Volba způsobu autorizace přístupu k datům fronty na webu Azure Portal

  • Článek

Když přistupujete k datům fronty pomocí webu Azure Portal, portál odešle požadavky do služby Azure Storage v rámci krytu. Požadavek na službu Azure Storage je možné autorizovat pomocí vašeho účtu Microsoft Entra nebo pomocí přístupového klíče účtu úložiště. Na portálu vidíte, jakou metodu používáte, a pokud máte příslušná oprávnění, můžete mezi těmito dvěma metodami přepínat.

Oprávnění potřebná pro přístup k datům fronty

V závislosti na tom, jak chcete autorizovat přístup k datům fronty na webu Azure Portal, budete potřebovat konkrétní oprávnění. Ve většině případů se tato oprávnění poskytují prostřednictvím řízení přístupu na základě role v Azure (Azure RBAC). Další informace o Azure RBAC najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?

Použití přístupového klíče účtu

Pokud chcete získat přístup k datům fronty pomocí přístupového klíče účtu, musíte mít přiřazenou roli Azure, která zahrnuje akci Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Tato role Azure může být integrovaná nebo vlastní role. Předdefinované role, které podporují Microsoft.Storage/storageAccounts/listkeys/action , zahrnují následující:

Když se pokusíte získat přístup k datům fronty na webu Azure Portal, portál nejprve zkontroluje, jestli máte přiřazenou roli s Microsoft.Storage/storageAccounts/listkeys/action. Pokud jste k této akci přiřadili roli, použije portál klíč účtu pro přístup k datům fronty. Pokud jste k této akci nepřiřadili roli, portál se pokusí o přístup k datům pomocí účtu Microsoft Entra.

Důležité

Pokud je účet úložiště uzamčený zámkem Jen pro čtení Azure Resource Manageru, operace Výpis klíčů není pro tento účet úložiště povolená. Seznam klíčů je operace POST a všechny operace POST jsou znemožněné, pokud je pro účet nakonfigurovaný zámek Jen pro čtení . Z tohoto důvodu musí uživatelé použít přihlašovací údaje Microsoft Entra pro přístup k datům fronty na portálu, když je účet uzamčený zámkem ReadOnly . Informace o přístupu k datům fronty na portálu s ID Microsoft Entra najdete v tématu Použití účtu Microsoft Entra.

Poznámka:

Role klasického správce předplatného Service Správa istrator a Spolu Správa istrator zahrnují ekvivalent role Azure Resource ManageruOwner. Role Vlastník zahrnuje všechny akce, včetně Microsoft.Storage/storageAccounts/listkeys/action, takže uživatel s jednou z těchto rolí pro správu může také přistupovat k datům fronty pomocí klíče účtu. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.

Použití účtu Microsoft Entra

Pokud chcete získat přístup k datům fronty z webu Azure Portal pomocí účtu Microsoft Entra, musí být pro vás oba následující příkazy pravdivé:

  • Dostali jste přiřazenou předdefinované nebo vlastní roli, která poskytuje přístup k datům fronty.
  • Byla vám přiřazena role Čtenář Azure Resource Manageru s minimálním rozsahem na úroveň účtu úložiště nebo vyšší. Role Čtenář uděluje nejomezenější oprávnění, ale je možné použít také jinou roli Azure Resource Manageru, která uděluje přístup k prostředkům pro správu účtu úložiště.

Role Čtenář Azure Resource Manageru umožňuje uživatelům zobrazovat prostředky účtu úložiště, ale ne je upravovat. Neposkytuje oprávnění ke čtení dat ve službě Azure Storage, ale pouze k prostředkům pro správu účtů. Role Čtenář je nezbytná, aby uživatelé mohli přejít do front na webu Azure Portal.

Informace o předdefinovaných rolích, které podporují přístup k datům front, naleznete v tématu Autorizace přístupu k frontám pomocí Microsoft Entra ID.

