Verwalten von Blobcontainern mithilfe des Azure-Portals
Azure Blob Storage ermöglicht Ihnen das Speichern großer Mengen unstrukturierter Objektdaten. Mithilfe von Blob Storage können Sie Medien, Inhalte oder Anwendungsdaten für Benutzer sammeln oder verfügbar machen. Da alle Blobdaten in Containern gespeichert werden, müssen Sie einen Speichercontainer erstellen, bevor Sie mit dem Hochladen von Daten beginnen können. Weitere Informationen zu Blob Storage finden Sie unter Einführung in Azure Blob Storage.
In diesem Anleitungsartikel erfahren Sie, wie Sie im Azure-Portal mit Containerobjekten arbeiten.
Voraussetzungen
Sie benötigen ein Azure-Abonnement, um auf Azure Storage zuzugreifen. Wenn Sie noch kein Abonnement haben, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.
Der gesamte Zugriff auf Azure Storage erfolgt über ein Speicherkonto. Für diesen Anleitungsartikel erstellen Sie über das Azure-Portal mithilfe von Azure PowerShell oder über die Azure-Befehlszeilenschnittstelle ein Speicherkonto. Hilfe bei der Speicherkontoerstellung finden Sie unter Erstellen eines Speicherkontos.
Erstellen eines Containers
Ein Container dient zum Organisieren einer Gruppe von Blobs (ähnlich wie ein Verzeichnis in einem Dateisystem). Ein Speicherkonto kann eine unbegrenzte Anzahl von Containern enthalten, und in einem Container kann eine unbegrenzte Anzahl von Blobs gespeichert werden.
Führen Sie die folgenden Schritte aus, um einen Container über das Azure-Portal zu erstellen:
Wählen Sie auf der linken Seite des Bildschirms im Navigationsbereich des Portals die Option Speicherkonten und dann ein Speicherkonto aus. Wenn der Navigationsbereich nicht sichtbar ist, wählen Sie die Menüschaltfläche aus, um die Sichtbarkeit umzuschalten.
Scrollen Sie im Navigationsbereich für das Speicherkonto zum Abschnitt Datenspeicher, und wählen Sie Container aus.
Wählen Sie im Bereich Container die Schaltfläche + Container aus, um den Bereich Neuer Container zu öffnen.
Geben Sie im Bereich Neuer Container einen Namen für Ihren neuen Container an. Der Containername muss klein geschrieben werden, mit einem Buchstaben oder einer Zahl beginnen und darf nur Buchstaben, Zahlen und Bindestriche (-) enthalten. Der Name muss außerdem zwischen 3 und 63 Zeichen lang sein. Weitere Informationen zu Container- und Blobnamen finden Sie unter Naming and Referencing Containers, Blobs, and Metadata (Benennen von Containern, Blobs und Metadaten und Verweisen auf diese).
Legen Sie die Anonyme Zugriffsebene für den Container fest. Die empfohlene Ebene ist Privat (kein anonymer Zugriff). Informationen zum Verhindern des anonymen Zugriffs auf Blobdaten finden Sie unter Übersicht: Korrigieren des anonymen Lesezugriffs für Blobdaten.
Klicken Sie auf Erstellen, um den Container zu erstellen.
Lesen von Containereigenschaften und -metadaten
Ein Container macht sowohl Systemeigenschaften als auch benutzerdefinierte Metadaten verfügbar. Systemeigenschaften sind in jeder Blob Storage-Ressource vorhanden. Einige davon sind schreibgeschützt, während andere gelesen oder festgelegt werden können.
Benutzerdefinierte Metadaten bestehen aus mindestens einem Name-Wert-Paar, das Sie für eine Blob Storage-Ressource angeben. Metadaten können verwendet werden, um zusätzliche Werte mit der Ressource zu speichern. Metadatenwerte sind nur für Ihre eigenen Zwecke bestimmt und wirken sich nicht auf das Verhalten der Ressource aus.
Containereigenschaften
Führen Sie die folgenden Schritte aus, um die Eigenschaften eines Containers im Azure-Portal anzuzeigen:
Navigieren Sie zur Liste mit den Containern in Ihrem Speicherkonto.
Aktivieren Sie das Kontrollkästchen neben dem Namen des Containers, dessen Eigenschaften Sie anzeigen möchten.
