Dela via


Välj hur du vill auktorisera åtkomst till ködata i Azure-portalen

När du kommer åt ködata med hjälp av Azure-portalen skickar portalen begäranden till Azure Storage under täcket. En begäran till Azure Storage kan auktoriseras med ditt Microsoft Entra-konto eller med lagringskontots åtkomstnyckel. Portalen visar vilken metod du använder och du kan växla mellan de två om du har rätt behörighet.

Behörigheter som krävs för att komma åt ködata

Beroende på hur du vill auktorisera åtkomst till ködata i Azure-portalen behöver du specifika behörigheter. I de flesta fall tillhandahålls dessa behörigheter via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Mer information om Azure RBAC finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.

Använda kontoåtkomstnyckeln

För att komma åt ködata med kontoåtkomstnyckeln måste du ha en Azure-roll tilldelad till dig som innehåller Azure RBAC-åtgärden Microsoft.Storage/storageAccounts/listkeys/action. Den här Azure-rollen kan vara en inbyggd eller anpassad roll. Inbyggda roller som stöder Microsoft.Storage/storageAccounts/listkeys/action innehåller följande, i ordning från minst till största behörigheter:

När du försöker komma åt ködata i Azure-portalen kontrollerar portalen först om du har tilldelats en roll med Microsoft.Storage/storageAccounts/listkeys/action. Om du har tilldelats en roll med den här åtgärden använder portalen kontonyckeln för åtkomst till ködata. Om du inte har tilldelats någon roll med den här åtgärden försöker portalen komma åt data med ditt Microsoft Entra-konto.

Viktigt!

När ett lagringskonto är låst med ett Azure Resource Manager ReadOnly-lås tillåts inte åtgärden Listnycklar för lagringskontot. Listnycklar är en POST-åtgärd och alla POST-åtgärder förhindras när ett ReadOnly-lås har konfigurerats för kontot. Därför måste användarna använda Microsoft Entra-autentiseringsuppgifter för att komma åt ködata i portalen när kontot är låst med ett ReadOnly-lås . Information om hur du kommer åt ködata i portalen med Microsoft Entra-ID finns i Använda ditt Microsoft Entra-konto.

Kommentar

De klassiska prenumerationsadministratörsrollerna Tjänstadministratör och medadministratör innehåller motsvarigheten till Azure Resource Manager-rollen Owner . Rollen Ägare innehåller alla åtgärder, inklusive Microsoft.Storage/storageAccounts/listkeys/action, så att en användare med någon av dessa administrativa roller också kan komma åt ködata med kontonyckeln. Mer information finns i Azure-roller , Microsoft Entra-roller och klassiska prenumerationsadministratörsroller.

Använda ditt Microsoft Entra-konto

För att få åtkomst till ködata från Azure-portalen med ditt Microsoft Entra-konto måste båda följande instruktioner vara sanna för dig:

  • Du har tilldelats antingen en inbyggd eller anpassad roll som ger åtkomst till ködata.
  • Du har tilldelats rollen Azure Resource Manager-läsare, som minst, begränsad till lagringskontots nivå eller högre. Rollen Läsare beviljar den mest restriktiva behörigheten, men en annan Azure Resource Manager-roll som ger åtkomst till resurser för hantering av lagringskonton kan också användas.

Rollen Azure Resource Manager-läsare tillåter användare att visa lagringskontoresurser, men inte ändra dem. Den ger inte läsbehörighet till data i Azure Storage, utan endast till kontohanteringsresurser. Rollen Läsare är nödvändig så att användarna kan navigera till köer i Azure-portalen.

Information om de inbyggda roller som stöder åtkomst till ködata finns i Auktorisera åtkomst till köer med hjälp av Microsoft Entra-ID.

Anpassade roller kan stödja olika kombinationer av samma behörigheter som tillhandahålls av de inbyggda rollerna. Mer information om hur du skapar anpassade Azure-roller finns i Anpassade Azure-roller och Förstå rolldefinitioner för Azure-resurser.

Om du vill visa ködata i portalen går du till Översikt för ditt lagringskonto och klickar på länkarna för Köer. Du kan också gå till avsnittet Kötjänst på menyn.

Screenshot showing how to navigate to queue data in the Azure portal

Fastställa den aktuella autentiseringsmetoden

När du navigerar till en kö anger Azure-portalen om du för närvarande använder kontoåtkomstnyckeln eller ditt Microsoft Entra-konto för att autentisera.

Autentisera med kontoåtkomstnyckeln

Om du autentiserar med kontoåtkomstnyckeln visas åtkomstnyckeln som anges som autentiseringsmetod i portalen:

Screenshot showing user currently accessing queues with the account key

Om du vill växla till att använda Microsoft Entra-konto klickar du på länken som är markerad i bilden. Om du har rätt behörigheter via de Azure-roller som har tilldelats dig kan du fortsätta. Men om du saknar rätt behörigheter visas ett felmeddelande som liknar följande:

Error shown if Microsoft Entra account does not support access

Observera att inga köer visas i listan om ditt Microsoft Entra-konto saknar behörighet att visa dem. Klicka på länken Växla till åtkomstnyckel för att använda åtkomstnyckeln för autentisering igen.

Autentisera med ditt Microsoft Entra-konto

Om du autentiserar med ditt Microsoft Entra-konto visas Microsoft Entra-användarkontot som anges som autentiseringsmetod i portalen:

Screenshot showing user currently accessing queues with Microsoft Entra account

Om du vill växla till att använda kontoåtkomstnyckeln klickar du på länken som är markerad i bilden. Om du har åtkomst till kontonyckeln kan du fortsätta. Men om du saknar åtkomst till kontonyckeln visas ett felmeddelande i Azure-portalen.

Köer visas inte i portalen om du inte har åtkomst till kontonycklarna. Klicka på länken Växla till Microsoft Entra-användarkonto för att använda ditt Microsoft Entra-konto för autentisering igen.

Standard för Microsoft Entra-auktorisering i Azure-portalen

När du skapar ett nytt lagringskonto kan du ange att Azure-portalen som standard ska auktorisering med Microsoft Entra-ID när en användare navigerar till ködata. Du kan också konfigurera den här inställningen för ett befintligt lagringskonto. Den här inställningen anger endast standardauktoriseringsmetoden, så tänk på att en användare kan åsidosätta den här inställningen och välja att auktorisera dataåtkomst med kontonyckeln.

Så här anger du att portalen ska använda Microsoft Entra-auktorisering som standard för dataåtkomst när du skapar ett lagringskonto:

  1. Skapa ett nytt lagringskonto enligt anvisningarna i Skapa ett lagringskonto.

  2. På fliken Avancerat går du till avsnittet Säkerhet och markerar kryssrutan bredvid Standard för Microsoft Entra-auktorisering i Azure-portalen.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account.

  3. Välj knappen Granska + skapa för att köra verifieringen och skapa kontot.

Följ dessa steg för att uppdatera den här inställningen för ett befintligt lagringskonto:

  1. Gå till kontoöversikten i Azure-portalen.

  2. Under Inställningar väljer du Konfiguration.

  3. Ange Standard för Microsoft Entra-auktorisering i Azure-portalen till Aktiverad.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account.

Nästa steg