Konfigurace anonymního přístupu pro čtení pro kontejnery a objekty blob

Článek
10/18/2023

Azure Storage podporuje volitelný anonymní přístup pro čtení pro kontejnery a objekty blob. Ve výchozím nastavení není anonymní přístup k vašim datům nikdy povolen. Pokud explicitně nepovolíte anonymní přístup, musí být všechny požadavky na kontejner a jeho objekty blob autorizované. Když nakonfigurujete nastavení úrovně přístupu kontejneru tak, aby umožňovalo anonymní přístup, můžou klienti číst data v daném kontejneru bez autorizace požadavku.

Upozorňující

Pokud je kontejner nakonfigurovaný pro anonymní přístup, může každý klient číst data v daném kontejneru. Anonymní přístup představuje potenciální bezpečnostní riziko, takže pokud to váš scénář nevyžaduje, doporučujeme opravit anonymní přístup pro účet úložiště.

Tento článek popisuje, jak nakonfigurovat anonymní přístup pro čtení pro kontejner a jeho objekty blob. Informace o nápravě anonymního přístupu pro optimální zabezpečení najdete v jednom z těchto článků:

Informace o anonymním přístupu pro čtení

Anonymní přístup k vašim datům je ve výchozím nastavení vždy zakázán. Existují dvě samostatná nastavení, která mají vliv na anonymní přístup:

Nastavení anonymního přístupu pro účet úložiště. Účet úložiště Azure Resource Manageru nabízí nastavení pro povolení nebo zakázání anonymního přístupu k účtu. Microsoft doporučuje zakázat anonymní přístup k účtům úložiště, aby byl optimální zabezpečení.

Pokud je anonymní přístup povolen na úrovni účtu, data objektů blob nejsou k dispozici pro anonymní přístup pro čtení, pokud uživatel nepřebere další krok k explicitní konfiguraci nastavení anonymního přístupu kontejneru.
Nakonfigurujte nastavení anonymního přístupu kontejneru. Ve výchozím nastavení je nastavení anonymního přístupu kontejneru zakázané, což znamená, že se vyžaduje autorizace pro každý požadavek na kontejner nebo jeho data. Uživatel s příslušnými oprávněními může upravit nastavení anonymního přístupu kontejneru tak, aby povolil anonymní přístup pouze v případě, že je pro účet úložiště povolený anonymní přístup.

Následující tabulka shrnuje, jak tato dvě nastavení ovlivňují anonymní přístup pro kontejner.

	Úroveň anonymního přístupu pro kontejner je nastavená na Privátní (výchozí nastavení)	Úroveň anonymního přístupu pro kontejner je nastavená na Kontejner.	Úroveň anonymního přístupu pro kontejner je nastavená na objekt blob.
Anonymní přístup je pro účet úložiště zakázaný.	Žádný anonymní přístup k žádnému kontejneru v účtu úložiště.	Žádný anonymní přístup k žádnému kontejneru v účtu úložiště. Nastavení účtu úložiště přepíše nastavení kontejneru.	Žádný anonymní přístup k žádnému kontejneru v účtu úložiště. Nastavení účtu úložiště přepíše nastavení kontejneru.
Pro účet úložiště je povolený anonymní přístup.	Žádný anonymní přístup k tomuto kontejneru (výchozí konfigurace).	Anonymní přístup je povolený pro tento kontejner a jeho objekty blob.	Anonymní přístup je povolený pro objekty blob v tomto kontejneru, ale ne pro samotný kontejner.

Pokud je pro účet úložiště povolený anonymní přístup a nakonfigurovaný pro konkrétní kontejner, pak služba přijme požadavek na čtení objektu blob v daném kontejneru, který se předává bez autorizační hlavičky, a data objektu blob se vrátí v odpovědi.

Povolit nebo zakázat anonymní přístup pro čtení pro účet úložiště

Pokud je pro účet úložiště povolený anonymní přístup, může uživatel s příslušnými oprávněními upravit nastavení anonymního přístupu kontejneru a povolit tak anonymní přístup k datům v daném kontejneru. Data objektů blob nejsou nikdy k dispozici pro anonymní přístup, pokud uživatel nezabere další krok k explicitní konfiguraci nastavení anonymního přístupu kontejneru.