Wählen Sie die Schaltfläche Mehr (...) des Containers und dann Containereigenschaften aus, um den Bereich Eigenschaften des Containers anzuzeigen.
Lesen und Schreiben von Containermetadaten
Benutzer mit einer großen Anzahl von Objekten in ihrem Speicherkonto können ihre Daten mithilfe von Metadaten logisch innerhalb von Containern organisieren.
Führen Sie die folgenden Schritte aus, um die Metadaten eines Containers im Azure-Portal zu verwalten:
Navigieren Sie zur Liste mit den Containern in Ihrem Speicherkonto.
Aktivieren Sie das Kontrollkästchen neben dem Namen des Containers, dessen Metadaten Sie verwalten möchten.
Wählen Sie die Schaltfläche Mehr (...) des Containers und dann Metadaten bearbeiten aus, um den Bereich Containermetadaten anzuzeigen.
Im Bereich Containermetadaten werden vorhandene Schlüssel-Wert-Paare der Metadaten angezeigt. Vorhandene Daten können bearbeitet werden, indem Sie einen vorhandenen Schlüssel oder Wert auswählen und die Daten überschreiben. Sie können zusätzliche Metadaten hinzufügen, indem Sie Daten in den leeren Feldern angeben. Wählen Sie schließlich Speichern aus, um Ihre Daten zu übernehmen.
Verwalten des Container- und Blobzugriffs
Die ordnungsgemäße Verwaltung des Zugriffs auf Container und ihre Blobs ist wichtig, um die Sicherheit Ihrer Daten zu gewährleisten. In den folgenden Abschnitten werden Möglichkeiten veranschaulicht, mit denen Sie Ihre Zugriffsanforderungen erfüllen können.
Verwalten von Azure RBAC-Rollenzuweisungen für den Container
Microsoft Entra ID bietet optimale Sicherheit für Blob Storage-Ressourcen. Die rollenbasierte Zugriffssteuerung in Azure (Azure RBAC) bestimmt, welche Berechtigungen ein Sicherheitsprinzipal für eine bestimmte Ressource hat. Um Zugriff auf einen Container zu gewähren, weisen Sie einem Benutzer, einer Gruppe, einem Dienstprinzipal oder einer verwalteten Identität eine RBAC-Rolle im Containerbereich oder in einem höheren Bereich zu. Sie können der Rollenzuweisung auch Bedingungen hinzufügen.
Informationen zur Zuweisung von Rollen finden Sie unter Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten.
Generieren einer freigegebenen Zugriffssignatur
Eine SAS (Shared Access Signature) bietet temporären, sicheren, delegierten Zugriff auf einen Client, der normalerweise nicht über Berechtigungen verfügt. Mit einer Shared Access Signature können Sie genau steuern, wie ein Client auf Ihre Daten zugreifen kann. So können Sie beispielsweise angeben, welche Ressourcen für den Client verfügbar sind. Sie können auch die Arten von Vorgängen einschränken, die der Client ausführen kann, und die Dauer angeben.
Azure unterstützt drei SAS-Typen: Eine Dienst-SAS ermöglicht den Zugriff auf eine Ressource in nur einem der folgenden Speicherdienste: Blob Storage, Queue Storage, Table Storage oder File Storage. Eine Konto-SAS ähnelt einer Dienst-SAS, kann jedoch den Zugriff auf Ressourcen in mehr als einem Speicherdienst zulassen. Eine SAS für die Benutzerdelegierung ist eine SAS, die mit Microsoft Entra-Anmeldeinformationen gesichert ist und nur mit dem Blob Storage-Dienst verwendet werden kann.
Wenn Sie eine SAS erstellen, können Sie Zugriffsbeschränkungen basierend auf Berechtigungsstufe, IP-Adresse oder Bereich oder Datum und Uhrzeit für Start und Ablauf festlegen. Weitere Informationen finden Sie unter Gewähren von eingeschränktem Zugriff auf Azure Storage-Ressourcen mithilfe von SAS (Shared Access Signature).
Achtung
Jeder Client, der über eine gültige SAS verfügt, kann auf Daten in Ihrem Speicherkonto zugreifen, sofern von dieser SAS zugelassen. Es ist wichtig, eine SAS vor böswilliger oder unbeabsichtigter Verwendung zu schützen. Verteilen Sie eine SAS mit Diskretion, und halten Sie einen Plan für den Widerruf einer kompromittierten SAS bereit.
