Megosztás a következőn keresztül:


Tárolók és blobok névtelen olvasási hozzáférésének konfigurálása

Az Azure Storage támogatja a tárolók és blobok opcionális névtelen olvasási hozzáférését. Alapértelmezés szerint az adatokhoz való névtelen hozzáférés soha nem engedélyezett. Hacsak nem engedélyezi explicit módon a névtelen hozzáférést, a tárolóra és annak blobjaira irányuló összes kérést engedélyezni kell. Ha egy tároló hozzáférésiszint-beállítását úgy konfigurálja, hogy névtelen hozzáférést engedélyezhessen, az ügyfelek a kérés engedélyezése nélkül olvashatják az adatokat a tárolóban.

Figyelmeztetés

Ha egy tároló névtelen hozzáférésre van konfigurálva, minden ügyfél beolvassa az adatokat a tárolóban. A névtelen hozzáférés potenciális biztonsági kockázatot jelenthet, ezért ha a forgatókönyv nem követeli meg, javasoljuk, hogy a tárfiók névtelen hozzáférését orvosolja.

Ez a cikk bemutatja, hogyan konfigurálhat névtelen olvasási hozzáférést egy tárolóhoz és annak blobjaihoz. Az optimális biztonság érdekében a névtelen hozzáférés javításával kapcsolatos információkért tekintse meg az alábbi cikkek egyikét:

Tudnivalók a névtelen olvasási hozzáférésről

Az adatokhoz való névtelen hozzáférés alapértelmezés szerint mindig tilos. Két külön beállítás van, amelyek befolyásolják a névtelen hozzáférést:

  1. Névtelen hozzáférési beállítás a tárfiókhoz. Egy Azure Resource Manager-tárfiók olyan beállítást kínál, amely engedélyezi vagy letiltja a fiók névtelen hozzáférését. A Microsoft azt javasolja, hogy az optimális biztonság érdekében tiltsa le a névtelen hozzáférést a tárfiókokhoz.

    Ha a fiók szintjén engedélyezve van a névtelen hozzáférés, a blobadatok nem érhetők el névtelen olvasási hozzáféréshez, hacsak a felhasználó nem teszi meg a további lépést a tároló névtelen hozzáférési beállításának explicit konfigurálásához.

  2. Konfigurálja a tároló névtelen hozzáférési beállítását. Alapértelmezés szerint a tároló névtelen hozzáférési beállítása le van tiltva, ami azt jelenti, hogy a tárolóra vagy adataira irányuló minden kéréshez engedélyezésre van szükség. A megfelelő engedélyekkel rendelkező felhasználók módosíthatják a tároló névtelen hozzáférési beállítását, hogy csak akkor engedélyezzenek névtelen hozzáférést, ha a tárfiókhoz engedélyezve van a névtelen hozzáférés.

Az alábbi táblázat összefoglalja, hogy a két beállítás együttesen hogyan befolyásolja a tároló névtelen hozzáférését.

A tároló névtelen hozzáférési szintje privátra van állítva (alapértelmezett beállítás) A tároló névtelen hozzáférési szintje tárolóra van állítva A tároló névtelen hozzáférési szintje blobra van állítva
A névtelen hozzáférés nincs engedélyezve a tárfiókhoz Nincs névtelen hozzáférés a tárfiókban lévő tárolókhoz. Nincs névtelen hozzáférés a tárfiókban lévő tárolókhoz. A tárfiók beállítása felülírja a tárolóbeállítást. Nincs névtelen hozzáférés a tárfiókban lévő tárolókhoz. A tárfiók beállítása felülírja a tárolóbeállítást.
Névtelen hozzáférés engedélyezett a tárfiókhoz Nincs névtelen hozzáférés ehhez a tárolóhoz (alapértelmezett konfiguráció). A tárolóhoz és annak blobjaihoz névtelen hozzáférés engedélyezett. A névtelen hozzáférés a tárolóban lévő blobok számára engedélyezett, magát a tárolót azonban nem.

