使用 Azure 入口網站管理 blob 容器
Azure Blob 儲存體讓您儲存大量非結構化物件資料。 您可以使用 Blob 儲存體來收集或向使用者公開媒體、內容或應用程式資料。 因為所有 Blob 資料都儲存在容器內,所以您必須先建立儲存體容器,才能開始上傳資料。 若要深入瞭解 Blob 儲存體,請參閱 Azure Blob 儲存體簡介。
在本操作說明文章中,您會了解如何使用 Azure 入口網站中的容器物件。
必要條件
若要存取 Azure 儲存體,您需要有 Azure 訂用帳戶。 如果您還沒有訂用帳戶,請先建立免費帳戶,再開始操作。
對 Azure 儲存體的所有存取都是透過儲存體帳戶進行。 在本操作說明文章中,使用 Azure 入口網站、Azure PowerShell 或 Azure CLI,建立儲存體帳戶。 如需建立儲存體帳戶的說明,請參閱建立儲存體帳戶。
建立容器
容器會組織一組 Blob,類似於檔案系統中的目錄。 儲存體帳戶可以包含無限數量的容器,而一個容器則可儲存無限數量的 Blob。
若要在 Azure 入口網站中建立容器,請遵循下列步驟:
在畫面左側的入口網站瀏覽窗格中,選取 [儲存體帳戶],然後選擇儲存體帳戶。 如果看不到瀏覽窗格,請選取功能表按鈕切換其可見度。
在儲存體帳戶的瀏覽窗格中,捲動至 [資料儲存體] 區段,然後選取 [容器]。
在 [容器] 窗格中,選取 [+ 容器] 按鈕,開啟 [新增容器] 窗格。
在 [新增容器] 窗格中,提供新容器的名稱。 容器名稱必須是小寫,以字母或數字開頭,並且只能包含字母、數字和虛線 (-) 字元。 名稱長度也必須為 3 到 63 個字元。 如需關於容器和 Blob 名稱的詳細資訊,請參閱命名和參考容器、Blob 及中繼資料。
設定容器的匿名存取層級。 建議層級是 [私用 (沒有匿名存取權)]。 如需防止匿名存取 Blob 資料的資訊,請參閱概觀:補救 Blob 資料的匿名讀取存取。
選取 [建立] 建立容器。
讀取容器屬性和中繼資料
容器會公開系統屬性和使用者定義的中繼資料。 系統屬性存在於每個 Blob 儲存體資源上。 有些屬性是唯讀的,有些則可供讀取或設定。
使用者定義的中繼資料由您為 Blob 儲存體資源指定的一或多個名稱/值組所組成。 您可以使用中繼資料來儲存資源的額外值。 中繼資料值僅供您自己使用,並不會影響資源的運作方式。
容器屬性
若要在 Azure 入口網站中顯示容器的屬性,請遵循下列步驟:
讀取和寫入容器中繼資料
使用者的儲存體帳戶中有大量物件時,可以使用中繼資料,在容器中以邏輯方式組織資料。
若要在 Azure 入口網站中管理容器的中繼資料,請遵循下列步驟:
瀏覽至儲存體帳戶中的容器清單。
在您要管理中繼資料的容器名稱旁,選取核取方塊。
選取容器的 [更多] 按鈕 (...),然後選取 [編輯中繼資料] 以顯示 [容器中繼資料] 窗格。
[容器中繼資料] 窗格會顯示現有的中繼資料機碼值組。 選取現有的索引鍵或值並覆寫資料,即可編輯現有的資料。 您可以在空白欄位中提供資料,新增其他中繼資料。 最後,選取 [儲存] 提交您的資料。
管理容器和 blob 存取
正確管理容器和容器 blob 的存取權是確保資料維持安全性的關鍵。 下列各節說明您可以滿足存取需求的方式。
管理容器的 Azure RBAC 角色指派
Microsoft Entra ID 提供 Blob 儲存體資源的最佳安全性。 Azure 角色型存取控制 (Azure RBAC) 決定指定資源的安全性主體權限。 若要授與容器存取權,請針對使用者、群組、服務主體或受控識別的容器範圍或更高層級,指派 RBAC 角色。 您也可以選擇新增一或多個條件至角色指派。
您可以參閱使用 Azure 入口網站指派 Azure 角色的角色指派資訊。
產生共用存取簽章
