Autorizace přístupu k datům ve službě Azure Storage

  • Článek

Pokaždé, když přistupujete k datům ve svém účtu úložiště, klientská aplikace odešle požadavek přes HTTP/HTTPS do Azure Storage. Ve výchozím nastavení je každý prostředek ve službě Azure Storage zabezpečený a každý požadavek na zabezpečený prostředek musí být autorizovaný. Autorizace zajišťuje, že klientská aplikace má příslušná oprávnění pro přístup k určitému prostředku ve vašem účtu úložiště.

Vysvětlení autorizace pro operace s daty

Následující tabulka popisuje možnosti, které Azure Storage nabízí pro autorizaci přístupu k datům:

Artefakt Azure Sdílený klíč (klíč účtu úložiště) Sdílený přístupový podpis (SAS) Microsoft Entra ID Místní služby Doména služby Active Directory anonymní přístup pro čtení Místní uživatelé úložiště
Objekty blob Azure Podporuje se Podporuje se Podporuje se Nepodporováno Podporováno, ale nedoporučuje se Podporováno pouze pro SFTP
Soubory Azure (SMB) Podporuje se Nepodporováno Podporováno pouze s Microsoft Entra Domain Services pouze pro cloud nebo Microsoft Entra Kerberos pro hybridní identity Podporováno, přihlašovací údaje se musí synchronizovat s ID Microsoft Entra. Nepodporováno Nepodporováno
Soubory Azure (REST) Podporuje se Podporuje se Podporuje se Nepodporováno Nepodporováno Nepodporováno
Azure Queues Podporuje se Podporuje se Podporuje se Nepodporuje se Nepodporováno Nepodporováno
Tabulky Azure Podporuje se Podporuje se Podporuje se Nepodporováno Nepodporováno Nepodporováno

Každá možnost autorizace je stručně popsaná níže:

  • Autorizace sdíleného klíče pro objekty blob, soubory, fronty a tabulky Klient používající sdílený klíč předá hlavičku s každou požadavkem, který je podepsaný pomocí přístupového klíče účtu úložiště. Další informace najdete v tématu Autorizace se sdíleným klíčem.

    Microsoft doporučuje zakázat autorizaci sdíleného klíče pro váš účet úložiště. Pokud je autorizace sdíleného klíče zakázaná, klienti musí k autorizaci požadavků na data v daném účtu úložiště použít ID Microsoft Entra nebo SAS delegování uživatele. Další informace najdete v tématu Zabránění autorizaci sdíleného klíče pro účet Azure Storage.

  • Sdílené přístupové podpisy pro objekty blob, soubory, fronty a tabulky. Sdílené přístupové podpisy (SAS) poskytují omezený delegovaný přístup k prostředkům v účtu úložiště prostřednictvím podepsané adresy URL. Podepsaná adresa URL určuje oprávnění udělená prostředku a interval platnosti podpisu. SAS služby nebo SAS účtu je podepsaný pomocí klíče účtu, zatímco SAS delegování uživatele je podepsaný pomocí přihlašovacích údajů Microsoft Entra a vztahuje se pouze na objekty blob. Další informace naleznete v tématu Použití sdílených přístupových podpisů (SAS).

  • Integrace Microsoft Entra pro autorizaci požadavků na prostředky objektů blob, front a tabulek Microsoft doporučuje používat přihlašovací údaje Microsoft Entra k autorizaci požadavků na data, pokud je to možné pro optimální zabezpečení a snadné použití. Další informace o integraci Microsoft Entra najdete v článcích o prostředcích objektů blob, fronty nebo tabulek .

    Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete spravovat oprávnění objektu zabezpečení k prostředkům objektů blob, front a tabulek v účtu úložiště. K přidání podmínek do přiřazení rolí Azure pro prostředky objektů blob můžete také použít řízení přístupu na základě atributů Azure (ABAC).

    Další informace o RBAC najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?

    Další informace o ABAC a jeho stavu funkce najdete tady:

    Co je řízení přístupu na základě atributů Azure (Azure ABAC)?

    Stav funkcí podmínky ABAC

    Stav funkcí podmínky ABAC ve službě Azure Storage

  • Ověřování služby Microsoft Entra Domain Services pro službu Azure Files Služba Azure Files podporuje autorizaci založenou na identitě přes protokol SMB (Server Message Block) prostřednictvím služby Microsoft Entra Domain Services. Azure RBAC můžete použít k podrobné kontrole přístupu klienta k prostředkům Azure Files v účtu úložiště. Další informace o ověřování azure Files pomocí doménových služeb najdete v přehledu.

