اختيار كيفية تخويل الوصول إلى بيانات كائن ثنائي كبير الحجم في مدخل Azure

  • مقالة

عند الوصول إلى بيانات كائن ثنائي كبير الحجم باستخدام مدخل Microsoft Azure، يقوم المدخل بتقديم طلبات إلى تخزين Azure ضمن الأغطية. يمكن التصريح بطلب إلى Azure Storage باستخدام حساب Microsoft Entra أو مفتاح الوصول إلى حساب التخزين. يشير المدخل إلى الطريقة التي تستخدمها، ويمكنك من التبديل بين الاثنين إذا كان لديك الأذونات المناسبة.

يمكنك أيضًا تحديد كيفية تخويل عملية تحميل نقطة فردية في مدخل Microsoft Azure. بشكل افتراضي، تستخدم البوابة الإلكترونية الطريقة التي تستخدمها بالفعل لتخويل عملية تحميل نقطة، ولكن لديك خيار تغيير هذا الإعداد عند تحميل نقطة.

الأذونات اللازمة للوصول إلى بيانات كائن ثنائي كبير الحجم

استنادًا إلى الطريقة التي تريد بها تخويل الوصول إلى بيانات كائن ثنائي كبير الحجم في مدخل Microsoft Azure، ستحتاج إلى أذونات محددة. في معظم الحالات، يتم توفير هذه الأذونات عبر عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC). لمزيد من المعلومات عن RBAC، راجع ما هو التحكم في الوصول استنادًا إلى الدور في Azure (Azure RBAC)؟.

استخدام مفتاح الوصول إلى الحساب

للوصول إلى بيانات كائن ثنائي كبير الحجم باستخدام مفتاح الوصول إلى الحساب، يجب أن يكون لديك دور Azure معين لك يتضمن الإجراء Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. يكون هذا الدور Azure دورًا مضمنًا أو مخصصًا. تتضمن الأدوار المضمنة التي تدعم Microsoft.Storage/storageAccounts/listkeys/action ما يلي، بالترتيب من الأقل إلى أكبر الأذونات:

عند محاولة الوصول إلى بيانات كائن ثنائي كبير الحجم في مدخل Microsoft Azure، يتحقق المدخل أولا ما إذا كان قد تم تعيين دور لك مع Microsoft.Storage/storageAccounts/listkeys/action. إذا عين دور لك بهذا الإجراء، فإن البوابة الإلكترونية تستخدم مفتاح الحساب للوصول إلى بيانات كائن ثنائي كبير الحجم. إذا لم يتم تعيين دور لك باستخدام هذا الإجراء، فسيحاول المدخل الوصول إلى البيانات باستخدام حساب Microsoft Entra الخاص بك.

هام

عند تأمين حساب تخزين باستخدام قفل Azure Resource Manager للقراءة فقط، لا يُسمح بتشغيل مفاتيح القائمة لحساب التخزين هذا. إعداد قائمة بالمفاتيح هي عملية POST، ويتم منع جميع عمليات POST عند تكوين قفل للقراءة فقط للحساب. لهذا السبب، عند تأمين الحساب مع تأمين ReadOnly ، يجب على المستخدمين استخدام بيانات اعتماد Microsoft Entra للوصول إلى بيانات الكائن الثنائي كبير الحجم في المدخل. للحصول على معلومات حول الوصول إلى بيانات الكائن الثنائي كبير الحجم في المدخل باستخدام معرف Microsoft Entra، راجع استخدام حساب Microsoft Entra الخاص بك.

إشعار

تشمل أدوار مسؤول الاشتراك الكلاسيكي مسؤول الخدمة والمسؤول المشارك ما يعادل دور Azure Resource Managerالمالك. يتضمن دور المالك كافة الإجراءات، بما في ذلك Microsoft.Storage/storageAccounts/listkeys/action،بحيث يمكن للمستخدم الذي له أحد هذه الأدوار الإدارية الوصول إلى بيانات كائن ثنائي كبير الحجم باستخدام مفتاح الحساب. لمزيد من المعلومات، راجع أدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي.