Mějte na paměti, že anonymní přístup ke kontejneru je ve výchozím nastavení vždy vypnutý a musí být explicitně nakonfigurovaný tak, aby povoloval anonymní požadavky. Bez ohledu na nastavení účtu úložiště nebudou vaše data nikdy k dispozici pro anonymní přístup, pokud uživatel s příslušnými oprávněními tento další krok nepovolí povolení anonymního přístupu v kontejneru.

Zákaz anonymního přístupu pro účet úložiště přepíše nastavení přístupu pro všechny kontejnery v daném účtu úložiště, což brání anonymnímu přístupu k datům objektů blob v daném účtu. Pokud je pro účet zakázaný anonymní přístup, není možné nakonfigurovat nastavení přístupu pro kontejner tak, aby povoloval anonymní přístup, a všechny budoucí anonymní požadavky na tento účet selžou. Než toto nastavení změníte, nezapomeňte pochopit dopad na klientské aplikace, které můžou přistupovat k datům ve vašem účtu úložiště anonymně. Další informace najdete v tématu Zabránění anonymnímu přístupu pro čtení ke kontejnerům a objektům blob.

Důležité

Po zakázání anonymního přístupu pro účet úložiště klienti, kteří používají anonymní nosnou výzvu, zjistí, že Azure Storage místo chyby 401 (Neautorizováno) vrátí chybu 403 (Zakázáno). Doporučujeme, abyste všechny kontejnery zpřístupňovali jako soukromé, abyste tento problém zmírnit. Další informace o úpravě nastavení anonymního přístupu pro kontejnery najdete v tématu Nastavení úrovně přístupu pro kontejner.

Povolení nebo zakázání anonymního přístupu vyžaduje verzi 2019-04-01 nebo novější poskytovatele prostředků Azure Storage. Další informace najdete v tématu REST API poskytovatele prostředků služby Azure Storage.

Oprávnění pro zakázání anonymního přístupu

Pokud chcete nastavit vlastnost AllowBlobAnonymousAccess pro účet úložiště, musí mít uživatel oprávnění k vytváření a správě účtů úložiště. Role řízení přístupu na základě role Azure (Azure RBAC), které poskytují tato oprávnění, zahrnují akci Microsoft.Storage/storageAccounts/write . Mezi předdefinované role s touto akcí patří:

Role vlastníka Azure Resource Manageru
Role Přispěvatel Azure Resource Manageru
Role Přispěvatel účtu úložiště

Přiřazení rolí musí být vymezena na úroveň účtu úložiště nebo vyšší, aby uživatel nepovolil anonymní přístup k účtu úložiště. Další informace o oboru role najdete v tématu Vysvětlení oboru pro Azure RBAC.

Dávejte pozor, abyste přiřazování těchto rolí omezili jenom na správce, kteří vyžadují možnost vytvořit účet úložiště nebo aktualizovat jeho vlastnosti. Pomocí principu nejnižšího oprávnění se ujistěte, že uživatelé mají nejmenší oprávnění, která potřebují k plnění svých úkolů. Další informace o správě přístupu pomocí Azure RBAC najdete v tématu Osvědčené postupy pro Azure RBAC.

Tyto role neposkytují přístup k datům v účtu úložiště prostřednictvím ID Microsoft Entra. Zahrnují však microsoft.Storage/storageAccounts/listkeys/action, která uděluje přístup k přístupovým klíčům účtu. S tímto oprávněním může uživatel používat přístupové klíče účtu pro přístup ke všem datům v účtu úložiště.

Samotná akce Microsoft.Storage/storageAccounts/listkeys/action uděluje přístup k datům prostřednictvím klíčů účtu, ale neuděluje uživateli možnost změnit vlastnost AllowBlobPublicAccess pro účet úložiště. Pro uživatele, kteří potřebují přístup k datům ve vašem účtu úložiště, ale neměli by mít možnost změnit konfiguraci účtu úložiště, zvažte přiřazení rolí, jako je Přispěvatel dat v objektech blob služby Storage, Čtenář dat služby Storage nebo Čtenář a Přístup k datům.