Vlastní role můžou podporovat různé kombinace stejných oprávnění poskytovaných předdefinovanými rolemi. Další informace o vytváření vlastních rolí Azure najdete v tématu Vlastní role Azure a Vysvětlení definic rolí pro prostředky Azure.

Pokud chcete zobrazit data fronty na portálu, přejděte do přehledu účtu úložiště a klikněte na odkazy pro fronty. Alternativně můžete přejít do části Služba fronty v nabídce.

Screenshot showing how to navigate to queue data in the Azure portal

Určení aktuální metody ověřování

Když přejdete do fronty, Azure Portal označuje, jestli k ověření aktuálně používáte přístupový klíč účtu nebo účet Microsoft Entra.

Ověření pomocí přístupového klíče účtu

Pokud ověřujete pomocí přístupového klíče účtu, zobrazí se přístupový klíč zadaný jako metoda ověřování na portálu:

Screenshot showing user currently accessing queues with the account key

Pokud chcete přepnout na používání účtu Microsoft Entra, klikněte na odkaz zvýrazněný na obrázku. Pokud máte příslušná oprávnění prostřednictvím rolí Azure, které jsou vám přiřazené, budete moct pokračovat. Pokud ale nemáte správná oprávnění, zobrazí se chybová zpráva podobná následující:

Error shown if Microsoft Entra account does not support access

Všimněte si, že se v seznamu nezobrazují žádné fronty, pokud váš účet Microsoft Entra nemá oprávnění k jejich zobrazení. Kliknutím na odkaz Přepnout na přístupový klíč znovu použijte přístupový klíč pro ověření.

Ověření pomocí účtu Microsoft Entra

Pokud ověřujete pomocí svého účtu Microsoft Entra, na portálu se zobrazí uživatelský účet Microsoft Entra zadaný jako metoda ověřování:

Screenshot showing user currently accessing queues with Microsoft Entra account

Pokud chcete přepnout na použití přístupového klíče účtu, klikněte na odkaz zvýrazněný na obrázku. Pokud máte přístup k klíči účtu, budete moct pokračovat. Pokud ale nemáte přístup k klíči účtu, zobrazí se na webu Azure Portal chybová zpráva.

Fronty nejsou uvedené na portálu, pokud nemáte přístup k klíčům účtu. Klikněte na odkaz Přepnout na uživatelský účet Microsoft Entra a znovu použijte svůj účet Microsoft Entra pro ověření.

Výchozí oprávnění Microsoft Entra na webu Azure Portal

Když vytvoříte nový účet úložiště, můžete určit, že azure Portal bude ve výchozím nastavení autorizaci s ID Microsoft Entra, když uživatel přejde na data fronty. Toto nastavení můžete také nakonfigurovat pro existující účet úložiště. Toto nastavení určuje pouze výchozí metodu autorizace, proto mějte na paměti, že uživatel může toto nastavení přepsat a rozhodnout se autorizovat přístup k datům pomocí klíče účtu.

Pokud chcete určit, že portál bude při vytváření účtu úložiště používat autorizaci Microsoft Entra ve výchozím nastavení pro přístup k datům, postupujte takto:

  1. Vytvořte nový účet úložiště podle pokynů v části Vytvoření účtu úložiště.

  2. Na kartě Upřesnit v části Zabezpečení zaškrtněte na webu Azure Portal políčko Vedle výchozí autorizace Microsoft Entra.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account.

  3. Výběrem tlačítka Zkontrolovat a vytvořit spusťte ověření a vytvořte účet.

Chcete-li aktualizovat toto nastavení pro existující účet úložiště, postupujte takto:

  1. Na webu Azure Portal přejděte na přehled účtu.

  2. V části Nastavení vyberte Konfigurace.

  3. Na webu Azure Portal nastavte výchozí oprávnění Microsoft Entra na Povoleno.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account.

Další kroky