Ha egy tárfiókhoz engedélyezve van a névtelen hozzáférés, és egy adott tárolóhoz van konfigurálva, akkor a szolgáltatás elfogadja a fejléc nélkül Authorization átadott blob olvasására vonatkozó kérést, és a blob adatai a válaszban lesznek visszaadva. Ha azonban a kérést fejlécmel Authorization továbbítja a rendszer, a rendszer figyelmen kívül hagyja a tárfiók névtelen hozzáférését, és a kérés a megadott hitelesítő adatok alapján van engedélyezve.

Tárfiók névtelen olvasási hozzáférésének engedélyezése vagy letiltása

Ha egy tárfiókhoz engedélyezve van a névtelen hozzáférés, a megfelelő engedélyekkel rendelkező felhasználók módosíthatják a tároló névtelen hozzáférési beállítását, hogy névtelen hozzáférést tegyenek lehetővé az adott tárolóban lévő adatokhoz. A blobadatok soha nem érhetők el névtelen hozzáféréshez, hacsak a felhasználó nem tesz meg egy további lépést a tároló névtelen hozzáférési beállításának explicit konfigurálásához.

Ne feledje, hogy a tárolóhoz való névtelen hozzáférés alapértelmezés szerint mindig ki van kapcsolva, és kifejezetten konfigurálva kell lennie a névtelen kérések engedélyezéséhez. A tárfiók beállításától függetlenül az adatok soha nem lesznek elérhetők névtelen hozzáférésre, hacsak egy megfelelő engedélyekkel rendelkező felhasználó nem teszi meg ezt a további lépést a tároló névtelen hozzáférésének engedélyezéséhez.

A tárfiók névtelen hozzáférésének letiltása felülbírálja a tárfiók összes tárolójának hozzáférési beállításait, így megakadályozza a blobadatokhoz való névtelen hozzáférést az adott fiókban. Ha a névtelen hozzáférés nincs engedélyezve a fiókhoz, nem lehet konfigurálni a tároló hozzáférési beállítását a névtelen hozzáférés engedélyezéséhez, és a fiókhoz érkező jövőbeli névtelen kérések meghiúsulnak. Mielőtt módosítaná ezt a beállítást, győződjön meg arról, hogy milyen hatással lehet azokra az ügyfélalkalmazásokra, amelyek névtelenül férnek hozzá a tárfiók adataihoz. További információ: Tárolók és blobok névtelen olvasási hozzáférésének megakadályozása.

Fontos

Miután a névtelen hozzáférés nincs engedélyezve egy tárfiókhoz, a névtelen tulajdonosi kihívást használó ügyfelek azt tapasztalják, hogy az Azure Storage 403-at (Tiltott) ad vissza a 401-hiba (Jogosulatlan) helyett. Javasoljuk, hogy minden tárolót privátsá tegyen a probléma megoldásához. A tárolók névtelen hozzáférési beállításának módosításáról további információt a tároló hozzáférési szintjének beállítása című témakörben talál.

A névtelen hozzáférés engedélyezéséhez vagy letiltásához az Azure Storage-erőforrás-szolgáltató 2019-04-01-es vagy újabb verziójára van szükség. További információ: Azure Storage Resource Provider REST API.

A névtelen hozzáférés engedélyezésének letiltására vonatkozó engedélyek

A tárfiók AllowBlobAnonymousAccess tulajdonságának beállításához a felhasználónak rendelkeznie kell a tárfiókok létrehozásához és kezeléséhez szükséges engedélyekkel. Az ilyen engedélyeket biztosító Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök közé tartozik a Microsoft.Storage/StorageAccounts/write művelet. A művelettel beépített szerepkörök a következők:

A szerepkör-hozzárendeléseket a tárfiók szintjére kell korlátozni, hogy a felhasználó letilthassa a tárfiók névtelen hozzáférését. A szerepkörök hatóköréről további információt az Azure RBAC hatókörének ismertetése című témakörben talál.

Ügyeljen arra, hogy csak azokra a rendszergazdai felhasználókra korlátozza a szerepkörök hozzárendelését, akiknek szükségük van egy tárfiók létrehozására vagy tulajdonságainak frissítésére. Használja a minimális jogosultság elvét annak biztosítására, hogy a felhasználók a legkevesebb engedéllyel rendelkezzenek a feladataik elvégzéséhez. Az Azure RBAC-hozzáférés kezelésével kapcsolatos további információkért tekintse meg az Azure RBAC ajánlott eljárásait.

