Share via

تخويل الوصول إلى البيانات في Azure Storage

  • مقالة

في كل مرة تقوم فيها بالوصول إلى البيانات الموجودة في حساب التخزين الخاص بك، يقدم تطبيق العميل طلبًا عبر HTTP/HTTPS إلى Azure Storage. بشكل افتراضي، يتم تأمين كل مورد في Azure Storage، ويجب تفويض كل طلب إلى مورد آمن. يضمن التفويض أن تطبيق العميل لديه الأذونات المناسبة للوصول إلى مورد معين في حساب التخزين الخاص بك.

هام

للحصول على الأمان الأمثل، توصي Microsoft باستخدام معرف Microsoft Entra مع الهويات المدارة لتخويل الطلبات مقابل بيانات كائن ثنائي كبير الحجم وقائمة الانتظار والجدول، كلما أمكن ذلك. يوفر التخويل باستخدام معرف Microsoft Entra والهويات المدارة أمانا فائقا وسهولة استخدام عبر تخويل المفتاح المشترك. لمعرفة المزيد حول الهويات المدارة، راجع ما هي الهويات المدارة لموارد Azure. للحصول على مثال حول كيفية تمكين هوية مدارة واستخدامها لتطبيق .NET، راجع مصادقة التطبيقات المستضافة من Azure إلى موارد Azure باستخدام .NET.

بالنسبة للموارد المستضافة خارج Azure، مثل التطبيقات المحلية، يمكنك استخدام الهويات المدارة من خلال Azure Arc. على سبيل المثال، يمكن للتطبيقات التي تعمل على خوادم Azure Arc الممكنة استخدام الهويات المدارة للاتصال بخدمات Azure. لمعرفة المزيد، راجع المصادقة مقابل موارد Azure باستخدام خوادم Azure Arc الممكنة.

بالنسبة للسيناريوهات التي يتم فيها استخدام توقيعات الوصول المشترك (SAS)، توصي Microsoft باستخدام SAS لتفويض المستخدم. يتم تأمين SAS لتفويض المستخدم باستخدام بيانات اعتماد Microsoft Entra بدلا من مفتاح الحساب. للتعرف على توقيعات الوصول المشترك، راجع منح وصول محدود إلى البيانات باستخدام توقيعات الوصول المشترك. للحصول على مثال حول كيفية إنشاء واستخدام توقيعات الوصول المشترك لتفويض مستخدم مع .NET، راجع إنشاء توقيعات الوصول المشترك لتفويض مستخدم لكائن ثنائي كبير الحجم باستخدام .NET.

تخويل لعمليات البيانات

يصف القسم التالي دعم التخويل والتوصيات لكل خدمة تخزين Azure.

يوفر الجدول التالي معلومات حول خيارات التخويل المدعومة للكائنات الثنائية كبيرة الحجم:

خيار التخويل الإرشاد التوصية
Microsoft Entra ID تخويل الوصول إلى بيانات Azure Storage باستخدام معرف Microsoft Entra توصي Microsoft باستخدام معرف Microsoft Entra مع الهويات المدارة لتخويل طلبات موارد الكائن الثنائي كبير الحجم.
المفتاح المشترك (مفتاح حساب التخزين) تخويل باستخدام المفتاح المشترك توصي Microsoft بعدم السماح بتخويل المفتاح المشترك لحسابات التخزين الخاصة بك.
توقيع الوصول المشترك (SAS) استخدام توقيعات الوصول المشترك (SAS) عندما يكون تخويل SAS ضروريا، توصي Microsoft باستخدام توقيعات الوصول المشترك لتفويض المستخدم للوصول المفوض المحدود إلى موارد الكائن الثنائي كبير الحجم.
الوصول للقراءة المجهول نظرة عامة: معالجة الوصول للقراءة المجهولة لبيانات الكائن الثنائي كبير الحجم توصي Microsoft بتعطيل الوصول المجهول لجميع حسابات التخزين الخاصة بك.
تخزين المستخدمين المحليين مدعوم ل SFTP فقط. لمعرفة المزيد، راجع تخويل الوصول إلى Blob Storage لعميل SFTP راجع إرشادات الخيارات.

