Herstellen einer Verbindung mit Ihrem Azure-Speicherkonto

  • 10 Minuten

Sie haben Ihrer Anwendung die erforderlichen Clientbibliotheken hinzugefügt und können eine Verbindung mit Ihrem Azure-Speicherkonto herstellen.

Ihre App benötigt zwei Datenelemente, um mit Daten in einem Speicherkonto arbeiten zu können:

  • Zugriffsschüssel
  • REST-API-Endpunkt

Sicherheitszugriffsschlüssel

Jedes Speicherkonto verfügt über zwei eindeutige Zugriffsschlüssel, die zum Schützen des Speicherkontos verwendet werden. Wenn Ihre App eine Verbindung mit mehreren Speicherkonten herstellen muss, benötigt sie für jedes Speicherkonto einen Zugriffsschlüssel.

An illustration showing an application connected to two different storage accounts in the cloud. Each storage account is accessible with a unique key.

REST-API-Endpunkt

Zusätzlich zu Zugriffsschlüsseln für die Authentifizierung gegenüber Speicherkonten benötigt Ihre App die Information, welche Speicherdienstendpunkte für die REST-Anforderungen ausgegeben werden sollen.

Der REST-Endpunkt ist eine Kombination aus dem Namen Ihres Speicherkontos, des Datentyps und einer bekannten Domäne. Beispiel:

Datentyp Beispiel für einen Endpunkt
Blobs https://[name].blob.core.windows.net/
Warteschlangen https://[name].queue.core.windows.net/
Tabelle https://[name].table.core.windows.net/
Dateien https://[name].file.core.windows.net/

Wenn Sie eine benutzerdefinierte Domäne mit Azure verknüpft haben, können Sie auch eine benutzerdefinierte Domänen-URL für den Endpunkt erstellen.

Verbindungszeichenfolgen

Die einfachste Methode für die Handhabung von Zugriffsschlüsseln und Endpunkt-URLs in Anwendungen ist die Verwendung von Verbindungszeichenfolgen für Speicherkonten. Eine Verbindungszeichenfolge enthält alle erforderlichen Verbindungsinformationen in einer einzelnen Textzeichenfolge.

Azure Storage-Verbindungszeichenfolgen ähneln dem folgenden Beispiel – abgesehen von Zugriffsschlüssel und Kontoname, die für Ihr Speicherkonto spezifisch sind:

DefaultEndpointsProtocol=https;AccountName={your-storage};
   AccountKey={your-access-key};
   EndpointSuffix=core.windows.net

Security

Zugriffsschlüssel sind für den Zugriff auf Ihr Speicherkonto von entscheidender Bedeutung. Daher sollten Sie sie nicht an Systeme oder Personen weitergeben, die keinen Zugriff auf Ihr Speicherkonto haben sollen. Zugriffsschlüssel entsprechen dem Benutzernamen und dem Kennwort, die zum Zugriff auf Ihren Computer erforderlich sind.

Normalerweise werden die Informationen über die Speicherkonto-Konnektivität in einer Umgebungsvariablen, einer Datenbank oder einer Konfigurationsdatei gespeichert.

Wichtig

Das Speichern dieser Informationen in einer Konfigurationsdatei kann gefährlich sein, wenn Sie diese Datei in die Quellcodeverwaltung einbeziehen und in einem öffentlichen Repository speichern. Dies ist ein häufiger Fehler und bedeutet, dass jeder Ihren Quellcode im öffentlichen Repository durchsuchen und die Verbindungsinformationen Ihres Speicherkontos einsehen kann.

Jedes Speicherkonto verfügt über zwei Zugriffsschlüssel. Dadurch können die Schlüssel regelmäßig rotiert (neu generiert) werden, um die Sicherheit Ihres Speicherkontos nach bewährten Methoden zu gewährleisten. Sie können dies über das Azure-Portal oder das Azure CLI/PowerShell-Befehlszeilentool durchführen.

Bei der Rotation eines Schlüssels wird der ursprüngliche Schlüsselwert sofort ungültig und jeder, der den Schlüssel unrechtmäßig erhalten hat, verliert den Zugriff. Bei der Unterstützung von zwei Schlüsseln können Sie die Schlüsselrotation ohne Ausfallzeiten in den Anwendungen, die die Schlüssel verwenden, durchführen. Während ein Schlüssel neu generiert wird, kann Ihre App den anderen Zugriffsschlüssel verwenden. Wenn mehrere Ihrer Apps dieses Speicherkonto nutzen, sollten sie alle denselben Schlüssel verwenden, um diese Technik zu unterstützen. Die grundlegende Idee lautet wie folgt:

  1. Aktualisieren Sie die Verbindungszeichenfolgen in Ihrem Anwendungscode, damit sie auf den sekundären Zugriffsschlüssel des Speicherkontos verweisen.
  2. Generieren Sie den primären Zugriffsschlüssel Ihres Speicherkontos über das Azure-Portal oder das Befehlszeilentool neu.
  3. Aktualisieren Sie die Verbindungszeichenfolgen in Ihrem Code, um auf den neuen primären Zugriffsschlüssel zu verweisen.
  4. Generieren Sie den sekundären Zugriffsschlüssel auf die gleiche Weise erneut.

Tipp

Wir empfehlen Ihnen dringend, Ihre Zugangsschlüssel in regelmäßigen Abständen zu wechseln, um sicherzustellen, dass sie privat bleiben – genau wie Sie auch Ihre Kennwörter ändern. Wenn Sie den Schlüssel in einer Serveranwendung nutzen, können Sie Azure Key Vault verwenden, um den Zugriffsschlüssel zu speichern. Key Vault-Instanzen (Schlüsseltresore) unterstützen das direkte Synchronisieren mit dem Speicherkonto und das regelmäßige automatische Rotieren der Schlüssel. Die Verwendung eines Schlüsseltresors sorgt für eine zusätzliche Sicherheitsebene, da für die App ein Zugriffsschlüssel niemals direkt verwendet werden muss.

Shared Access Signatures (SAS)

Zugriffsschlüssel sind der einfachste Ansatz für die Authentifizierung des Zugriffs auf ein Speicherkonto. Sie bieten jedoch Vollzugriff auf alles im Speicherkonto, ähnlich einem Stammkennwort auf einem Computer.

Für Speicherkonten ist der separate Authentifizierungsmechanismus Shared Access Signatures verfügbar, mit dem der Ablauf und eingeschränkte Berechtigungen für Szenarios unterstützt werden, in denen Sie eingeschränkten Zugriff gewähren müssen. Sie sollten diesen Ansatz verwenden, wenn Sie anderen Benutzern für Ihr Speicherkonto das Lesen und Schreiben von Daten erlauben möchten. Am Ende des Moduls finden Sie Links zu unserer Dokumentation zu diesem weiterführenden Thema.