Ezek a szerepkörök nem biztosítanak hozzáférést a tárfiókban lévő adatokhoz a Microsoft Entra-azonosítón keresztül. Ezek közé tartozik azonban a Microsoft.Storage/StorageAccounts/listkeys/action, amely hozzáférést biztosít a fiók hozzáférési kulcsaihoz. Ezzel az engedéllyel a felhasználó a fiók hozzáférési kulcsaival hozzáférhet a tárfiók összes adatához.

A Microsoft.Storage/storageAccounts/listkeys/action maga biztosít adathozzáférést a fiókkulcsokon keresztül, de nem teszi lehetővé a felhasználó számára a tárfiók AllowBlobPublicAccess tulajdonságának módosítását. Azoknak a felhasználóknak, akiknek a tárfiókban lévő adatokhoz kell hozzáférniük, de nem módosíthatják a tárfiók konfigurációját, érdemes lehet olyan szerepköröket hozzárendelni, mint a Storage Blob Data Contributor, a Storage Blob Data Reader vagy a Reader and Data Access.

Feljegyzés

A klasszikus előfizetés-rendszergazdai szerepkörök közé tartozik a Szolgáltatásadminisztrátor és a Társadminisztrátor, amely az Azure Resource Manager tulajdonosi szerepkörével egyenértékű. A Tulajdonos szerepkör minden műveletet tartalmaz, így az ilyen felügyeleti szerepkörökkel rendelkező felhasználók tárfiókokat is létrehozhatnak, és kezelhetik a fiókkonfigurációt. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.

A tárfiók AllowBlobPublicAccess tulajdonságának beállítása

A tárfiók névtelen hozzáférésének engedélyezéséhez vagy letiltásához állítsa be a fiók AllowBlobPublicAccess tulajdonságát. Ez a tulajdonság az Azure Resource Manager-alapú üzemi modellel létrehozott összes tárfiókhoz elérhető. További információ: Tárfiókok áttekintése.

Ha engedélyezni vagy letiltani szeretné a névtelen hozzáférést egy tárfiókhoz az Azure Portalon, kövesse az alábbi lépéseket:

  1. Navigáljon az Azure portálon a címen a tárolófiókjához.

  2. Keresse meg a Konfiguráció beállítást a Beállítások területen.

  3. Állítsa be a Blob névtelen hozzáférésének engedélyezése engedélyezve vagy letiltva beállítását.

    Képernyőkép a fiók névtelen hozzáférésének engedélyezéséről vagy letiltásáról

Feljegyzés

A tárfiókok névtelen hozzáférésének letiltása nem érinti az adott tárfiókban üzemeltetett statikus webhelyeket. A $web tároló mindig nyilvánosan elérhető.

A tárfiók névtelen hozzáférési beállításának frissítése után a módosítás teljes propagálása akár 30 másodpercig is eltarthat.

Ha egy tároló névtelen hozzáférésre van konfigurálva, a tárolóban lévő blobok olvasására irányuló kéréseket nem kell engedélyezni. A tárfiókhoz konfigurált tűzfalszabályok azonban érvényben maradnak, és letiltják a forgalmat a konfigurált ACL-ekkel.

A névtelen hozzáférés engedélyezéséhez vagy letiltásához az Azure Storage-erőforrás-szolgáltató 2019-04-01-es vagy újabb verziójára van szükség. További információ: Azure Storage Resource Provider REST API.

Az ebben a szakaszban szereplő példák azt mutatták be, hogyan olvashatja el a tárfiók AllowBlobPublicAccess tulajdonságát annak megállapításához, hogy a névtelen hozzáférés jelenleg engedélyezett vagy nem engedélyezett-e. Ha szeretné megtudni, hogyan ellenőrizheti, hogy egy fiók névtelen hozzáférési beállítása konfigurálva van-e a névtelen hozzáférés megakadályozására, olvassa el a tárfiók névtelen hozzáférésének szervizelését ismertető témakört.

Tároló névtelen hozzáférési szintjének beállítása

Ha névtelen felhasználók számára olvasási hozzáférést szeretne biztosítani egy tárolóhoz és annak blobjaihoz, először engedélyezze a névtelen hozzáférést a tárfiókhoz, majd állítsa be a tároló névtelen hozzáférési szintjét. Ha a tárfiókhoz megtagadja a névtelen hozzáférést, nem fogja tudni konfigurálni a tároló névtelen hozzáférését.