Poznámka:

Role klasického správce předplatného Service Správa istrator a Spolu Správa istrator zahrnují ekvivalent role vlastníka Azure Resource Manageru. Role Vlastník zahrnuje všechny akce, takže uživatel s jednou z těchto rolí pro správu může také vytvářet účty úložiště a spravovat konfiguraci účtu. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.

Nastavení vlastnosti AllowBlobPublicAccess účtu úložiště

Pokud chcete povolit nebo zakázat anonymní přístup k účtu úložiště, nastavte vlastnost AllowBlobPublicAccess účtu. Tato vlastnost je k dispozici pro všechny účty úložiště vytvořené pomocí modelu nasazení Azure Resource Manager. Další informace najdete v tématu Přehled účtu úložiště.

Pokud chcete povolit nebo zakázat anonymní přístup k účtu úložiště na webu Azure Portal, postupujte takto:

Na webu Azure Portal přejděte na svůj účet úložiště.
V části Nastavení vyhledejte nastavení Konfigurace.
Nastavte možnost Povolit anonymní přístup k objektu blob na Povoleno nebo Zakázáno.

Pokud chcete povolit nebo zakázat anonymní přístup k účtu úložiště pomocí PowerShellu, nainstalujte Azure PowerShell verze 4.4.0 nebo novější. Dále nakonfigurujte vlastnost AllowBlobPublicAccess pro nový nebo existující účet úložiště.

Následující příklad vytvoří účet úložiště a explicitně nastaví AllowBlobPublicAccess vlastnost false. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account with AllowBlobPublicAccess explicitly set to false.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_GRS `
    -AllowBlobPublicAccess $false

# Read the AllowBlobPublicAccess property for the newly created storage account.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowBlobPublicAccess

Pokud chcete povolit nebo zakázat anonymní přístup k účtu úložiště pomocí Azure CLI, nainstalujte Azure CLI verze 2.9.0 nebo novější. Další informace najdete v tématu Instalace Azure CLI. Dále nakonfigurujte vlastnost allowBlobPublicAccess pro nový nebo existující účet úložiště.

Následující příklad vytvoří účet úložiště a explicitně nastaví allowBlobPublicAccess vlastnost false. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --kind StorageV2 \
    --location <location> \
    --allow-blob-public-access false

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowBlobPublicAccess \
    --output tsv

Pokud chcete povolit nebo zakázat anonymní přístup k účtu úložiště pomocí šablony, vytvořte šablonu s vlastností AllowBlobPublicAccess nastavenou na hodnotu true nebo false. Následující kroky popisují, jak vytvořit šablonu na webu Azure Portal.

Na webu Azure Portal zvolte Vytvořit prostředek.
Do Search a marketplace zadejte nasazení šablony a stiskněte enter.
Zvolte Nasazení šablony (nasazení pomocí vlastních šablon), zvolte Vytvořit a pak v editoru zvolte Vytvořit vlastní šablonu.

V editoru šablon vložte následující JSON a vytvořte nový účet a nastavte vlastnost AllowBlobPublicAccess na true nebo false. Nezapomeňte nahradit zástupné symboly v lomených závorkách vlastními hodnotami.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "variables": {
        "storageAccountName": "[concat(uniqueString(subscription().subscriptionId), 'template')]"
    },
    "resources": [
        {
        "name": "[variables('storageAccountName')]",
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "location": "<location>",
        "properties": {
            "allowBlobPublicAccess": false
        },
        "dependsOn": [],
        "sku": {
          "name": "Standard_GRS"
        },
        "kind": "StorageV2",
        "tags": {}
        }
    ]
}

Uložte šablonu.
Zadejte parametr skupiny prostředků a pak zvolte tlačítko Zkontrolovat a vytvořit šablonu a vytvořte účet úložiště s nakonfigurovanou vlastností allowBlobPublicAccess .