  • Místní ověřování Doména služby Active Directory Services (AD DS nebo místní služba AD DS) pro službu Azure Files. Služba Azure Files podporuje autorizaci založenou na identitě přes protokol SMB prostřednictvím služby AD DS. Vaše prostředí SLUŽBY AD DS je možné hostovat v místních počítačích nebo ve virtuálních počítačích Azure. Přístup smb k souborům se podporuje pomocí přihlašovacích údajů služby AD DS z počítačů připojených k doméně, ať už místně, nebo v Azure. Pro řízení přístupu na úrovni sdílené složky a seznamy DACLS ntfs můžete použít kombinaci Azure RBAC pro vynucení oprávnění na úrovni adresáře nebo souboru. Další informace o ověřování azure Files pomocí doménových služeb najdete v přehledu.

  • Anonymní přístup pro čtení pro data objektů blob se podporuje, ale nedoporučuje se. Když je nakonfigurovaný anonymní přístup, můžou klienti číst data objektů blob bez autorizace. Doporučujeme zakázat anonymní přístup pro všechny účty úložiště. Další informace najdete v tématu Přehled: Náprava anonymního přístupu pro čtení pro data objektů blob.

  • Místní uživatelé úložiště je možné použít pro přístup k objektům blob pomocí protokolu SFTP nebo souborů pomocí protokolu SMB. Místní uživatelé úložiště podporují oprávnění na úrovni kontejneru pro autorizaci. Další informace o použití protokolu SFTP (Storage Local Users) najdete v tématu Připojení do služby Azure Blob Storage pomocí protokolu SFTP (File Transfer Protocol).

Ochrana přístupových klíčů

Přístupové klíče účtu úložiště poskytují úplný přístup ke konfiguraci účtu úložiště a také k datům. Vždy buďte opatrní při ochraně přístupových klíčů. Pomocí služby Azure Key Vault můžete klíče bezpečně spravovat a otáčet. Přístup ke sdílenému klíči uděluje uživateli úplný přístup ke konfiguraci účtu úložiště a jeho datům. Přístup ke sdíleným klíčům by měl být pečlivě omezený a monitorovaný. Použití tokenů SAS s omezeným oborem přístupu ve scénářích, kdy se autorizace založená na Microsoft Entra ID nedá použít. Vyhněte se pevně kódovacím přístupovým klíčům nebo je uložte kdekoli ve formátu prostého textu, který je přístupný ostatním uživatelům. Pokud se domníváte, že by mohly být ohroženy, obměňte klíče.

Důležité

Microsoft doporučuje použít Microsoft Entra ID k autorizaci požadavků na data objektů blob, fronty a tabulky, pokud je to možné, místo použití klíčů účtu (autorizace sdíleného klíče). Autorizace pomocí Microsoft Entra ID poskytuje vynikající zabezpečení a snadné použití prostřednictvím autorizace sdíleného klíče. Další informace o používání autorizace Microsoft Entra z vašich aplikací naleznete v tématu Jak ověřovat aplikace .NET pomocí služeb Azure. U sdílených složek Azure smb doporučuje Microsoft používat integraci služby místní Active Directory Domain Services (AD DS) nebo ověřování microsoft Entra Kerberos.

Pokud chcete uživatelům zabránit v přístupu k datům ve vašem účtu úložiště pomocí sdíleného klíče, můžete zakázat autorizaci sdíleného klíče pro účet úložiště. Podrobný přístup k datům s minimálními potřebnými oprávněními se doporučuje jako osvědčený postup zabezpečení. Pro scénáře, které podporují OAuth, by se měla použít autorizace založená na ID Microsoftu Entra. Protokol Kerberos nebo SMTP by se měly používat pro službu Azure Files přes protokol SMB. Pro Službu Azure Files přes REST je možné použít tokeny SAS. Přístup ke sdílenému klíči by měl být zakázán, pokud není vyžadován, aby se zabránilo jeho neúmyslným použití. Další informace najdete v tématu Zabránění autorizaci sdíleného klíče pro účet Azure Storage.

Pokud chcete chránit účet azure Storage pomocí zásad podmíněného přístupu Microsoft Entra, musíte zakázat autorizaci sdíleného klíče pro účet úložiště.

Pokud jste zakázali přístup ke sdíleným klíčům a v diagnostických protokolech se zobrazuje autorizace sdíleného klíče, znamená to, že se pro přístup k úložišti používá důvěryhodný přístup. Další podrobnosti najdete v tématu Důvěryhodný přístup k prostředkům registrovaným ve vašem předplatném.

Další kroky