يصف القسم التالي بإيجاز خيارات التخويل ل Azure Storage:

  • تخويل المفتاح المشترك: ينطبق على الكائنات الثنائية كبيرة الحجم والملفات وقوائم الانتظار والجداول. يمرر العميل الذي يستخدم المفتاح المشترك رأسًا مع كل طلب يتم توقيعه باستخدام مفتاح الوصول إلى حساب التخزين. للحصول على مزيد من المعلومات، انظر تفويض باستخدام مفتاح مشترك.

    توصي Microsoft بعدم السماح بتخويل المفتاح المشترك لحساب التخزين الخاص بك. عند عدم السماح بتخويل المفتاح المشترك، يجب على العملاء استخدام معرف Microsoft Entra أو توقيع الوصول المشترك لتفويض المستخدم لتخويل طلبات البيانات في حساب التخزين هذا. لمزيد من المعلومات، انظر منع تخويل "مفتاح مشترك" لحساب تخزين Azure.

  • توقيعات الوصول المشترك للنقاط والملفات وقوائم الانتظار والجداول. توفر توقيعات الوصول المشترك (SAS) وصولًا محدودًا مفوضًا إلى الموارد في حساب تخزين عبر عنوان URL موقع. يحدد عنوان URL الموقع الأذونات الممنوحة للمورد والفاصل الزمني الذي يكون التوقيع صالحًا خلاله. يتم توقيع SAS للخدمة أو SAS للحساب باستخدام مفتاح الحساب، بينما يتم توقيع SAS لتفويض المستخدم باستخدام بيانات اعتماد Microsoft Entra وينطبق على الكائنات الثنائية كبيرة الحجم فقط. ولمزيد من المعلومات، اطلع على استخدام توقيعات الوصول المشتركة.

  • تكامل Microsoft Entra: ينطبق على موارد الكائن الثنائي كبير الحجم وقائمة الانتظار والجدول. توصي Microsoft باستخدام بيانات اعتماد Microsoft Entra مع الهويات المدارة لتخويل الطلبات إلى البيانات عندما يكون ذلك ممكنا لتحقيق الأمان الأمثل وسهولة الاستخدام. لمزيد من المعلومات حول تكامل Microsoft Entra، راجع مقالات موارد كائن ثنائي كبير الحجم أو قائمة الانتظار أو الجدول .

    يمكنك استخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC) لإدارة أذونات مدير الأمان إلى موارد الكائن الثنائي الكبير الحجم وقائمة الانتظار والجدول في حساب تخزين. يمكنك أيضا استخدام التحكم في الوصول المستند إلى سمة Azure (ABAC) لإضافة شروط إلى تعيينات دور Azure لموارد كائن ثنائي كبير الحجم.

    لمزيد من المعلومات عن RBAC، راجع ما هو التحكم في الوصول استناداً إلى الدور في Azure (Azure RBAC)؟

    لمزيد من المعلومات حول ABAC، راجع ما هو التحكم في الوصول المستند إلى سمة Azure (Azure ABAC)؟. للتعرف على حالة ميزات ABAC، راجع حالة ميزات شرط ABAC في Azure Storage.

  • مصادقة Microsoft Entra Domain Services: تنطبق على ملفات Azure. تدعم Azure Files التخويل المستند إلى الهوية عبر Server Message Block (SMB) من خلال Microsoft Entra Domain Services. يمكنك استخدام Azure RBAC للتحكم الدقيق في وصول العميل إلى موارد Azure Files في حساب تخزين. لمزيد من المعلومات حول مصادقة Azure Files باستخدام خدمات المجال، راجع نظرة عامة على خيارات المصادقة المستندة إلى هوية Azure Files للوصول إلى SMB.

