Blobok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval
Az Azure Storage támogatja a Microsoft Entra ID használatát a blobadatokra irányuló kérések engedélyezéséhez. A Microsoft Entra ID-val azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) adhat engedélyeket egy biztonsági tagnak, amely lehet felhasználó, csoport vagy alkalmazásszolgáltatás-tag. A biztonsági tagot a Microsoft Entra ID hitelesíti egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat ezután a Blob szolgáltatással kapcsolatos kérések engedélyezésére használható.
A Microsoft Entra-azonosítóval rendelkező engedélyezés minden általános célú és Blob Storage-fiókhoz elérhető az összes nyilvános régióban és nemzeti felhőben. Csak az Azure Resource Manager-alapú üzemi modellel létrehozott tárfiókok támogatják a Microsoft Entra engedélyezését.
Fontos
Az optimális biztonság érdekében a Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használva engedélyezze a blob-, üzenetsor- és táblaadatokra vonatkozó kéréseket, amikor csak lehetséges. A Microsoft Entra-azonosítóval és felügyelt identitásokkal való engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál. Ha egy .NET-alkalmazáshoz szeretne felügyelt identitást engedélyezni és használni, tekintse meg az Azure-ban üzemeltetett alkalmazások azure-erőforrásokhoz való hitelesítését a .NET-tel.
Az Azure-on kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon az Azure Arc-kompatibilis kiszolgálókon.
Olyan esetekben, amikor közös hozzáférésű jogosultságkódokat (SAS) használnak, a Microsoft egy felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett a Microsoft Entra hitelesítő adatai védik. A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Korlátozott hozzáférés biztosítása közös hozzáférésű jogosultságkódokkal rendelkező adatokhoz. A felhasználói delegálási SAS .NET-sel való létrehozását és használatát ismertető példa: Felhasználói delegálási SAS létrehozása egy .NET-blobhoz.
A Blobokhoz készült Microsoft Entra-azonosító áttekintése
Amikor egy biztonsági tag (egy felhasználó, csoport vagy alkalmazás) megpróbál hozzáférni egy bloberőforráshoz, a kérést engedélyezni kell, kivéve, ha az egy névtelen hozzáférésre elérhető blob. A Microsoft Entra-azonosítóval az erőforráshoz való hozzáférés kétlépéses folyamat:
Először a rendszer hitelesíti a biztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad vissza.
A hitelesítési lépés megköveteli, hogy egy alkalmazás futásidőben OAuth 2.0 hozzáférési jogkivonatot kérjen. Ha egy alkalmazás egy Azure-entitáson belül fut, például Egy Azure-beli virtuális gépről, egy virtuálisgép-méretezési csoportról vagy egy Azure Functions-alkalmazásról, a blobadatok eléréséhez felügyelt identitást használhat.
Ezután a rendszer a jogkivonatot egy kérés részeként továbbítja a Blob szolgáltatásnak, és a szolgáltatás a megadott erőforráshoz való hozzáférés engedélyezésére használja.
Az engedélyezési lépéshez egy vagy több Azure RBAC-szerepkört kell hozzárendelni a kérést küldő biztonsági taghoz. További információ: Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz.
Microsoft Entra-fiók használata portállal, PowerShell-lel vagy Azure CLI-vel
Ha tudni szeretné, hogyan férhet hozzá adatokhoz az Azure Portalon Egy Microsoft Entra-fiókkal, tekintse meg az Azure Portalról való adathozzáférést. Az Azure PowerShell- vagy Azure CLI-parancsok Microsoft Entra-fiókkal való meghívásáról további információt a PowerShellből vagy az Azure CLI-ből származó adathozzáférés című témakörben talál.
Hozzáférés engedélyezése az alkalmazáskódban a Microsoft Entra-azonosító használatával
Ha engedélyezni szeretné az Azure Storage-hoz való hozzáférést a Microsoft Entra-azonosítóval, az alábbi ügyfélkódtárak egyikével szerezhet be egy OAuth 2.0-jogkivonatot:
- Az Azure Identity-ügyfélkódtár a legtöbb fejlesztési forgatókönyvhez ajánlott.
- A Microsoft Authentication Library (MSAL) alkalmas lehet bizonyos speciális helyzetekben.
Azure Identity-ügyfélkódtár
Az Azure Identity-ügyfélkódtár leegyszerűsíti az OAuth 2.0 hozzáférési jogkivonat lekérését a Microsoft Entra ID-val való engedélyezéshez az Azure SDK-on keresztül. A .NET, Java, Python, JavaScript és Go Azure Storage-ügyfélkódtárak legújabb verziói integrálhatók az Egyes nyelvek Azure Identity-kódtáraival, így egyszerű és biztonságos módon szerezhetnek be hozzáférési jogkivonatot az Azure Storage-kérelmek engedélyezéséhez.
Az Azure Identity-ügyfélkódtár előnye, hogy lehetővé teszi, hogy ugyanazt a kódot használja a hozzáférési jogkivonat beszerzéséhez, függetlenül attól, hogy az alkalmazás a fejlesztési környezetben vagy az Azure-ban fut. Az Azure Identity ügyfélkódtár egy hozzáférési jogkivonatot ad vissza egy biztonsági tag számára. Ha a kód az Azure-ban fut, a biztonsági tag lehet az Azure-erőforrások felügyelt identitása, egy szolgáltatásnév vagy egy felhasználó vagy csoport. A fejlesztői környezetben az ügyfélkódtár egy hozzáférési jogkivonatot biztosít egy felhasználó vagy egy egyszerű szolgáltatás számára tesztelési célokra.