Figyelemfelhívás

A Microsoft azt javasolja, hogy ne engedélyezhessen névtelen hozzáférést a blobadatokhoz a tárfiókban.

Ha névtelen hozzáférés engedélyezett egy tárfiókhoz, konfigurálhat egy tárolót a következő engedélyekkel:

  • Nincs nyilvános olvasási hozzáférés: A tároló és a blobok csak engedélyezett kéréssel érhetők el. Ez a beállítás az összes új tároló alapértelmezett beállítása.
  • Csak blobok nyilvános olvasási hozzáférése: A tárolón belüli blobok névtelen kéréssel olvashatók, de a tároló adatai névtelenül nem érhetők el. A névtelen ügyfelek nem tudják számbavenni a tárolón belüli blobokat.
  • Nyilvános olvasási hozzáférés a tárolóhoz és annak blobjaihoz: A tároló- és blobadatok névtelen kéréssel olvashatók, kivéve a tárolóengedély-beállításokat és a tároló metaadatait. Az ügyfelek névtelen kéréssel számba tudják venni a tárolón belüli blobokat, de a tárfiókon belüli tárolókat nem tudják számba venni.

Az egyes blobok névtelen hozzáférési szintjét nem módosíthatja. A névtelen hozzáférési szint csak a tároló szintjén van beállítva. A tároló létrehozásakor beállíthatja a tároló névtelen hozzáférési szintjét, vagy frissítheti a beállítást egy meglévő tárolón.

Ha frissíteni szeretné egy vagy több meglévő tároló névtelen hozzáférési szintjét az Azure Portalon, kövesse az alábbi lépéseket:

  1. Nyissa meg a tárfiók áttekintését az Azure Portalon.

  2. A menüpanel Adattárolás területén válassza a Tárolók lehetőséget.

  3. Válassza ki azokat a tárolókat, amelyekhez meg szeretné adni a névtelen hozzáférési szintet.

  4. A hozzáférési szint módosítása gombbal megjelenítheti a névtelen hozzáférési beállításokat.

  5. Válassza ki a kívánt névtelen hozzáférési szintet a Névtelen hozzáférési szint legördülő listában, majd az OK gombra kattintva alkalmazza a módosítást a kijelölt tárolókra.

    Képernyőkép a névtelen hozzáférési szint beállításáról a portálon.

Ha a tárfiókhoz nincs engedélyezve a névtelen hozzáférés, a tároló névtelen hozzáférési szintje nem állítható be. Ha megkísérli beállítani a tároló névtelen hozzáférési szintjét, a beállítás le van tiltva, mert a névtelen hozzáférés nem engedélyezett a fiók számára.

Képernyőkép arról, hogy a tároló névtelen hozzáférési szintjének beállítása le lesz tiltva, ha a fiókhoz való névtelen hozzáférés nem engedélyezett

Tárolók névtelen hozzáférési beállításának ellenőrzése

A tárolók listázásával és a névtelen hozzáférési beállítás ellenőrzésével ellenőrizheti, hogy egy vagy több tárfiók mely tárolói vannak konfigurálva névtelen hozzáférésre. Ez a módszer akkor praktikus megoldás, ha egy tárfiók nem tartalmaz nagy számú tárolót, vagy ha a beállítást kis számú tárfiókban ellenőrzi. A teljesítmény azonban szenvedhet, ha nagy számú tárolót próbál számba adni.

Az alábbi példa a PowerShell használatával lekéri a tárfiók összes tárolójának névtelen hozzáférési beállítását. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
Get-AzStorageContainer -Context $ctx | Select Name, PublicAccess

Szolgáltatások támogatása

Ennek a funkciónak a támogatását befolyásolhatja a Data Lake Storage Gen2, a Network File System (NFS) 3.0 protokoll vagy az SSH File Transfer Protocol (SFTP) engedélyezése. Ha engedélyezte bármelyik funkciót, tekintse meg a Blob Storage szolgáltatástámogatását az Azure Storage-fiókokban a funkció támogatásának felméréséhez.

Következő lépések