Führen Sie die folgenden Schritte aus, um ein SAS-Token mithilfe des Azure-Portals zu generieren:
Navigieren Sie im Azure-Portal zu der Liste mit den Containern in Ihrem Speicherkonto.
Aktivieren Sie das Kontrollkästchen neben dem Namen des Containers, für den Sie ein SAS-Token generieren.
Wählen Sie die Schaltfläche Mehr (...) des Containers und dann SAS generieren aus, um den Bereich SAS generieren anzuzeigen.
Wählen Sie im Bereich SAS generieren den Wert Kontoschlüssel für das Feld Signaturmethode aus.
Wählen Sie im Feld Signaturmethode die Option Schlüsselkonto aus. Das Auswählen des Kontoschlüssels führt zur Erstellung einer Dienst-SAS.
Wählen Sie im Feld Signaturschlüssel den gewünschten Schlüssel aus, der zum Signieren der SAS verwendet werden soll.
Wählen Sie im Feld Gespeicherte Zugriffsrichtlinie die Option Keine aus.
Wählen Sie das Feld Berechtigungen aus, und aktivieren Sie dann die Kontrollkästchen für die gewünschten Berechtigungen.
Geben Sie im Abschnitt Datum/Uhrzeit für Start und Ablauf die gewünschten Datums-, Uhrzeit- und Zeitzonenwerte für Start und Ablauf ein.
Geben Sie im Feld Zugelassene IP-Adressen optional eine IP-Adresse oder einen Bereich mit IP-Adressen an, für die Anforderungen akzeptiert werden. Wenn die IP-Adresse der Anforderung nicht mit der IP-Adresse oder dem Adressbereich übereinstimmt, die bzw. der im SAS-Token angegeben ist, wird sie nicht autorisiert.
Geben Sie im Feld Zugelassene Protokolle optional das Protokoll an, das für die mit der SAS gestellten Anforderungen zulässig ist. Der Standardwert ist „HTTPS“.
Überprüfen Sie die Einstellungen auf ihre Richtigkeit, und wählen Sie dann SAS-Token und -URL generieren aus, um die Abfragezeichenfolgen für Blob SAS-Token und Blob-SAS-URL anzuzeigen.
Kopieren Sie die Werte für das Blob-SAS-Token und die Blob-SAS-URL, und fügen Sie sie an einem sicheren Ort ein. Diese Angaben werden nur einmal angezeigt und können nicht mehr abgerufen werden, nachdem das Fenster geschlossen wurde.
Hinweis
Das vom Portal zurückgegebene SAS-Token enthält nicht das Trennzeichen („?“) für die URL-Abfragezeichenfolge. Wenn Sie das SAS-Token an eine Ressourcen-URL anfügen, denken Sie daran, das Trennzeichen an die Ressourcen-URL anzufügen, bevor Sie das SAS-Token anfügen.
Erstellen einer gespeicherten Zugriffsrichtlinie oder einer Unveränderlichkeitsrichtlinie
Eine gespeicherte Zugriffsrichtlinie bietet Ihnen zusätzliche serverseitige Kontrolle über Shared Access Signatures. Wenn Sie eine SAS einer gespeicherten Zugriffsrichtlinie zuordnen, erbt die SAS die in der Richtlinie definierten Einschränkungen. Diese zusätzlichen Einschränkungen ermöglichen es Ihnen, die Startzeit, Ablaufzeit oder Berechtigungen für eine Signatur zu ändern. Sie können sie auch widerrufen, nachdem sie ausgestellt wurde.
Unveränderlichkeitsrichtlinien können verwendet werden, um Ihre Daten vor dem Überschreiben und Löschen zu schützen. Unveränderlichkeitsrichtlinien ermöglichen das Erstellen und Lesen von Objekten, verhindert jedoch für eine bestimmte Dauer, dass sie geändert oder gelöscht werden. Blob Storage unterstützt zwei Arten von Unveränderlichkeitsrichtlinien: Eine zeitbasierte Aufbewahrungsrichtlinie verbietet Schreib- und Löschvorgänge für einen festgelegten Zeitraum. Eine Aufbewahrungsrichtlinie für juristische Zwecke verbietet ebenfalls Schreib- und Löschvorgänge, muss jedoch explizit gelöscht werden, bevor diese Vorgänge fortgesetzt werden können.
