Použití zámku Azure Resource Manageru na účet úložiště

Microsoft doporučuje uzamknout všechny účty úložiště zámkem Azure Resource Manageru, aby se zabránilo náhodnému nebo škodlivému odstranění účtu úložiště. Existují dva typy zámků prostředků Azure Resource Manageru:

• Zámek NelzeSmazat brání uživatelům v odstranění účtu úložiště, ale umožňuje jeho čtení a úpravu jeho konfigurace.
• Zámek ReadOnly brání uživatelům v odstranění účtu úložiště nebo úpravě jeho konfigurace, ale umožňuje čtení konfigurace.

Další informace o zámkech Azure Resource Manageru najdete v tématu Uzamčení prostředků, abyste zabránili změnám.

Upozornění

Uzamčení účtu úložiště nechrání kontejnery ani objekty blob v rámci daného účtu před odstraněním nebo přepsáním. Další informace o tom, jak chránit data blobů, najdete v přehledu ochrany dat.

Konfigurace zámku Azure Resource Manageru

Azure Portal

Pokud chcete nakonfigurovat zámek účtu úložiště pomocí webu Azure Portal, postupujte takto:

1. Na webu Azure Portal přejděte na svůj účet úložiště.

2. V části Nastavení vyberte Zámky.

3. Vyberte Přidat.

4. Zadejte název zámku prostředku a určete typ zámku. V případě potřeby přidejte poznámku o zámku.

   

PowerShell

Pokud chcete nakonfigurovat zámek účtu úložiště pomocí PowerShellu, nejprve se ujistěte, že jste nainstalovali modul Az PowerShell. Potom zavolejte příkaz New-AzResourceLock a zadejte typ zámku, který chcete vytvořit, jak je znázorněno v následujícím příkladu:

New-AzResourceLock -LockLevel CanNotDelete `
    -LockName <lock> `
    -ResourceName <storage-account> `
    -ResourceType Microsoft.Storage/storageAccounts `
    -ResourceGroupName <resource-group>

Azure CLI

Pokud chcete nakonfigurovat zámek účtu úložiště pomocí Azure CLI, zavolejte příkaz az lock create a zadejte typ zámku, který chcete vytvořit, jak je znázorněno v následujícím příkladu:

az lock create \
    --name <lock> \
    --resource-group <resource-group> \
    --resource <storage-account> \
    --lock-type CanNotDelete \
    --resource-type Microsoft.Storage/storageAccounts

Autorizace operací s daty, když je aktivní zámek ReadOnly

Pokud se pro účet úložiště použije zámek ReadOnly , zablokuje se pro tento účet úložiště operace Výpis klíčů . Operace List Keys je operace HTTPS POST a všechny operace POST se zabrání, když je pro účet nakonfigurovaný zámek ReadOnly . Operace Výpis klíčů vrátí přístupové klíče účtu, které je pak možné použít ke čtení a zápisu do jakýchkoli dat v účtu úložiště.

Pokud klient vlastní přístupové klíče účtu v době, kdy se zámek použije pro účet úložiště, může tento klient dál používat klíče pro přístup k datům. Klienti, kteří nemají přístup ke klíčům, budou muset pro přístup k datům objektů blob nebo fronty v účtu úložiště používat přihlašovací údaje Microsoft Entra.

Uživatelé portálu Azure mohou být ovlivněni, když je aplikován zámek Jen pro čtení, pokud měli dříve přístup k datům objektů blob nebo fronty na portálu pomocí přístupových klíčů účtu. Po použití zámku budou uživatelé portálu muset pro přístup k datům v blobu nebo ve frontě na portálu použít přihlašovací údaje Microsoft Entra. Aby to mohl uživatel provést, musí mít přiřazené alespoň dvě role RBAC: minimálně roli Čtenář pro Azure Resource Manager a jednu z rolí pro přístup k datům Azure Storage. Další informace najdete v jednom z následujících článků:

• Volba způsobu autorizace přístupu k datům objektů blob na webu Azure Portal
• Volba způsobu autorizace přístupu k datům fronty na webu Azure Portal

Data ve službě Azure Files nebo Table Service můžou být pro klienty, kteří k němu dříve přistupovali pomocí klíčů účtu, nepřístupná. Osvědčeným postupem je, že pokud u účtu úložiště musíte použít zámek Jen pro čtení , přesuňte úlohy služby Azure Files a Table Service do účtu úložiště, který není uzamčen zámkem Jen pro čtení .

Další kroky

• Přehled ochrany dat
• Uzamčení prostředků, aby se zabránilo změnám