Ge åtkomst till data i Azure Storage
Varje gång du kommer åt data i ditt lagringskonto skickar klientprogrammet en begäran via HTTP/HTTPS till Azure Storage. Som standard skyddas varje resurs i Azure Storage och varje begäran till en säker resurs måste godkännas. Auktorisering säkerställer att klientprogrammet har rätt behörighet att komma åt en viss resurs i ditt lagringskonto.
Viktigt!
För optimal säkerhet rekommenderar Microsoft att du använder Microsoft Entra-ID med hanterade identiteter för att auktorisera begäranden mot blob-, kö- och tabelldata när det är möjligt. Auktorisering med Microsoft Entra-ID och hanterade identiteter ger överlägsen säkerhet och enkel användning via auktorisering av delad nyckel. Mer information om hanterade identiteter finns i Vad är hanterade identiteter för Azure-resurser. Ett exempel på hur du aktiverar och använder en hanterad identitet för ett .NET-program finns i Autentisera Azure-värdbaserade appar till Azure-resurser med .NET.
För resurser som finns utanför Azure, till exempel lokala program, kan du använda hanterade identiteter via Azure Arc. Appar som körs på Azure Arc-aktiverade servrar kan till exempel använda hanterade identiteter för att ansluta till Azure-tjänster. Mer information finns i Autentisera mot Azure-resurser med Azure Arc-aktiverade servrar.
För scenarier där signaturer för delad åtkomst (SAS) används rekommenderar Microsoft att du använder en SAS för användardelegering. En SAS för användardelegering skyddas med Microsoft Entra-autentiseringsuppgifter i stället för kontonyckeln. Mer information om signaturer för delad åtkomst finns i Bevilja begränsad åtkomst till data med signaturer för delad åtkomst. Ett exempel på hur du skapar och använder en SAS för användardelegering med .NET finns i Skapa en SAS för användardelegering för en blob med .NET.
Auktorisering för dataåtgärder
I följande avsnitt beskrivs auktoriseringsstöd och rekommendationer för varje Azure Storage-tjänst.
Följande tabell innehåller information om auktoriseringsalternativ som stöds för blobar:
Auktoriseringsalternativ | Vägledning | Rekommendation |
---|---|---|
Microsoft Entra ID | Auktorisera åtkomst till Azure Storage-data med Microsoft Entra-ID | Microsoft rekommenderar att du använder Microsoft Entra-ID med hanterade identiteter för att auktorisera begäranden till blobresurser. |
Delad nyckel (lagringskontonyckel) | Auktorisera med delad nyckel | Microsoft rekommenderar att du inte tillåter auktorisering av delad nyckel för dina lagringskonton. |
Signatur för delad åtkomst (SAS) | Använda signaturer för delad åtkomst (SAS) | När SAS-auktorisering krävs rekommenderar Microsoft att du använder SAS för användardelegering för begränsad delegerad åtkomst till blobresurser. SAS-auktorisering stöds för Blob Storage och Data Lake Storage och kan användas för anrop till blob slutpunkter och dfs slutpunkter. |
Anonym läsåtkomst | Översikt: Åtgärda anonym läsåtkomst för blobdata | Microsoft rekommenderar att du inaktiverar anonym åtkomst för alla dina lagringskonton. |
Lokala lagringsanvändare | Stöds endast för SFTP. Mer information finns i Auktorisera åtkomst till Blob Storage för en SFTP-klient | Se vägledning för alternativ. |
I följande avsnitt beskrivs kortfattat auktoriseringsalternativen för Azure Storage:
Auktorisering av delad nyckel: Gäller för blobar, filer, köer och tabeller. En klient som använder delad nyckel skickar ett huvud med varje begäran som är signerad med åtkomstnyckeln för lagringskontot. Mer information finns i Auktorisera med delad nyckel.
Åtkomstnyckeln för lagringskontot bör användas med försiktighet. Alla som har åtkomstnyckeln kan auktorisera begäranden mot lagringskontot och har effektivt åtkomst till alla data. Microsoft rekommenderar att du inte tillåter auktorisering av delad nyckel för ditt lagringskonto. När auktorisering av delad nyckel inte tillåts måste klienter använda Microsoft Entra-ID eller en SAS för användardelegering för att auktorisera begäranden om data i lagringskontot. Mer information finns i Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.
Signaturer för delad åtkomst för blobar, filer, köer och tabeller. Signaturer för delad åtkomst (SAS) ger begränsad delegerad åtkomst till resurser i ett lagringskonto via en signerad URL. Den signerade URL:en anger de behörigheter som beviljats resursen och det intervall under vilket signaturen är giltig. En SAS-tjänst eller konto-SAS signeras med kontonyckeln, medan SAS för användardelegering är signerad med Microsoft Entra-autentiseringsuppgifter och gäller endast för blobar. Mer information finns i Använda signaturer för delad åtkomst (SAS).
