можно выполнять проверку подлинности с учетной записью Microsoft Entra или с ключом доступа к учетной записи хранения. Портал указывает, какой метод используется, и позволяет выбрать любой из двух методов, если есть соответствующие разрешения.
Разрешения, необходимые для доступа к данным BLOB-объекта
В зависимости от способа авторизации доступа к данным BLOB-объектов в портал Azure требуются определенные разрешения. В большинстве случаев эти разрешения предоставляются посредством управления доступом на основе ролей Azure (Azure RBAC). Дополнительные сведения об Azure RBAC см. в статье Что такое управление доступом на основе ролей в Azure (Azure RBAC)?.
Использование ключа доступа учетной записи
Чтобы получить доступ к данным BLOB-объекта с помощью ключа доступа к учетной записи, вам должна быть назначена роль Azure, которая включает действие Azure RBAC Microsoft.Storage/storageAccounts/listkeys/действие. Эта роль Azure может быть встроенной или пользовательской.
Следующие встроенные роли, перечисленные по крайней мере до наибольших разрешений, поддерживают Microsoft.Storage/storageAccounts/listkeys/action:
- Модуль чтения и доступ к данным
- Участник учетной записи хранения
- Участник Azure Resource Manager
- Владелец Azure Resource Manager
При попытке получить доступ к данным BLOB-объектов на портале Azure портал сначала проверяет, назначена ли вам роль, используя для этого Microsoft.Storage/storageAccounts/listkeys/action. Если вы назначили роль с этим действием, портал использует ключ учетной записи для доступа к данным BLOB-объекта. Если вы не назначили роль с этим действием, портал пытается получить доступ к данным с помощью учетной записи Microsoft Entra.
Внимание
Если учетная запись хранения заблокирована с блокировкой Azure Resource Manager ReadOnly , операция "Ключи списка" не разрешена для этой учетной записи хранения. Список ключей — операция POST, и все операции POST блокируются, если для учетной записи настроена блокировка ReadOnly. По этой причине, когда учетная запись заблокирована с блокировкой ReadOnly , пользователи должны использовать учетные данные Microsoft Entra для доступа к данным BLOB-объектов на портале. Сведения о доступе к данным BLOB-объектов на портале с помощью идентификатора Microsoft Entra см. в статье "Использование учетной записи Microsoft Entra".
Примечание.
Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль Владелец включает все действия, в том числе Microsoft.Storage/storageAccounts/listkeys/Action, поэтому пользователь с одной из этих административных ролей также может получать доступ к данным BLOB-объекта с помощью ключа учетной записи. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.
Использование учетной записи Microsoft Entra
Чтобы получить доступ к данным BLOB-объектов из портал Azure с помощью учетной записи Microsoft Entra, оба из следующих инструкций должны быть верными для вас:
- Вы назначаете встроенную или пользовательскую роль, которая предоставляет доступ к данным BLOB-объектов.
- В Диспетчере ресурсов Azure вам должна быть назначена роль читателя (как минимум на уровне учетной записи хранилища). Роль Читатель предоставляет наиболее ограниченные разрешения, однако можно использовать и другую роль Azure Resource Manager, которая предоставляет доступ к ресурсам управления учетными записями хранения.
Роль Читатель Azure Resource Manager позволяет просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в служба хранилища Azure, а только для ресурсов управления учетными записями. Роль Читатель требуется, чтобы пользователи могли переходить к контейнерам BLOB-объектов на портале Azure.
Сведения о встроенных ролях, поддерживающих доступ к данным BLOB-объектов, см. в статье "Авторизация доступа к blob-объектам с помощью идентификатора Microsoft Entra".
Пользовательские роли могут поддерживать различные комбинации тех же разрешений, которые предоставляются встроенными ролями. Дополнительные сведения о создании пользовательских ролей Azure см. в разделе Пользовательские роли Azure и Определения ролей для ресурсов Azure.
Перейдите к BLOB-объектам на портале Azure
Чтобы просмотреть данные BLOB-объектов на портале, перейдите к обзору учетной записи хранения и выберите ссылки для BLOB-объектов. Кроме того, можно перейти к разделу Контейнеры в меню.
Определение текущего метода проверки подлинности
При переходе к контейнеру портал Azure указывает, используется ли ключ доступа к учетной записи или учетная запись Microsoft Entra для проверки подлинности.
Проверка подлинности с помощью ключа доступа учетной записи
Если вы выполняете проверку подлинности с помощью ключа доступа к учетной записи, вы увидите ключ доступа, указанный в качестве метода проверки подлинности на портале:
Если вы хотите переключиться на использование учетной записи Microsoft Entra, выберите ссылку, выделенную на изображении. Если у вас есть соответствующие разрешения с помощью ролей Azure, назначенных вам, вы сможете продолжить. Если у вас нет необходимых разрешений, появится сообщение об ошибке и в списке отсутствуют большие двоичные объекты.
Выберите ссылку "Переключиться на ключ доступа ", чтобы снова использовать ключ доступа для проверки подлинности.
Проверка подлинности с помощью учетной записи Microsoft Entra
Если вы выполняете проверку подлинности с помощью учетной записи Microsoft Entra, вы увидите учетную запись пользователя Microsoft Entra, указанную в качестве метода проверки подлинности на портале:
Если вы хотите переключиться на использование ключа доступа к учетной записи, выберите ссылку, выделенную на изображении. Если у вас есть доступ к ключу учетной записи, вы сможете продолжить. Если у вас нет доступа к ключу учетной записи, появится сообщение об ошибке и в списке не отображаются большие двоичные объекты.
Выберите ссылку "Переключиться на учетную запись пользователя Microsoft Entra", чтобы снова использовать учетную запись Microsoft Entra для проверки подлинности.
По умолчанию авторизация Microsoft Entra в портал Azure
При создании учетной записи хранения можно указать, что портал Azure по умолчанию для авторизации с помощью идентификатора Microsoft Entra при переходе пользователя к данным BLOB-объектов. Этот параметр также можно настроить для существующей учетной записи хранения. Этот параметр определяет только способ авторизации по умолчанию, поэтому пользователь может переопределить его и включить авторизацию доступа к данным с помощью ключа учетной записи.
Чтобы указать, что портал должен использовать авторизацию Microsoft Entra по умолчанию для доступа к данным при создании учетной записи хранения, выполните следующие действия.
Создайте учетную запись хранения, следуя инструкциям в разделе Создание учетной записи хранения.
На вкладке "Дополнительно" в разделе "Безопасность" установите флажок "По умолчанию" для авторизации Microsoft Entra в портал Azure.
Чтобы запустить проверку и создать учетную запись, нажмите кнопку Просмотреть и создать.
Чтобы изменить этот параметр для существующей учетной записи хранения, выполните следующие действия.
Перейдите в раздел с общими сведениями об учетной записи на портале Azure.
В разделе Параметры выберите пункт Конфигурация.
Установите для параметра "По умолчанию авторизация Microsoft Entra" в портал Azure значение "Включено".
Свойство defaultToOAuthAuthentication учетной записи хранения не задано по умолчанию и не возвращает значение, пока не будет явно задано.