استخدام حساب Microsoft Entra الخاص بك

للوصول إلى بيانات الكائن الثنائي كبير الحجم من مدخل Microsoft Azure باستخدام حساب Microsoft Entra الخاص بك، يجب أن تكون كلتا العبارتين التاليتين صحيحة بالنسبة لك:

  • عين دور مضمن أو مخصص يوفر الوصول إلى بيانات كائن ثنائي كبير الحجم.
  • تعيين دور قارئ Azure Resource Manager، كحد أدنى، نطاق إلى مستوى حساب التخزين أو أعلى. يمنح دور القارئ الأذونات الأكثر تقييدًا، ولكن دور Azure Resource Manager آخر الذي يمنح الوصول إلى موارد إدارة حساب التخزين مقبول أيضًا.

يسمح دور قارئ إدارة الموارد Azure للمستخدمين بعرض موارد حساب التخزين، ولكن لا يتم تعديلها. لا يوفر أذونات قراءة للبيانات الموجودة في Azure Storage، لكن فقط لموارد إدارة الحساب. يعد دور القارئ ضرورياً حتى يتمكن المستخدمون من الانتقال إلى حاويات الكائن الثنائي كبير الحجم في مدخل Microsoft Azure.

للحصول على معلومات حول الأدوار المضمنة التي تدعم الوصول إلى بيانات الكائن الثنائي كبير الحجم، راجع تخويل الوصول إلى الكائنات الثنائية كبيرة الحجم باستخدام معرف Microsoft Entra.

يمكن أن تدعم الأدوار المخصصة تركيبات مختلفة من نفس الأذونات التي توفرها الأدوار المضمنة. لمزيد من المعلومات حول إنشاء أدوار مخصصة Azure، راجع أدوار Azure المخصصةوفهم تعريفات الأدوار لموارد Azure.

لعرض بيانات كائن ثنائي كبير الحجم في المدخل، انتقل إلى نظرة عامة لحساب التخزين الخاص بك، وانقر على الارتباطات الخاصة بالكائنات الثنائية كبيرة الحجم. بدلًا من ذلك يمكنك الانتقال إلى قسم الحوايات في القائمة.

Screenshot showing how to navigate to blob data in the Azure portal

تحديد أسلوب المصادقة الحالي

عند الانتقال إلى حاوية، يشير مدخل Microsoft Azure إلى ما إذا كنت تستخدم حاليا مفتاح الوصول إلى الحساب أو حساب Microsoft Entra للمصادقة.

المصادقة باستخدام مفتاح الوصول إلى الحساب

إذا كنت تقوم بالمصادقة باستخدام مفتاح الوصول إلى الحساب، فسترى مفتاح Access محددا كطريقة مصادقة في المدخل:

Screenshot showing user currently accessing containers with the account key

للتبديل إلى استخدام حساب Microsoft Entra، انقر فوق الارتباط المميز في الصورة. إذا كان لديك الأذونات المناسبة عبر أدوار Azure التي تم تعيينها لك، فستتمكن من المتابعة. ومع ذلك، إذا كنت تفتقر إلى الأذونات الصحيحة، فسترى رسالة خطأ مثل رسالة الخطأ التالية:

Error shown if Microsoft Entra account does not support access

لاحظ أنه لا تظهر أي كائنات ثنائية كبيرة الحجم في القائمة إذا كان حساب Microsoft Entra الخاص بك يفتقر إلى أذونات لعرضها. انقر على مفتاح التبديل للوصول إلى الارتباط لاستخدام مفتاح الوصول للمصادقة مرة أخرى.

