設定儲存體帳戶的存取控制
針對 Blob、檔案、佇列或資料表服務中受保護資源的要求,都必須獲得授權。 授權能確保您儲存體帳戶中的資源只能在您同意的情況下由他人存取,且只有您授與存取權的那些使用者或應用程式可以存取。
下表描述 Azure 儲存體提供以授權資源存取權的選項:
| Azure 成品 | 共用金鑰 (儲存體帳戶金鑰) | 共用存取簽章 (SAS) | Microsoft Entra ID | 內部部署 Active Directory Domain Services | 匿名公用讀取存取 |
|---|---|---|---|---|---|
| Azure Blob | 支援 | 支援 | 已支援 | 不支援 | 支援 |
| Azure 檔案 (SMB) | 支援 | 不支援 | 支援 Microsoft Entra Domain Services 或 Microsoft Entra Kerberos | 支援,認證必須同步至 Microsoft Entra ID | 不支援 |
| Azure 檔案 (REST) | 支援 | 支援 | 已支援 | 不支援 | 不支援 |
| Azure 佇列 | 支援 | 支援 | 已支援 | 不支援 | 不支援 |
| Azure 資料表 | 支援 | 支援 | 已支援 | 不支援 | 不支援 |
下面簡要說明每個授權選項:
- Microsoft Entra ID:Microsoft Entra 是 Microsoft 的雲端式身分識別與存取管理服務。 Microsoft Entra ID 整合適用於 Blob、檔案、佇列和資料表服務。 透過 Microsoft Entra ID,您可以藉由角色型存取控制 (RBAC) 為使用者、群組或應用程式指派精細的存取權。
- Azure 檔案儲存體的 Microsoft Entra Domain Services 授權。 Azure 檔案儲存體透過 Microsoft Entra Domain Services 在 伺服器訊息區 (SMB) 上支援身分識別型授權。 您可以使用 RBAC 來精細控制用戶端能否存取儲存體帳戶中的 Azure 檔案儲存體資源。
- 適用於 Azure 檔案儲存體的 Active Directory (AD) 授權。 Azure 檔案儲存體透過 AD 支援透過 SMB 進行身分識別型授權。 您的 AD 網域服務可以裝載於內部部署機器或 Azure VM 上。 支援使用已加入網域機器的 AD 認證,在內部部署或 Azure 中使用對檔案的 SMB 存取。 您可以使用 RBAC 來進行目錄和檔案層級權限強制執行的共用層級存取控制和 NTFS DACL。
- 共用金鑰:共用金鑰授權仰賴您的帳戶存取金鑰和其他參數,以產生加密的簽章字串,並透過要求中的 [授權] 標頭傳遞。
- 共用存取簽章:共用存取簽章 (SAS) 會委派您帳戶中特定資源的存取權,委派時會一併指定權限和時間間隔。
- 針對容器和 Blob 的匿名存取:您可以選擇性地在容器或 Blob 層級公開 Blob 資源。 公用容器或 Blob 可供任何使用者以匿名讀取權限來加以存取。 針對公用容器和 Blob 的讀取要求並不需要授權。
使用 Microsoft Entra ID 驗證和授權 Blob、檔案、佇列和資料表資料的存取,其安全性優於其他授權選項,也更易於使用。 例如,使用 Microsoft Entra ID,您就不必像使用共用金鑰授權一樣,需要用程式碼儲存帳戶存取金鑰。 雖然您可以繼續對 Blob 和佇列應用程式使用共用金鑰授權,但 Microsoft 建議儘可能改用 Microsoft Entra ID。
同樣地,您可以繼續使用共用存取簽章 (SAS) 來授與儲存體帳戶中資源的精細存取權,但 Microsoft Entra ID 提供類似的功能,而不需要管理 SAS 權杖或擔心撤銷遭入侵的 SAS。