  • مصادقة خدمات مجال Active Directory المحلية (AD DS أو AD DS المحلية): ينطبق على ملفات Azure. تدعم ملفات Azure التفويض المستند إلى الهوية عبر SMB من خلال AD DS. يمكن استضافة بيئة AD DS الخاصة بك في الأجهزة المحلية أو في أجهزة Azure الظاهرية. يتم دعم وصول SMB إلى الملفات باستخدام بيانات اعتماد AD DS من الأجهزة المرتبطة بالمجال، إما محليًا أو في Azure. يمكنك استخدام مجموعة من Azure RBAC للتحكم في الوصول على مستوى المشاركة وNTFS DACLs لفرض الأذونات على مستوى الدليل/الملف. لمزيد من المعلومات حول مصادقة ملفات Azure باستخدام خدمات المجال، راجع نظرة عامة.

  • الوصول للقراءة المجهول: ينطبق على موارد الكائن الثنائي كبير الحجم. من المستحسن استخدام هذا الخيار. عند تكوين الوصول المجهول، يمكن للعملاء قراءة بيانات الكائن الثنائي كبير الحجم دون تخويل. نوصي بتعطيل الوصول المجهول لجميع حسابات التخزين الخاصة بك. لمزيد من المعلومات، راجع نظرة عامة: معالجة الوصول للقراءة المجهولة لبيانات الكائن الثنائي كبير الحجم.

  • مستخدمو التخزين المحليون: ينطبق على الكائنات الثنائية كبيرة الحجم مع SFTP أو الملفات مع SMB. التخزين يدعم المستخدمون المحليون أذونات مستوى الحاوية للتفويض. راجع الاتصال إلى Azure Blob Storage باستخدام بروتوكول نقل ملفات SSH (SFTP) للحصول على مزيد من المعلومات حول كيفية استخدام التخزين للمستخدمين المحليين مع SFTP.

حماية مفاتيح الوصول خاصتك

توفر مفاتيح الوصول إلى حساب التخزين وصولا كاملا إلى تكوين حساب التخزين، بالإضافة إلى البيانات. كن حذرًا دائمًا لحماية مفاتيح الوصول خاصتك. استخدم Azure Key Vault لإدارة المفاتيح وتدويرها بأمان. يمنح الوصول إلى المفتاح المشترك المستخدم حق الوصول الكامل إلى تكوين حساب التخزين وبياناته. يجب أن يكون الوصول إلى المفاتيح المشتركة محدودا ومراقبا بعناية. استخدم رموز SAS لتفويض المستخدم مع نطاق وصول محدود في السيناريوهات التي لا يمكن فيها استخدام التخويل المستند إلى معرف Microsoft Entra. تجنب مفاتيح الوصول ذات الترميز الثابت أو حفظها في أي مكان في نص عادي يمكن للآخرين الوصول إليه. قم بتدوير المفاتيح إذا كنت تعتقد أنها قد تم اختراقها.

هام

لمنع المستخدمين من الوصول إلى البيانات في حساب التخزين الخاص بك باستخدام المفتاح المشترك، يمكنك عدم السماح بتخويل المفتاح المشترك لحساب التخزين. يوصى بالوصول الدقيق إلى البيانات بأقل الامتيازات الضرورية كأفضل ممارسة أمنية. يجب استخدام التخويل المستند إلى معرف Microsoft Entra باستخدام الهويات المدارة للسيناريوهات التي تدعم OAuth. يجب استخدام Kerberos أو SMTP لملفات Azure عبر SMB. بالنسبة لملفات Azure عبر REST، يمكن استخدام رموز SAS المميزة. يجب تعطيل الوصول إلى المفتاح المشترك إذا لم يكن مطلوبا لمنع استخدامه غير المقصود. لمزيد من المعلومات، انظر منع تخويل "مفتاح مشترك" لحساب تخزين Azure.

لحماية حساب تخزين Azure باستخدام نهج الوصول المشروط من Microsoft Entra، يجب عدم السماح بتخويل المفتاح المشترك لحساب التخزين.

إذا قمت بتعطيل الوصول إلى المفتاح المشترك وكنت ترى تخويل المفتاح المشترك تم الإبلاغ عنه في سجلات التشخيص، فهذا يشير إلى أنه يتم استخدام الوصول الموثوق به للوصول إلى التخزين. لمزيد من التفاصيل، راجع الوصول الموثوق به للموارد المسجلة في اشتراكك.

الخطوات التالية