Erstellen einer gespeicherten Zugriffsrichtlinie
Das Konfigurieren einer gespeicherten Zugriffsrichtlinie ist ein zweistufiger Prozess: Die Richtlinie muss zuerst definiert und anschließend auf den Container angewendet werden. Führen Sie die folgenden Schritte aus, um eine gespeicherte Zugriffsrichtlinie zu konfigurieren:
Navigieren Sie im Azure-Portal zu der Liste mit den Containern in Ihrem Speicherkonto.
Aktivieren Sie das Kontrollkästchen neben dem Namen des Containers, für den Sie ein SAS-Token generieren.
Wählen Sie die Schaltfläche Mehr (...) des Containers und dann Zugriffsrichtlinie aus, um den Bereich Zugriffsrichtlinie anzuzeigen.
Wählen Sie im Bereich Zugriffsrichtlinie im Abschnitt Gespeicherte Zugriffsrichtlinien die Option + Richtlinie hinzufügen aus, um den Bereich Richtlinie hinzufügen anzuzeigen. Alle vorhandenen Richtlinien werden im jeweils entsprechenden Abschnitt angezeigt.
Wählen Sie im Bereich Richtlinie hinzufügen das Feld Bezeichner aus, und fügen Sie einen Namen für Ihre neue Richtlinie hinzu.
Wählen Sie das Feld Berechtigungen aus, und aktivieren Sie dann die Kontrollkästchen für die gewünschten Berechtigungen für Ihre neue Richtlinie.
Geben Sie optional Datums-, Uhrzeit- und Zeitzonenwerte für die Felder Startzeit und Ablaufzeit an, um den Gültigkeitszeitraum der Richtlinie festzulegen.
Überprüfen Sie die Einstellungen auf ihre Richtigkeit, und wählen Sie dann OK aus, um den Bereich Zugriffsrichtlinie zu aktualisieren.
Achtung
Ihre Richtlinie wird jetzt zwar in der Tabelle Gespeicherte Zugriffsrichtlinie angezeigt, wurde aber noch nicht auf den Container angewendet. Wenn Sie zu diesem Zeitpunkt vom Bereich Zugriffsrichtlinie wegnavigieren, wird die Richtlinie nicht gespeichert oder angewendet, und Ihre Arbeit geht verloren.
Wählen Sie im Bereich Zugriffsrichtlinie die Option + Richtlinie hinzufügen aus, um eine weitere Richtlinie zu definieren, oder wählen Sie Speichern aus, um Ihre neue Richtlinie auf den Container anzuwenden. Nachdem Sie mindestens eine gespeicherte Zugriffsrichtlinie erstellt haben, können Sie andere SAS damit verknüpfen.
Erstellen einer Unveränderlichkeitsrichtlinie
Informieren Sie sich ausführlicher über das Konfigurieren von Unveränderlichkeitsrichtlinien für Container. Wenn Sie Unterstützung beim Implementieren von Unveränderlichkeitsrichtlinien benötigen, führen Sie die im Abschnitt Konfigurieren einer Aufbewahrungsrichtlinie für einen Container oder Konfigurieren oder Löschen einer Aufbewahrungrichtlinie für juristische Zwecke beschriebenen Schritte aus.
Verwalten von Leases
Eine Containerlease wird verwendet, um eine Sperre für Löschvorgänge einzurichten oder zu verwalten. Wenn eine Lease im Azure-Portal erworben wird, kann die Sperre nur mit einer unbegrenzten Dauer erstellt werden. Bei der programmgesteuerten Erstellung kann die Sperrdauer zwischen 15 und 60 Sekunden betragen oder unbegrenzt sein.
Es gibt fünf verschiedene Leasevorgangsmodi, im Azure-Portal sind jedoch nur zwei verfügbar:
Anwendungsfall | ||
---|---|---|
Anfordern einer neuen Lease | ✓ | |
Verlängern einer vorhandenen Lease | ||
Ändern der ID einer vorhandenen Lease | ||
Beenden der aktuellen Lease. Ermöglicht es anderen Clients, eine neue Lease zu erwerben. | ✓ | |
Beenden der aktuellen Lease. Verhindert, dass andere Clients während des aktuellen Leasezeitraums eine neue Lease erwerben. |
Abrufen einer Lease
Führen Sie die folgenden Schritte aus, um eine Lease im Azure-Portal zu erwerben:
Navigieren Sie im Azure-Portal zu der Liste mit den Containern in Ihrem Speicherkonto.