المصادقة باستخدام حساب Microsoft Entra الخاص بك

إذا كنت تقوم بالمصادقة باستخدام حساب Microsoft Entra الخاص بك، فسترى حساب مستخدم Microsoft Entra المحدد كطريقة مصادقة في المدخل:

Screenshot showing user currently accessing containers with Microsoft Entra account

للتبديل إلى استخدام مفتاح الوصول إلى الحساب، انقر فوق الارتباط المميز في الصورة. إذا كان لديك حق الوصول إلى مفتاح الحساب، فستتمكن من المتابعة. ومع ذلك، إذا كنت تفتقر إلى الوصول إلى مفتاح الحساب، فسترى رسالة خطأ مثل الرسالة التالية:

Error shown if you do not have access to account key

لاحظ أنه لا تظهر أي كائنات ثنائية كبيرة الحجم في القائمة إذا لم يكن لديك حق الوصول إلى مفاتيح الحساب. انقر فوق الارتباط Switch to Microsoft Entra user Account لاستخدام حساب Microsoft Entra للمصادقة مرة أخرى.

تحديد كيفية تفويض عملية تحميل كائن ثنائي كبير الحجم

عند تحميل كائن ثنائي كبير الحجم من مدخل Microsoft Azure، يمكنك تحديد ما إذا كنت تريد مصادقة هذه العملية وتخويلها باستخدام مفتاح الوصول إلى الحساب أو باستخدام بيانات اعتماد Microsoft Entra. بشكل افتراضي، تستخدم البوابة الإلكترونية طريقة المصادقة الحالية، كما هو موضح في تحديد طريقة المصادقة الحالية.

لتحديد كيفية تخويل عملية تحميل كائن ثنائي كبير الحجم، اتبع الخطوات التالية:

  1. في مدخل Microsoft Azure، انتقل إلى الحاوية حيث ترغب في تحميل كائن ثنائي كبير الحجم.

  2. حدد الزر تحميل.

  3. قم بتوسيع القسم خيارات متقدمة لعرض الخصائص المتقدمة لكائن ثنائي كبير الحجم.

  4. في حقل نوع المصادقة، حدد ما إذا كنت تريد تخويل عملية التحميل باستخدام حساب Microsoft Entra أو باستخدام مفتاح الوصول إلى الحساب، كما هو موضح في الصورة التالية:

    Screenshot showing how to change authorization method on blob upload

الافتراضي لتخويل Microsoft Entra في مدخل Microsoft Azure

عند إنشاء حساب تخزين جديد، يمكنك تحديد أن مدخل Azure سيكون افتراضيا للتخويل باستخدام معرف Microsoft Entra عندما ينتقل المستخدم إلى بيانات الكائن الثنائي كبير الحجم. يمكنك أيضًا تكوين هذا الإعداد لحساب تخزين موجود. يحدد هذا الإعداد طريقة التخويل الافتراضية فقط، لذا ضع في اعتبارك أنه يمكن للمستخدم تجاوز هذا الإعداد واختيار تفويض الوصول إلى البيانات باستخدام مفتاح الحساب.

لتحديد أن المدخل سيستخدم تخويل Microsoft Entra بشكل افتراضي للوصول إلى البيانات عند إنشاء حساب تخزين، اتبع الخطوات التالية:

  1. لإنشاء حساب تخزين، اتبع الإرشادات الموجودة في إنشاء حساب تخزين.

  2. في علامة التبويب خيارات متقدمة ، في قسم الأمان ، حدد المربع بجوار الافتراضي إلى تخويل Microsoft Entra في مدخل Microsoft Azure.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account

  3. حدد الزر مراجعة + إنشاء لتشغيل التحقق من الصحة وإنشاء الحساب.

لتحديث هذا الإعداد لحساب تخزين موجود، اتبع الخطوات التالية:

  1. انتقل إلى نظرة عامة على الحساب في مدخل Microsoft Azure.

  2. ضمن الإعدادات، حدد Configuration.

  3. قم بتعيين Default إلى Microsoft Entra authorization في مدخل Microsoft Azure إلى Enabled.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account

لم يتم تعيين الخاصية defaultToOAuthAuthentication لحساب التخزين بشكل افتراضي ولا ترجع قيمة حتى تقوم بتعيينها بشكل صريح.

الخطوات التالية