共用存取簽章 (SAS) 提供一般沒有權限的用戶端暫時、安全、委派的存取權。 SAS 可讓您精準控制用戶端存取您資料的方式。 例如,您可以指定可供用戶端使用的資源。 您也可以限制用戶端可執行的作業型別,並指定期限。
Azure 支援三種 SAS。 服務 SAS 僅在其中一個儲存體服務:blob、佇列、資料表或檔案服務中,提供資源存取權。 帳戶 SAS 類似服務 SAS,但允許在多個儲存體服務中存取資源。 使用者委派 SAS 是使用 Microsoft Entra 認證保護的 SAS,而且只能搭配 Blob 儲存體服務使用。
建立 SAS 時,您可以根據權限等級、IP 位址或範圍,抑或根據開始日期、到期日期和時間,設定存取限制。 您可以在使用共用存取簽章,授與 Azure 儲存體資源有限的存取權中深入了解。
警告
擁有有效 SAS 的任何用戶端在該 SAS 允許的範圍內,可存取儲存體帳戶中的資料。 保護 SAS 防止遭到惡意使用或誤用至關重要。 在散發 SAS 時請謹慎使用,並備妥方案以撤銷遭盜用的 SAS。
若要使用 Azure 入口網站產生 SAS 權杖,請遵循下列步驟:
在 Azure 入口網站中,瀏覽至儲存體帳戶中的容器清單。
在您要產生 SAS 權杖的容器名稱旁,選取核取方塊。
選取容器的 [更多] 按鈕 (...),然後選取 [產生 SAS] 來顯示 [產生 SAS] 窗格。
在 [產生 SAS] 窗格中,選取 [簽署方法] 欄位的 [帳戶金鑰] 值。
在 [簽署方法] 欄位中,選取 [帳戶金鑰]。 選擇帳戶金鑰會建立服務 SAS。
在 [簽署金鑰] 欄位中,選取您要用來簽署 SAS 的金鑰。
在 [預存存取原則] 欄位中,選取 [無]。
選取 [權限] 欄位,然後選取對應所需權限的核取方塊。
在 [開始和到期日/時間] 區段中,指定所需的開始和到期日期、時間和時區值。
您可以選擇性指定 IP 位址或 IP 位址範圍,接受 [允許的 IP 位址] 欄位中的要求。 如果要求的 IP 位址不符合 SAS 權杖上指定的 IP 位址或位址範圍,則不會獲得授權。
您可以在 [允許的通訊協定] 欄位中,選擇性指定允許 SAS 提出要求的通訊協定。 預設值是 HTTPS。
請檢閱設定的正確性,然後選取 [產生 SAS 權杖和 URL],顯示 Blob SAS 權杖和 Blob SAS URL 查詢字串。
複製 blob SAS 權杖和 blob SAS URL 值,並在安全的位置貼上。 這些值只會顯示一次,關閉視窗後就無法再擷取。
注意
此入口網站傳回的 SAS 權杖不包含 URL 查詢字串的分隔符號 ('?')。 如果您要將 SAS 權杖附加至資源 URL,請記得在附加 SAS 權杖之前,先將分隔符號字元附加至資源 URL。
建立預存存取或不變性原則
預存存取原則提供一或多個共用存取簽章的額外伺服器端控制。 將 SAS 與預存存取原則建立關聯時,SAS 會繼承原則中定義的限制。 這些額外的限制讓您可以變更簽章的開始時間、到期時間或權限。 您也可以在簽章發行後撤銷簽章。
不變性原則可用來防止資料覆寫和刪除。 不變性原則允許建立和讀取物件,但防止在特定期間內修改或刪除物件。 Blob 儲存體支援兩種不變性原則。 時間型保留原則禁止定義期間內的寫入和刪除作業。 法律保存也禁止寫入和刪除作業,而且必須明確清除,才能繼續這些作業。
建立儲存的存取原則
設定預存存取原則是一項兩步驟流程:您必須定義原則,然後套用至容器。 若要設定預存存取原則,請遵循下列步驟:
在 Azure 入口網站中,瀏覽至儲存體帳戶中的容器清單。
在您要產生 SAS 權杖的容器名稱旁,選取核取方塊。
選取容器的 [更多] 按鈕 (...),然後選取 [存取原則] 以顯示 [存取原則] 窗格。
