Поделиться через


Выбор способа авторизации доступа к данным BLOB-объектов на портале Azure

При доступе к данным BLOB-объекта с помощью портала Azure портал отправляет запросы к службе хранилища Azure. Для запросов к службе хранилища Azure можно выполнять проверку подлинности с учетной записью Microsoft Entra или с ключом доступа к учетной записи хранения. Портал указывает, какой метод используется, и позволяет выбрать любой из двух методов, если есть соответствующие разрешения.

Разрешения, необходимые для доступа к данным BLOB-объекта

В зависимости от способа авторизации доступа к данным BLOB-объектов в портал Azure требуются определенные разрешения. В большинстве случаев эти разрешения предоставляются посредством управления доступом на основе ролей Azure (Azure RBAC). Дополнительные сведения об Azure RBAC см. в статье Что такое управление доступом на основе ролей в Azure (Azure RBAC)?.

Использование ключа доступа учетной записи

Чтобы получить доступ к данным BLOB-объекта с помощью ключа доступа к учетной записи, вам должна быть назначена роль Azure, которая включает действие Azure RBAC Microsoft.Storage/storageAccounts/listkeys/действие. Эта роль Azure может быть встроенной или пользовательской.

Следующие встроенные роли, перечисленные по крайней мере до наибольших разрешений, поддерживают Microsoft.Storage/storageAccounts/listkeys/action:

При попытке получить доступ к данным BLOB-объектов на портале Azure портал сначала проверяет, назначена ли вам роль, используя для этого Microsoft.Storage/storageAccounts/listkeys/action. Если вы назначили роль с этим действием, портал использует ключ учетной записи для доступа к данным BLOB-объекта. Если вы не назначили роль с этим действием, портал пытается получить доступ к данным с помощью учетной записи Microsoft Entra.

Внимание

Если учетная запись хранения заблокирована с блокировкой Azure Resource Manager ReadOnly , операция "Ключи списка" не разрешена для этой учетной записи хранения. Список ключей — операция POST, и все операции POST блокируются, если для учетной записи настроена блокировка ReadOnly. По этой причине, когда учетная запись заблокирована с блокировкой ReadOnly , пользователи должны использовать учетные данные Microsoft Entra для доступа к данным BLOB-объектов на портале. Сведения о доступе к данным BLOB-объектов на портале с помощью идентификатора Microsoft Entra см. в статье "Использование учетной записи Microsoft Entra".

Примечание.

Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль Владелец включает все действия, в том числе Microsoft.Storage/storageAccounts/listkeys/Action, поэтому пользователь с одной из этих административных ролей также может получать доступ к данным BLOB-объекта с помощью ключа учетной записи. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Использование учетной записи Microsoft Entra

Чтобы получить доступ к данным BLOB-объектов из портал Azure с помощью учетной записи Microsoft Entra, оба из следующих инструкций должны быть верными для вас:

  • Вы назначаете встроенную или пользовательскую роль, которая предоставляет доступ к данным BLOB-объектов.
  • В Диспетчере ресурсов Azure вам должна быть назначена роль читателя (как минимум на уровне учетной записи хранилища). Роль Читатель предоставляет наиболее ограниченные разрешения, однако можно использовать и другую роль Azure Resource Manager, которая предоставляет доступ к ресурсам управления учетными записями хранения.

Роль Читатель Azure Resource Manager позволяет просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в служба хранилища Azure, а только для ресурсов управления учетными записями. Роль Читатель требуется, чтобы пользователи могли переходить к контейнерам BLOB-объектов на портале Azure.

Сведения о встроенных ролях, поддерживающих доступ к данным BLOB-объектов, см. в статье "Авторизация доступа к blob-объектам с помощью идентификатора Microsoft Entra".

Пользовательские роли могут поддерживать различные комбинации тех же разрешений, которые предоставляются встроенными ролями. Дополнительные сведения о создании пользовательских ролей Azure см. в разделе Пользовательские роли Azure и Определения ролей для ресурсов Azure.