Poznámka:

Zakázání anonymního přístupu k účtu úložiště nemá vliv na žádné statické weby hostované v daném účtu úložiště. Kontejner $web je vždy veřejně přístupný.

Po aktualizaci nastavení anonymního přístupu pro účet úložiště může trvat až 30 sekund, než se změna plně rozšíří.

Pokud je kontejner nakonfigurovaný pro anonymní přístup, nemusí být požadavky na čtení objektů blob v daném kontejneru autorizované. Všechna pravidla brány firewall nakonfigurovaná pro účet úložiště však zůstanou v platnosti a budou blokovat provoz vložený s nakonfigurovanými seznamy ACL.

Příklady v této části ukázaly, jak přečíst vlastnost AllowBlobPublicAccess pro účet úložiště, abyste zjistili, jestli je anonymní přístup aktuálně povolený nebo zakázaný. Informace o tom, jak ověřit, jestli je nastavení anonymního přístupu účtu nakonfigurované tak, aby zabránilo anonymnímu přístupu, najdete v tématu Náprava anonymního přístupu pro účet úložiště.

Nastavení úrovně anonymního přístupu pro kontejner

Pokud chcete anonymním uživatelům udělit přístup pro čtení ke kontejneru a jeho objektům blob, nejprve povolte anonymní přístup k účtu úložiště a pak nastavte úroveň anonymního přístupu kontejneru. Pokud je pro účet úložiště odepřen anonymní přístup, nebudete moct nakonfigurovat anonymní přístup pro kontejner.

Upozornění

Microsoft doporučuje povolit anonymní přístup k datům objektů blob ve vašem účtu úložiště.

Pokud je pro účet úložiště povolený anonymní přístup, můžete kontejner nakonfigurovat s následujícími oprávněními:

Žádný veřejný přístup ke čtení: Ke kontejneru a jeho objektům blob je možné přistupovat pouze s autorizovaným požadavkem. Tato možnost je výchozí pro všechny nové kontejnery.
Veřejný přístup pro čtení pouze pro objekty blob: Objekty blob v kontejneru je možné číst anonymním požadavkem, ale data kontejneru nejsou k dispozici anonymně. Anonymní klienti nemohou vytvořit výčet objektů blob v rámci kontejneru.
Veřejný přístup pro čtení pro kontejner a jeho objekty blob: Data kontejnerů a objektů blob je možné číst anonymním požadavkem, s výjimkou nastavení oprávnění kontejneru a metadat kontejneru. Klienti můžou vytvořit výčet objektů blob v rámci kontejneru anonymním požadavkem, ale nemůžou vytvořit výčet kontejnerů v rámci účtu úložiště.

Úroveň anonymního přístupu pro jednotlivé objekty blob nelze změnit. Úroveň anonymního přístupu je nastavená pouze na úrovni kontejneru. Úroveň anonymního přístupu kontejneru můžete nastavit při vytváření kontejneru nebo můžete nastavení aktualizovat u existujícího kontejneru.

Pokud chcete aktualizovat úroveň anonymního přístupu pro jeden nebo více existujících kontejnerů na webu Azure Portal, postupujte takto:

Na webu Azure Portal přejděte na přehled svého účtu úložiště.
V části Úložiště dat v okně nabídky vyberte Kontejnery.
Vyberte kontejnery, pro které chcete nastavit úroveň anonymního přístupu.
Pomocí tlačítka Změnit úroveň přístupu zobrazte nastavení anonymního přístupu.
V rozevíracím seznamu Úroveň anonymního přístupu vyberte požadovanou úroveň anonymního přístupu a kliknutím na tlačítko OK použijte změnu u vybraných kontejnerů.

Pokud je pro účet úložiště zakázaný anonymní přístup, nelze nastavit úroveň anonymního přístupu kontejneru. Pokud se pokusíte nastavit úroveň anonymního přístupu kontejneru, uvidíte, že je nastavení zakázané, protože pro účet je zakázaný anonymní přístup.

