共用方式為


選擇如何使用 Azure CLI 來授與佇列資料的存取權

Azure 儲存體提供適用於 Azure CLI 的延伸模組,可讓您指定如何授權佇列資料的相關作業。 您可以透過下列方式授權資料作業:

  • 使用 Microsoft Entra 安全性主體。 Microsoft 建議使用 Microsoft Entra 認證,以提高安全性和使用的方便性。
  • 使用帳戶存取金鑰或共用存取簽章 (SAS) 權杖。

指定如何授權資料作業

使用 Azure CLI 命令來讀取和寫入佇列資料,包括選用的 --auth-mode 參數。 指定此參數以指出如何授權資料作業:

  • --auth-mode 參數設為 login,以使用 Microsoft Entra 安全性主體登入 (建議)。
  • --auth-mode 參數設為舊版 key 值,嘗試擷取用於授權的帳戶存取金鑰。 如果您省略 --auth-mode 參數,則 Azure CLI 也會嘗試擷取存取金鑰。

若要使用 --auth-mode 參數,請確定您已安裝 Azure CLI 2.0.46 版或更新版本。 執行 az --version 來檢查您安裝的版本。

注意

使用 Azure Resource Manager ReadOnly 鎖定來鎖住儲存體帳戶時,不允許該儲存體帳戶執行列出金鑰作業。 List Keys 是一個 POST 作業,而在帳戶設定了 ReadOnly 鎖定時,所有 POST 作業都無法執行。 因此,使用 ReadOnly 鎖定來鎖住帳戶時,尚未擁有帳戶金鑰的使用者必須使用 Microsoft Entra 認證來存取佇列資料。

重要

如果您省略 --auth-mode 參數或將它設定為 key,則 Azure CLI 會嘗試使用帳戶存取金鑰來進行授權。 在此情況下,Microsoft 建議您在命令或 AZURE_STORAGE_KEY 環境變數中提供存取金鑰。 如需環境變數的詳細資訊,請參閱設定授權參數的環境變數一節。

如果您沒有提供存取金鑰,則 Azure CLI 會嘗試呼叫 Azure 儲存體資源提供者,以擷取金鑰進行每一項作業。 許多資料作業的執行都需要呼叫資源提供者,可能因而造成節流。 如需資源提供者限制的詳細資訊,請參閱 Azure 儲存體資源提供者的可擴縮性和效能目標

使用 Microsoft Entra 認證進行授權

當您使用 Microsoft Entra 認證登入 Azure CLI 時,會傳回 OAuth 2.0 存取權杖。 Azure CLI 會自動使用該權杖,授權佇列儲存體中的後續資料作業。 針對支援的作業,您不需要再使用命令傳遞帳戶金鑰或 SAS 權杖。

您可以透過 Azure 角色型存取控制 (Azure RBAC),將佇列資料的權限指派給 Microsoft Entra 安全性主體。 如需 Azure 儲存體中 Azure 角色的詳細資訊,請參閱使用 Azure RBAC 管理 Azure 儲存體資料的存取權限

呼叫資料作業的權限

佇列資料的作業支援 Azure 儲存體延伸模組。 您可呼叫的作業取決於您用來登入 Azure CLI 的 Microsoft Entra 安全性主體所獲得授與的權限。 佇列權限會透過 Azure RBAC 指派。 例如,如果您被指派儲存體佇列資料讀者角色,則您可以執行從佇列讀取資料的指令碼命令。 如果您被指派儲存體佇列資料參與者角色,則您可以執行讀取、寫入或刪除佇列或所含資料的指令碼命令。

如需有關佇列上每個 Azure 儲存體作業所需權限的詳細資訊,請參閱使用 OAuth 權杖呼叫儲存體作業

範例:授權作業使用 Microsoft Entra 認證建立佇列

下列範例示範如何使用 Microsoft Entra 認證,從 Azure CLI 建立佇列。 若要建立佇列,您必須登入 Azure CLI,且需要資源群組和儲存體帳戶。

  1. 建立佇列之前,請將儲存體佇列資料參與者角色指派給您自己。 即使您是帳戶擁有者,您還是需要明確的權限,才能對儲存體帳戶執行資料作業。 如需有關指派 Azure 角色的詳細資訊,請參閱指派 Azure 角色以存取佇列資料

    重要

    Azure 角色指派可能需要數分鐘的時間傳播。

  2. 呼叫 az storage queue create 命令並將 --auth-mode 參數設為 login,以使用 Microsoft Entra 認證建立佇列。 請記得以您自己的值取代角括號中的預留位置值:

    az storage queue create \
        --account-name <storage-account> \
        --name sample-queue \
        --auth-mode login
    

使用帳戶存取金鑰進行授權

如果您擁有帳戶金鑰,就可以呼叫任何 Azure 儲存體資料作業。 一般情況下,使用帳戶金鑰較不安全。 如果帳戶金鑰遭到盜用,您帳戶中的所有資料都可能會遭到入侵。

下列範例顯示如何使用帳戶存取金鑰來建立佇列。 指定帳戶金鑰,並提供具有 key 值的 --auth-mode 參數:

az storage queue create \
    --account-name <storage-account> \
    --name sample-queue \
    --account-key <key>
    --auth-mode key

使用 SAS 權杖進行授權

如果您擁有 SAS 權杖,則可以呼叫 SAS 允許的資料作業。 下列範例說明如何使用 SAS 權杖建立佇列:

az storage queue create \
    --account-name <storage-account> \
    --name sample-queue \
    --sas-token <token>

設定授權參數的環境變數

您可以在環境變數中指定授權參數,以避免在每次呼叫 Azure 儲存體資料作業時包含這些參數。 下表說明可用的環境變數。

環境變數 描述
AZURE_STORAGE_ACCOUNT 儲存體帳戶名稱。 此變數應與儲存體帳戶金鑰或 SAS 權杖一起使用。 如果兩者都不存在,Azure CLI 會嘗試使用已驗證的 Microsoft Entra 帳戶來擷取儲存體帳戶存取金鑰。 如果一次執行大量命令,可能會達到 Azure 儲存體資源提供者節流限制。 如需資源提供者限制的詳細資訊,請參閱 Azure 儲存體資源提供者的可擴縮性和效能目標
AZURE_STORAGE_KEY 儲存體帳戶金鑰。 此變數必須與儲存體帳戶名稱一起使用。
AZURE_STORAGE_CONNECTION_STRING 包含儲存體帳戶金鑰或 SAS 權杖的連接字串。 此變數必須與儲存體帳戶名稱一起使用。
AZURE_STORAGE_SAS_TOKEN 共用存取簽章 (SAS) 權杖。 此變數必須與儲存體帳戶名稱一起使用。
AZURE_STORAGE_AUTH_MODE 用來執行命令的授權模式。 允許的值為 login (建議) 或 key。 如果您指定 login,Azure CLI 會使用您的 Microsoft Entra 認證來授權資料作業。 如果您指定舊版 key 模式,Azure CLI 會嘗試查詢帳戶存取金鑰,並使用該金鑰來授權命令。

下一步