在 [存取原則] 窗格的 [預存存取原則] 區段中,選取 [+ 新增原則] 顯示 [新增原則] 窗格。 任何現有原則會顯示在適當的區段中。
在 [新增原則] 窗格中,選取 [識別碼] 方塊,然後新增新原則的名稱。
選取 [權限] 欄位,然後選取對應新原則所需權限的核取方塊。
您可以選擇性提供 [開始時間] 和 [到期時間] 欄位的日期、時間和時區值,並設定原則的有效期間。
請檢閱設定的正確性,然後選取 [確定] 更新 [存取原則] 窗格。
警告
雖然您的原則已顯示在 [預存存取原則] 資料表中,原則仍不會套用至容器。 如果您這時離開 [存取原則] 窗格,不僅不會儲存或套用原則,工作還會遺失。
在 [存取原則] 窗格中,選取 [+ 新增原則] 定義另一個原則,或選取 [儲存] 將新原則套用至容器。 建立至少一個預存存取原則後,即可與其他安全性存取簽章 (SAS) 產生關聯。
建立不變性原則
深入了解如何設定容器的不變性原則。 如需實作不變性原則的說明,請遵循設定保留原則或設定或清除合法保存文章中所述的步驟。
管理租用
容器租用可用來建立或管理刪除作業的鎖定。 在 Azure 入口網站中取得租用時,只能建立無限期的鎖定。 以程式設計方式建立時,鎖定期間的範圍可以是 15 到 60 秒,抑或無限期。
租用作業有五種不同的模式,但 Azure 入口網站只提供兩種:
使用案例 | ||
---|---|---|
要求新租用。 | ✓ | |
續訂現有的租用。 | ||
變更現有租用的識別碼。 | ||
結束目前的租用,允許其他用戶端取得新的租用 | ✓ | |
結束目前的租用,防止其他用戶端在目前的租用期間取得新的租用 |
取得租用
若要使用 Azure 入口網站取得租用,請遵循下列步驟:
在 Azure 入口網站中,瀏覽至儲存體帳戶中的容器清單。
在您要取得租用的容器名稱旁,選取核取方塊。
選取容器的 [更多] 按鈕 (...),然後選取 [取得租用] 要求新的租用,並在 [租用狀態] 窗格中顯示詳細資料。
新要求租用的容器和租用識別碼屬性值會顯示在 [租用狀態] 窗格中。 複製這些值並在安全的位置貼上。 這些值只會顯示一次,關閉窗格後就無法再擷取。
中斷租用
若要使用 Azure 入口網站中斷租用,請遵循下列步驟:
在 Azure 入口網站中,瀏覽至儲存體帳戶中的容器清單。
在您要中斷租用的容器名稱旁,選取核取方塊。
選取容器的 [更多] 按鈕 (...),然後選取 [中斷租用] 中斷租用。
中斷租用後,所選取容器的 [租用狀態] 值會更新,並顯示狀態確認。
刪除容器
在 Azure 入口網站中刪除容器時,也會刪除容器中所有的 blob。
警告
遵循下列步驟可以永久刪除容器和容器中任何 blob。 Microsoft 建議啟用容器虛刪除,以防止容器和 Blob 遭到意外刪除。 如需詳細資訊,請參閱容器的虛刪除。
若要在 Azure 入口網站中刪除容器,請遵循下列步驟:
在某些情況下,可以擷取已刪除的容器。 如果您的儲存體帳戶已啟用「虛刪除資料保護」選項,即可在關聯的保留期間內存取刪除的容器。 若要深入瞭解虛刪除,請參閱容器的虛刪除一文。
檢視已虛刪除的容器
啟用虛刪除後,您可以在 Azure 入口網站中檢視虛刪除的容器。 已虛刪除的容器會在指定的保留期間內顯示。 當保留期間到期後,已虛刪除的容器就會永久刪除,而且不再顯示。
若要在 Azure 入口網站中檢視虛刪除的容器,請遵循下列步驟:
在 Azure 入口網站中瀏覽至您的儲存體帳戶,然後檢視容器清單。
切換 [顯示刪除的容器] 開關,以包含清單中的已刪除容器。
還原已虛刪除的容器
您可以在保留期間內還原已虛刪除的容器及其內容。 若要在 Azure 入口網站中還原虛刪除的容器,請遵循下列步驟:
在 Azure 入口網站中瀏覽至您的儲存體帳戶,然後檢視容器清單。
顯示您想要還原之容器的捷徑功能表,然後從功能表中選擇 [取消刪除]。