Screenshot showing that setting a container's anonymous access level is blocked when anonymous access disallowed for the account

Pokud chcete aktualizovat úroveň anonymního přístupu pro jeden nebo více kontejnerů pomocí PowerShellu, zavolejte příkaz Set-AzStorageContainerAcl . Tuto operaci můžete autorizovat předáním klíče účtu, připojovací řetězec nebo sdíleného přístupového podpisu (SAS). Operace Nastavit seznam ACL kontejneru, která nastaví úroveň anonymního přístupu kontejneru, nepodporuje autorizaci pomocí Id Microsoft Entra. Další informace najdete v tématu Oprávnění pro volání operací s daty objektu blob a fronty.

Následující příklad vytvoří kontejner se zakázaným anonymním přístupem a pak aktualizuje nastavení anonymního přístupu kontejneru tak, aby umožňoval anonymní přístup ke kontejneru a jeho objektům blob. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

# Set variables.
$rgName = "<resource-group>"
$accountName = "<storage-account>"
# Get context object.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
# Create a new container with anonymous access setting set to Off.
$containerName = "<container>"
New-AzStorageContainer -Name $containerName -Permission Off -Context $ctx
# Read the container's anonymous access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx
# Update the container's anonymous access setting to Container.
Set-AzStorageContainerAcl -Container $containerName -Permission Container -Context $ctx
# Read the container's anonymous access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx

Pokud je pro účet úložiště zakázaný anonymní přístup, nelze nastavit úroveň anonymního přístupu kontejneru. Pokud se pokusíte nastavit úroveň anonymního přístupu kontejneru, azure Storage vrátí chybu, která značí, že anonymní přístup není v účtu úložiště povolený.

Pokud chcete aktualizovat úroveň anonymního přístupu pro jeden nebo více kontejnerů pomocí Azure CLI, zavolejte příkaz az storage container set permission . Tuto operaci můžete autorizovat předáním klíče účtu, připojovací řetězec nebo sdíleného přístupového podpisu (SAS). Operace Nastavit seznam ACL kontejneru, která nastaví úroveň anonymního přístupu kontejneru, nepodporuje autorizaci pomocí Id Microsoft Entra. Další informace najdete v tématu Oprávnění pro volání operací s daty objektu blob a fronty.

az storage container create \
    --name <container-name> \
    --account-name <account-name> \
    --resource-group <resource-group>
    --public-access off \
    --account-key <account-key> \
    --auth-mode key
az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key
az storage container set-permission \
    --name <container-name> \
    --account-name <account-name> \
    --public-access container \
    --account-key <account-key> \
    --auth-mode key
az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key

Pokud je pro účet úložiště zakázaný anonymní přístup, nelze nastavit úroveň anonymního přístupu kontejneru. Pokud se pokusíte nastavit úroveň anonymního přístupu kontejneru, azure Storage vrátí chybu, která značí, že anonymní přístup není v účtu úložiště povolený.

Kontrola nastavení anonymního přístupu pro sadu kontejnerů

Je možné zkontrolovat, které kontejnery v jednom nebo více účtech úložiště jsou nakonfigurované pro anonymní přístup, výpisem kontejnerů a kontrolou nastavení anonymního přístupu. Tento přístup je praktická možnost, pokud účet úložiště neobsahuje velký počet kontejnerů nebo při kontrole nastavení v malém počtu účtů úložiště. Pokud se ale pokusíte vytvořit výčet velkého počtu kontejnerů, může dojít k omezení výkonu.

Následující příklad používá PowerShell k získání nastavení anonymního přístupu pro všechny kontejnery v účtu úložiště. Nezapomeňte nahradit zástupné hodnoty v závorkách vlastními hodnotami:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
Get-AzStorageContainer -Context $ctx | Select Name, PublicAccess

Podpora funkcí

Podpora této funkce může mít vliv na povolení protokolu Data Lake Storage Gen2, systému souborů NFS (Network File System) 3.0 nebo protokolu SSH File Transfer Protocol (SFTP). Pokud jste některou z těchto funkcí povolili, podívejte se na podporu funkcí služby Blob Storage v účtech Azure Storage a vyhodnoťte podporu této funkce.