Чтобы просмотреть данные BLOB-объектов на портале, перейдите к обзору учетной записи хранения и выберите ссылки для BLOB-объектов. Кроме того, можно перейти к разделу Контейнеры в меню.

На снимке экрана показан способ перехода к данным BLOB-объекта на портале Azure

Определение текущего метода проверки подлинности

При переходе к контейнеру портал Azure указывает, используется ли ключ доступа к учетной записи или учетная запись Microsoft Entra для проверки подлинности.

Проверка подлинности с помощью ключа доступа учетной записи

Если вы выполняете проверку подлинности с помощью ключа доступа к учетной записи, вы увидите ключ доступа, указанный в качестве метода проверки подлинности на портале:

На снимке экрана показан пользователь, который осуществляет доступ к контейнерам, используя ключ учетной записи

Если вы хотите переключиться на использование учетной записи Microsoft Entra, выберите ссылку, выделенную на изображении. Если у вас есть соответствующие разрешения с помощью ролей Azure, назначенных вам, вы сможете продолжить. Если у вас нет необходимых разрешений, появится сообщение об ошибке и в списке отсутствуют большие двоичные объекты.

Выберите ссылку "Переключиться на ключ доступа ", чтобы снова использовать ключ доступа для проверки подлинности.

Проверка подлинности с помощью учетной записи Microsoft Entra

Если вы выполняете проверку подлинности с помощью учетной записи Microsoft Entra, вы увидите учетную запись пользователя Microsoft Entra, указанную в качестве метода проверки подлинности на портале:

Снимок экрана: доступ пользователя к контейнерам с учетной записью Microsoft Entra

Если вы хотите переключиться на использование ключа доступа к учетной записи, выберите ссылку, выделенную на изображении. Если у вас есть доступ к ключу учетной записи, вы сможете продолжить. Если у вас нет доступа к ключу учетной записи, появится сообщение об ошибке и в списке не отображаются большие двоичные объекты.

Выберите ссылку "Переключиться на учетную запись пользователя Microsoft Entra", чтобы снова использовать учетную запись Microsoft Entra для проверки подлинности.

По умолчанию авторизация Microsoft Entra в портал Azure

При создании учетной записи хранения можно указать, что портал Azure по умолчанию для авторизации с помощью идентификатора Microsoft Entra при переходе пользователя к данным BLOB-объектов. Этот параметр также можно настроить для существующей учетной записи хранения. Этот параметр определяет только способ авторизации по умолчанию, поэтому пользователь может переопределить его и включить авторизацию доступа к данным с помощью ключа учетной записи.

Чтобы указать, что портал должен использовать авторизацию Microsoft Entra по умолчанию для доступа к данным при создании учетной записи хранения, выполните следующие действия.

  1. Создайте учетную запись хранения, следуя инструкциям в разделе Создание учетной записи хранения.

  2. На вкладке "Дополнительно" в разделе "Безопасность" установите флажок "По умолчанию" для авторизации Microsoft Entra в портал Azure.

    Снимок экрана: настройка авторизации Microsoft Entra по умолчанию в портал Azure для новой учетной записи

  3. Чтобы запустить проверку и создать учетную запись, нажмите кнопку Просмотреть и создать.

Чтобы изменить этот параметр для существующей учетной записи хранения, выполните следующие действия.

  1. Перейдите в раздел с общими сведениями об учетной записи на портале Azure.

  2. В разделе Параметры выберите пункт Конфигурация.

  3. Установите для параметра "По умолчанию авторизация Microsoft Entra" в портал Azure значение "Включено".

    Снимок экрана: настройка авторизации Microsoft Entra по умолчанию в портал Azure для существующей учетной записи

Свойство defaultToOAuthAuthentication учетной записи хранения не задано по умолчанию и не возвращает значение, пока не будет явно задано.

Следующие шаги