Použití zámku Azure Resource Manageru na účet úložiště

Microsoft doporučuje uzamknout všechny účty úložiště zámkem Azure Resource Manageru, aby se zabránilo náhodnému nebo škodlivému odstranění účtu úložiště. Existují dva typy zámků prostředků Azure Resource Manageru:

• Zámek NejdeDelete brání uživatelům v odstranění účtu úložiště, ale umožňuje čtení a úpravy jeho konfigurace.
• Zámek ReadOnly brání uživatelům v odstranění účtu úložiště nebo úpravě jeho konfigurace, ale umožňuje čtení konfigurace.

Další informace o zámkech Azure Resource Manageru najdete v tématu Uzamčení prostředků, abyste zabránili změnám.

Upozornění

Uzamčení účtu úložiště nechrání kontejnery ani objekty blob v rámci daného účtu před odstraněním nebo přepsáním. Další informace o ochraně dat objektů blob najdete v přehledu ochrany dat.

Konfigurace zámku Azure Resource Manageru

Azure Portal

Pokud chcete nakonfigurovat zámek účtu úložiště pomocí webu Azure Portal, postupujte takto:

1. Na webu Azure Portal přejděte na svůj účet úložiště.

2. V části Nastavení vyberte Zámky.

3. Vyberte Přidat.

4. Zadejte název zámku prostředku a zadejte typ zámku. V případě potřeby přidejte poznámku o zámku.

   

PowerShell

Pokud chcete nakonfigurovat zámek účtu úložiště pomocí PowerShellu, nejprve se ujistěte, že jste nainstalovali modul Az PowerShell. Potom zavolejte příkaz New-AzResourceLock a zadejte typ zámku, který chcete vytvořit, jak je znázorněno v následujícím příkladu:

New-AzResourceLock -LockLevel CanNotDelete `
    -LockName <lock> `
    -ResourceName <storage-account> `
    -ResourceType Microsoft.Storage/storageAccounts `
    -ResourceGroupName <resource-group>

Azure CLI

Pokud chcete nakonfigurovat zámek účtu úložiště pomocí Azure CLI, zavolejte příkaz az lock create a zadejte typ zámku, který chcete vytvořit, jak je znázorněno v následujícím příkladu:

az lock create \
    --name <lock> \
    --resource-group <resource-group> \
    --resource <storage-account> \
    --lock-type CanNotDelete \
    --resource-type Microsoft.Storage/storageAccounts

Autorizace operací s daty, když je aktivní zámek ReadOnly

Pokud se pro účet úložiště použije zámek ReadOnly, zablokuje se pro tento účet úložiště operace Výpis klíčů. Operace List Keys je operace HTTPS POST a všechny operace POST se zabrání, když je pro účet nakonfigurovaný zámek ReadOnly . Operace Výpis klíčů vrátí přístupové klíče účtu, které je pak možné použít ke čtení a zápisu do jakýchkoli dat v účtu úložiště.

Pokud klient vlastní přístupové klíče účtu v době, kdy se zámek použije pro účet úložiště, může tento klient dál používat klíče pro přístup k datům. Klienti, kteří nemají přístup ke klíčům, ale budou muset pro přístup k datům objektů blob nebo fronty v účtu úložiště používat přihlašovací údaje Microsoft Entra.

Uživatelé webu Azure Portal můžou být ovlivněni při použití zámku Jen pro čtení , pokud mají dříve přístup k datům objektu blob nebo fronty na portálu pomocí přístupových klíčů účtu. Po použití zámku budou uživatelé portálu muset pro přístup k datům objektů blob nebo fronty na portálu použít přihlašovací údaje Microsoft Entra. Aby to mohl uživatel provést, musí mít přiřazené alespoň dvě role RBAC: roli Čtenář Azure Resource Manageru a jednu z rolí přístupu k datům Azure Storage. Další informace najdete v jednom z následujících článků:

• Volba způsobu autorizace přístupu k datům objektů blob na webu Azure Portal
• Volba způsobu autorizace přístupu k datům fronty na webu Azure Portal

Data ve službě Azure Files nebo Table Service můžou být pro klienty, kteří k němu dříve přistupovali pomocí klíčů účtu, nepřístupná. Osvědčeným postupem je, že pokud u účtu úložiště musíte použít zámek Jen pro čtení , přesuňte úlohy služby Azure Files a Table Service do účtu úložiště, který není uzamčen zámkem Jen pro čtení .

Další kroky

• Přehled ochrany dat
• Uzamčení prostředků, aby se zabránilo změnám