Авторизация запросов к службе хранилища Azure
Каждый запрос к защищенному ресурсу в службе больших двоичных объектов, файлов, очередей или таблиц должен быть уполномочен. Авторизация гарантирует, что ресурсы в вашей учетной записи хранения будут доступны только тогда, когда они должны быть и только тем пользователям или приложениям, которым вы предоставляете доступ.
Важно!
Для оптимальной безопасности корпорация Майкрософт рекомендует по возможности использовать Microsoft Entra ID с управляемыми удостоверениями для авторизации запросов к blob-объектам, очередям и табличным данным. Авторизация с помощью Microsoft Entra ID и управляемых удостоверений обеспечивает более высокий уровень безопасности и простоту использования по сравнению с авторизацией с общим ключом. Дополнительные сведения см. в статье Авторизация с помощью Microsoft Entra ID. Дополнительные сведения об управляемых удостоверениях см. в статье Что такое управляемые удостоверения для ресурсов Azure.
Для ресурсов, размещенных за пределами Azure, таких как локальные приложения, можно использовать управляемые удостоверения через Azure Arc. Например, приложения, работающие на серверах с поддержкой Azure Arc, могут использовать управляемые удостоверения для подключения к службам Azure. Дополнительные сведения см. в статье Проверка подлинности в ресурсах Azure с помощью серверов с поддержкой Azure Arc.
Для сценариев, в которых используются подписанные URL-адреса (SAS), корпорация Майкрософт рекомендует использовать SAS для делегирования пользователей. SAS для делегирования пользователей защищен с помощью Microsoft Entra учетных данных вместо ключа учетной записи. Дополнительные сведения о подписанных URL-адресах см. в статье Create SAS делегирования пользователей.
В приведенной ниже таблице перечислены возможности, которые служба хранилища Azure предлагает для авторизации доступа к ресурсам.
| Артефакт Azure | Общий ключ (ключ учетной записи хранения) | Подписанный URL-адрес (SAS) | Microsoft Entra ID | Локальные доменные службы Active Directory | Анонимный общий доступ на чтение |
|---|---|---|---|---|---|
| Большие двоичные объекты Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Поддерживается |
| Файлы Azure (SMB) | Поддерживается | Не поддерживается | Поддерживается с Доменные службы Microsoft Entra или Microsoft Entra Kerberos | Поддерживается. Учетные данные должны быть синхронизированы с Microsoft Entra ID | Не поддерживается |
| Файлы Azure (REST) | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается |
| Очереди Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается |
| Таблицы Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается |
Ниже кратко описан каждый метод авторизации.
Microsoft Entra ID:Microsoft Entra — это облачная служба управления удостоверениями и доступом корпорации Майкрософт. Microsoft Entra ID интеграция доступна для служб BLOB-объектов, файлов, очередей и таблиц. С помощью Microsoft Entra ID можно назначать детализированный доступ пользователям, группам или приложениям с помощью управления доступом на основе ролей (RBAC). Сведения об интеграции Microsoft Entra ID со службой хранилища Azure см. в статье Авторизация с помощью Microsoft Entra ID.
Доменные службы Microsoft Entra авторизацию для Файлы Azure. Файлы Azure поддерживает авторизацию на основе удостоверений через серверный блок сообщений (SMB) через Доменные службы Microsoft Entra. RBAC можно использовать для точного управления доступом клиента к Файлы Azure ресурсам в учетной записи хранения. Дополнительные сведения о проверке подлинности Файлы Azure с помощью доменных служб см. в разделе Файлы Azure авторизации на основе удостоверений.
Авторизация Active Directory (AD) для Файлы Azure. Файлы Azure поддерживает авторизацию на основе удостоверений через SMB через AD. Доменная служба AD может размещаться на локальных компьютерах или на виртуальных машинах Azure. Доступ SMB к файлам поддерживается с использованием учетных данных AD с компьютеров, присоединенных к домену, локально или в Azure. Вы можете использовать RBAC для управления доступом на уровне общей папки и списки DACL NTFS для принудительного применения разрешений на уровне каталогов и файлов. Дополнительные сведения о проверке подлинности Файлы Azure с помощью доменных служб см. в разделе Файлы Azure авторизации на основе удостоверений.
Общий ключ: Авторизация с помощью общего ключа зависит от ключей доступа учетной записи и других параметров для создания зашифрованной строки подписи, которая передается по запросу в заголовке авторизации . Дополнительные сведения об авторизации с помощью общего ключа см. в статье Авторизация с помощью общего ключа.
Подписанные URL-адреса: Подписанные URL-адреса (SAS) делегирует доступ к определенному ресурсу в вашей учетной записи с указанными разрешениями и в течение указанного интервала времени. Дополнительные сведения о SAS см. в разделе Делегирование доступа с помощью подписанного URL-адреса.
Анонимный доступ к контейнерам и BLOB-объектам: При необходимости можно сделать ресурсы BLOB-объектов общедоступными на уровне контейнера или большого двоичного объекта. Общедоступный контейнер или BLOB-объект дает любому пользователю анонимный доступ на чтение. Для запросов на чтение к общедоступным контейнерам и BLOB-объектам не требуется авторизация. Дополнительные сведения см. в статье Включение общего доступа на чтение для контейнеров и BLOB-объектов в хранилище BLOB-объектов Azure.
Совет
Проверка подлинности и авторизация доступа к blob-объектам, файлам, очередям и табличным данным с помощью Microsoft Entra ID обеспечивает более высокий уровень безопасности и простоту использования по сравнению с другими вариантами авторизации. Например, с помощью Microsoft Entra ID можно избежать необходимости хранить ключ доступа к учетной записи вместе с кодом, как при авторизации с общим ключом. Хотя вы можете продолжать использовать авторизацию с общим ключом с большими двоичными объектами и приложениями очередей, корпорация Майкрософт рекомендует по возможности перейти на Microsoft Entra ID.
Аналогичным образом вы можете продолжать использовать подписанные URL-адреса (SAS) для предоставления точного доступа к ресурсам в учетной записи хранения, но Microsoft Entra ID предлагает аналогичные возможности без необходимости управлять маркерами SAS или беспокоиться об отзыве скомпрометированного SAS.
Дополнительные сведения об интеграции Microsoft Entra ID в службе хранилища Azure см. в статье Авторизация доступа к BLOB-объектам и очередям Azure с помощью Microsoft Entra ID.