Aktivieren Sie das Kontrollkästchen neben dem Namen des Containers, für den Sie eine Lease erwerben.
Wählen Sie die Schaltfläche Mehr (...) des Containers und dann Lease erwerben aus, um eine neue Lease anzufordern und die Details im Bereich Leasestatus anzuzeigen.
Die Eigenschaftswerte für Container und Lease-ID der neu angeforderten Lease werden im Bereich Leasestatus angezeigt. Kopieren Sie diese Werte, und fügen Sie sie an einem sicheren Ort ein. Diese Angaben werden nur einmal angezeigt und können nicht mehr abgerufen werden, nachdem der Bereich geschlossen wurde.
Aufheben einer Lease
Führen Sie die folgenden Schritte aus, um eine Lease im Azure-Portal abzubrechen:
Navigieren Sie im Azure-Portal zu der Liste mit den Containern in Ihrem Speicherkonto.
Aktivieren Sie das Kontrollkästchen neben dem Namen des Containers, für den Sie eine Lease abbrechen.
Wählen Sie die Schaltfläche Mehr (...) des Containers und dann Lease abbrechen aus, um die Lease abzubrechen.
Nachdem die Lease abgebrochen wurde, wird der Wert für den Leasestatus des ausgewählten Containers aktualisiert, und eine Statusbestätigung wird angezeigt.
Löschen von Containern
Wenn Sie einen Container im Azure-Portal löschen, werden auch alle Blobs im Container gelöscht.
Warnung
Mithilfe der folgenden Schritte können Container und alle darin enthaltenen Blobs endgültig gelöscht werden. Microsoft empfiehlt die Aktivierung des vorläufigen Löschens für Container, um Container und Blobs vor versehentlichem Löschen zu schützen. Weitere Informationen finden Sie unter Vorläufiges Löschen für Container.
Führen Sie die folgenden Schritte aus, um einen Container über das Azure-Portal zu löschen:
Navigieren Sie im Azure-Portal zu der Liste mit den Containern in Ihrem Speicherkonto.
Wählen Sie den zu löschenden Container aus.
Wählen Sie die Schaltfläche Mehr ( ... ) und dann Löschen.
Bestätigen Sie im Dialogfeld Container löschen, dass Sie den Container löschen möchten.
In einigen Fällen können Container abgerufen werden,die gelöscht wurden. Wenn die Option zum Schutz von Daten vor vorläufigem Löschen in Ihrem Speicherkonto aktiviert ist, können Sie auf Container zugreifen, die innerhalb des zugewiesenen Aufbewahrungszeitraums gelöscht wurden. Weitere Informationen zum vorläufigen Löschen finden Sie in dem Artikel Vorläufiges Löschen für Container.
Anzeigen von vorläufig gelöschten Containern
Wenn vorläufiges Löschen aktiviert ist, können Sie vorläufig gelöschte Container im Azure-Portal anzeigen. Vorläufig gelöschte Container sind während des angegebenen Aufbewahrungszeitraums sichtbar. Nach Ablauf des Aufbewahrungszeitraums wird ein vorläufig gelöschter Container endgültig gelöscht und ist nicht mehr sichtbar.
Um vorläufig gelöschte Container im Azure-Portal anzuzeigen, führen Sie die folgenden Schritte aus:
Navigieren Sie im Azure-Portal zu Ihrem Speicherkonto, und zeigen Sie die Liste Ihrer Container an.
Legen Sie den Schalter Gelöschte Container anzeigen so fest, dass gelöschte Container in der Liste angezeigt werden.
Wiederherstellen eines vorläufig gelöschten Containers
Sie können einen vorläufig gelöschten Container und dessen Inhalte innerhalb des Aufbewahrungszeitraums wiederherstellen. Um einen vorläufig gelöschten Container im Azure-Portal wiederherzustellen, führen Sie die folgenden Schritte aus:
Navigieren Sie im Azure-Portal zu Ihrem Speicherkonto, und zeigen Sie die Liste Ihrer Container an.
Öffnen Sie das Kontextmenü für den Container, den Sie wiederherstellen möchten, und wählen Sie die Option Wiederherstellen aus.