Použití poskytovatele prostředků Azure Storage pro přístup k prostředkům správy
Azure Resource Manager je služba nasazování a správy pro Azure. Poskytovatel prostředků Azure Storage je služba založená na Azure Resource Manageru a poskytuje přístup k prostředkům správy pro Azure Storage. Poskytovatele prostředků Azure Storage můžete použít k vytváření, aktualizaci, správě a odstraňování prostředků, jako jsou účty úložiště, privátní koncové body a přístupové klíče účtu. Další informace o Azure Resource Manageru najdete v přehledu Azure Resource Manageru.
Poskytovatele prostředků Azure Storage můžete použít k provádění akcí, jako je vytvoření nebo odstranění účtu úložiště nebo získání seznamu účtů úložiště v předplatném. K autorizaci požadavků vůči poskytovateli prostředků Azure Storage použijte ID Microsoft Entra. Tento článek popisuje, jak přiřadit oprávnění k prostředkům pro správu a odkazuje na příklady, které ukazují, jak provádět požadavky na poskytovatele prostředků Azure Storage.
Prostředky pro správu versus datové prostředky
Microsoft poskytuje dvě rozhraní REST API pro práci s prostředky Azure Storage. Tato rozhraní API tvoří základ všech akcí, které můžete provádět ve službě Azure Storage. Rozhraní REST API služby Azure Storage umožňuje pracovat s daty ve vašem účtu úložiště, včetně dat objektů blob, front, souborů a tabulek. Rozhraní REST API poskytovatele prostředků Azure Storage umožňuje pracovat s účtem úložiště a souvisejícími prostředky.
Požadavek, který čte nebo zapisuje data objektů blob, vyžaduje jiná oprávnění než požadavek, který provádí operaci správy. Azure RBAC poskytuje jemně odstupňovanou kontrolu nad oprávněními pro oba typy prostředků. Při přiřazování role Azure k objektu zabezpečení se ujistěte, že rozumíte oprávněním, kterým se objekt zabezpečení udělí. Podrobný přehled, který popisuje, které akce jsou přidružené ke každé předdefinované roli Azure, najdete v tématu Předdefinované role Azure.
Azure Storage podporuje použití Microsoft Entra ID k autorizaci požadavků vůči službě Blob Storage a Queue Storage. Informace o rolích Azure pro operace s daty objektů blob a front najdete v tématu Autorizace přístupu k objektům blob a frontám pomocí služby Active Directory.
Přiřazení oprávnění pro správu pomocí řízení přístupu na základě role v Azure (Azure RBAC)
Každé předplatné Azure má přidružené ID Microsoft Entra, které spravuje uživatele, skupiny a aplikace. Uživatel, skupina nebo aplikace se také označuje jako objekt zabezpečení v kontextu platformy Microsoft Identity Platform. Přístup k prostředkům v předplatném můžete udělit objektu zabezpečení definovanému ve službě Active Directory pomocí řízení přístupu na základě role v Azure (Azure RBAC).
Když přiřadíte roli Azure k objektu zabezpečení, označíte také obor, ve kterém se vztahují oprávnění udělená rolí. Pro operace správy můžete přiřadit roli na úrovni předplatného, skupiny prostředků nebo účtu úložiště. Roli Azure můžete k objektu zabezpečení přiřadit pomocí webu Azure Portal, Azure Classic CLI, PowerShellu nebo rozhraní REST API poskytovatele prostředků Azure Storage.
Další informace najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)? a role Azure, role Microsoft Entra a klasické role správce předplatného.
Předdefinované role pro operace správy
Azure poskytuje předdefinované role, které uděluje oprávnění k operacím správy volání. Azure Storage také poskytuje předdefinované role speciálně pro použití s poskytovatelem prostředků Azure Storage.
Předdefinované role, které uděluje oprávnění k volání operací správy úložiště, zahrnují role popsané v následující tabulce:
| Role Azure | Popis | Zahrnuje přístup ke klíčům účtu? |
|---|---|---|
| Vlastník | Může spravovat všechny prostředky úložiště a přístup k prostředkům. | Ano, poskytuje oprávnění k zobrazení a opětovnému vygenerování klíčů účtu úložiště. |
| Přispěvatel | Může spravovat všechny prostředky úložiště, ale nemůže spravovat přístup k prostředkům. | Ano, poskytuje oprávnění k zobrazení a opětovnému vygenerování klíčů účtu úložiště. |
| Čtenář | Může zobrazit informace o účtu úložiště, ale nemůže zobrazit klíče účtu. | Č. |
| Přispěvatel účtů úložiště | Může spravovat účet úložiště, získat informace o skupinách prostředků a prostředcích předplatného a vytvářet a spravovat nasazení skupin prostředků předplatného. | Ano, poskytuje oprávnění k zobrazení a opětovnému vygenerování klíčů účtu úložiště. |
| Správce uživatelského přístupu | Může spravovat přístup k účtu úložiště. | Ano, umožňuje objektu zabezpečení přiřadit všechna oprávnění sobě i ostatním. |
| Přispěvatel virtuálních počítačů | Může spravovat virtuální počítače, ale ne účet úložiště, ke kterému jsou připojené. | Ano, poskytuje oprávnění k zobrazení a opětovnému vygenerování klíčů účtu úložiště. |
Třetí sloupec v tabulce označuje, jestli předdefinovaná role podporuje Microsoft.Storage/storageAccounts/listkeys/action. Tato akce uděluje oprávnění ke čtení a opětovnému vygenerování klíčů účtu úložiště. Oprávnění pro přístup k prostředkům správy Azure Storage také nezahrnují oprávnění pro přístup k datům. Pokud ale uživatel má přístup k klíčům účtu, může pomocí klíčů účtu přistupovat k datům azure Storage prostřednictvím autorizace sdíleného klíče.
Vlastní role pro operace správy
Azure také podporuje definování vlastních rolí Azure pro přístup k prostředkům pro správu. Další informace o vlastních rolích najdete v tématu Vlastní role Azure.
Ukázky kódu
Příklady kódu, které ukazují, jak autorizovat a volat operace správy z knihoven pro správu Azure Storage, najdete v následujících ukázkách:
Azure Resource Manager versus nasazení Classic
Modely Resource Manager a Classic představují dva různé způsoby nasazení a správy vašich řešení Azure. Microsoft doporučuje při vytváření nového účtu úložiště používat model nasazení Azure Resource Manager. Pokud je to možné, Microsoft také doporučuje znovu vytvořit existující klasické účty úložiště pomocí modelu Resource Manageru. I když můžete vytvořit účet úložiště pomocí modelu nasazení Classic, klasický model je méně flexibilní a nakonec bude zastaralý.
Další informace o modelech nasazení Azure najdete v tématu Resource Manager a nasazení Classic.