Microsoft Entra-integrering: Gäller för blob-, kö- och tabellresurser. Microsoft rekommenderar att du använder Microsoft Entra-autentiseringsuppgifter med hanterade identiteter för att auktorisera begäranden till data när det är möjligt för optimal säkerhet och användarvänlighet. Mer information om Microsoft Entra-integrering finns i artiklarna om blob-, kö- eller tabellresurser .
Du kan använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera säkerhetsobjektets behörigheter för blob-, kö- och tabellresurser i ett lagringskonto. Du kan också använda Azure-attributbaserad åtkomstkontroll (ABAC) för att lägga till villkor i Azure-rolltilldelningar för blobresurser.
Mer information om RBAC finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.
Mer information om ABAC finns i Vad är Azure-attributbaserad åtkomstkontroll (Azure ABAC)?. Mer information om status för ABAC-funktioner finns i Status för ABAC-villkorsfunktioner i Azure Storage.
Microsoft Entra Domain Services-autentisering: Gäller för Azure Files. Azure Files stöder identitetsbaserad auktorisering via SMB (Server Message Block) via Microsoft Entra Domain Services. Du kan använda Azure RBAC för detaljerad kontroll över en klients åtkomst till Azure Files-resurser i ett lagringskonto. Mer information om Azure Files-autentisering med hjälp av domäntjänster finns i Översikt över identitetsbaserade autentiseringsalternativ för Azure Files för SMB-åtkomst.
Lokal autentisering Active Directory-domän Services (AD DS eller lokal AD DS): Gäller för Azure Files. Azure Files stöder identitetsbaserad auktorisering via SMB via AD DS. Din AD DS-miljö kan finnas på lokala datorer eller på virtuella Azure-datorer. SMB-åtkomst till Filer stöds med hjälp av AD DS-autentiseringsuppgifter från domänanslutna datorer, antingen lokalt eller i Azure. Du kan använda en kombination av Azure RBAC för åtkomstkontroll på resursnivå och NTFS-DACL:er för åtkomstkontroll på katalog-/filnivå. Mer information om Azure Files-autentisering med hjälp av domäntjänster finns i översikten.
Anonym läsåtkomst: Gäller för blobresurser. Det här alternativet rekommenderas inte. När anonym åtkomst har konfigurerats kan klienter läsa blobdata utan auktorisering. Vi rekommenderar att du inaktiverar anonym åtkomst för alla dina lagringskonton. Mer information finns i Översikt: Åtgärda anonym läsåtkomst för blobdata.
Lokala lagringsanvändare: Gäller för blobar med SFTP eller filer med SMB. Lokala lagringsanvändare stöder behörigheter på containernivå för auktorisering. Mer information om hur lokala lagringsanvändare kan användas med SFTP finns i Ansluta till Azure Blob Storage med SSH File Transfer Protocol (SFTP ).
Skydda dina åtkomstnycklar
Åtkomstnycklar för lagringskonto ger fullständig åtkomst till lagringskontodata och möjligheten att generera SAS-token. Var alltid noga med att skydda dina åtkomstnycklar. Använd Azure Key Vault för att hantera och rotera dina nycklar på ett säkert sätt. Åtkomst till den delade nyckeln ger en användare fullständig åtkomst till ett lagringskontos data. Åtkomsten till delade nycklar bör begränsas noggrant och övervakas. Använd SAS-token för användardelegering med begränsad åtkomstomfattning i scenarier där Microsoft Entra ID-baserad auktorisering inte kan användas. Undvik hårdkodade åtkomstnycklar eller spara dem var som helst i oformaterad text som är tillgänglig för andra. Rotera dina nycklar om du tror att de har komprometterats.
Viktigt!
Om du vill hindra användare från att komma åt data i ditt lagringskonto med delad nyckel kan du inte tillåta auktorisering av delad nyckel för lagringskontot. Detaljerad åtkomst till data med minsta möjliga behörighet rekommenderas som bästa praxis för säkerhet. Microsoft Entra ID-baserad auktorisering med hanterade identiteter bör användas för scenarier som stöder OAuth. Kerberos eller SMTP ska användas för Azure Files via SMB. För Azure Files via REST kan SAS-token användas. Åtkomst med delad nyckel ska inaktiveras om det inte krävs för att förhindra oavsiktlig användning. Mer information finns i Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.
För att skydda ett Azure Storage-konto med principer för villkorsstyrd åtkomst i Microsoft Entra måste du inte tillåta auktorisering av delad nyckel för lagringskontot.
Om du har inaktiverat åtkomst till delad nyckel och du ser auktorisering av delad nyckel rapporterad i diagnostikloggarna anger detta att betrodd åtkomst används för att komma åt lagring. Mer information finns i Betrodd åtkomst för resurser som registrerats i din Microsoft Entra-klientorganisation.
Nästa steg
- Auktorisera åtkomst med Microsoft Entra-ID till antingen blob-, kö- eller tabellresurser .
- Auktorisera med delad nyckel
- Grant limited access to Azure Storage resources using shared access signatures (SAS) (Bevilja begränsad åtkomst till Azure Storage-resurser med hjälp av signaturer för delad åtkomst (SAS))