Az Azure Identity ügyfélkódtár által visszaadott hozzáférési jogkivonatot a rendszer egy jogkivonat hitelesítő adataiba foglalja bele. Ezután a jogkivonat hitelesítő adataival lekérhet egy szolgáltatásügyfél-objektumot, amelyet az Azure Storage-beli engedélyezett műveletek végrehajtásához használhat. A hozzáférési jogkivonat és a token hitelesítő adatainak lekérésének egyszerű módja az Azure Identity ügyfélkódtár által biztosított DefaultAzureCredential osztály használata. A DefaultAzureCredential több különböző hitelesítő adattípus egymás után történő kipróbálásával próbálja lekérni a jogkivonat hitelesítő adatait. A DefaultAzureCredential mind a fejlesztési környezetben, mind az Azure-ban működik.
Az alábbi táblázat további információkra mutat az adatokhoz való hozzáférés engedélyezéséhez különböző forgatókönyvekben:
Microsoft Authentication Library (MSAL)
Bár a Microsoft azt javasolja, hogy lehetőség szerint használja az Azure Identity-ügyfélkódtárat, az MSAL-kódtár alkalmas lehet bizonyos speciális helyzetekben való használatra. További információ: MSAL.
Ha az MSAL használatával szerez be egy OAuth-jogkivonatot az Azure Storage-hoz való hozzáféréshez, meg kell adnia egy Microsoft Entra-erőforrás-azonosítót. A Microsoft Entra erőforrás-azonosítója azt a célközönséget jelzi, amely számára egy kibocsátott jogkivonat használható az Azure-erőforrásokhoz való hozzáférés biztosítására. Az Azure Storage esetében az erőforrás-azonosító egyetlen tárfiókra vonatkozhat, vagy bármely tárfiókra vonatkozhat.
Ha egy adott tárfiókra és szolgáltatásra jellemző erőforrás-azonosítót ad meg, az erőforrás-azonosító egy jogkivonat beszerzésére szolgál, amely csak a megadott fiókra és szolgáltatásra irányuló kérelmek engedélyezésére szolgál. Az alábbi táblázat az erőforrás-azonosítóhoz használandó értéket sorolja fel a használt felhő alapján. Cserélje le a <account-name>
kifejezést a tárfiókja nevére.
Felhőbeli | Erőforrás-azonosító |
---|---|
Azure Global | https://<account-name>.blob.core.windows.net |
Azure Government | https://<account-name>.blob.core.usgovcloudapi.net |
Azure China 21Vianet | https://<account-name>.blob.core.chinacloudapi.cn |
Megadhat egy erőforrás-azonosítót is, amely bármely tárfiókra érvényes, ahogy az az alábbi táblázatban is látható. Ez az erőforrás-azonosító minden nyilvános és szuverén felhő esetében ugyanaz, és egy jogkivonat beszerzésére szolgál a tárfiókokra irányuló kérések engedélyezéséhez.
Felhőbeli | Erőforrás-azonosító |
---|---|
Azure Global Azure Government Azure China 21Vianet |
https://storage.azure.com/ |
Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz
A Microsoft Entra hozzáférési jogosultságokat engedélyez az erőforrások védelméhez az Azure RBAC-en keresztül. Az Azure Storage beépített RBAC-szerepkörök készletét határozza meg, amelyek a blobadatok eléréséhez használt közös engedélykészleteket foglalják magukban. A blobadatokhoz való hozzáféréshez egyéni szerepköröket is definiálhat. Ha többet szeretne megtudni az Azure-szerepkörök blobhozzáféréshez való hozzárendeléséről, olvassa el az Azure-szerepkörök blobadatokhoz való hozzáféréshez való hozzárendelését ismertető témakört.
A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz. A biztonsági taghoz rendelt RBAC-szerepkörök határozzák meg azokat az engedélyeket, amelyekkel az egyszerű felhasználó rendelkezik a megadott erőforráshoz. Ha többet szeretne tudni az Azure-szerepkörök blobhozzáféréshez való hozzárendeléséről, olvassa el az Azure-szerepkörök blobadatokhoz való hozzáféréshez való hozzárendelését ismertető témakört .
Bizonyos esetekben előfordulhat, hogy engedélyeznie kell a bloberőforrásokhoz való részletes hozzáférést, vagy egyszerűsíteni kell az engedélyeket, ha nagy számú szerepkör-hozzárendeléssel rendelkezik egy tárerőforráshoz. Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) használatával konfigurálhatja a szerepkör-hozzárendelések feltételeit. A feltételeket egyéni szerepkörrel is használhatja, vagy kiválaszthatja a beépített szerepköröket. További információ az Azure Storage-erőforrások ABAC-vel való konfigurálásáról: Blobok hozzáférésének engedélyezése Azure-szerepkör-hozzárendelési feltételekkel (előzetes verzió). A blobadat-műveletek támogatott feltételeiről további információt az Azure Storage azure-beli szerepkör-hozzárendelési feltételeinek műveletei és attribútumai (előzetes verzió) című témakörben talál.
Feljegyzés
Azure Storage-fiók létrehozásakor a rendszer nem rendeli hozzá automatikusan az adatok Microsoft Entra-azonosítón keresztüli eléréséhez szükséges engedélyeket. Kifejezetten azure-szerepkört kell hozzárendelnie a Blob Storage-hoz való hozzáféréshez. Hozzárendelheti az előfizetés, az erőforráscsoport, a tárfiók vagy a tároló szintjén.
Erőforrás hatóköre
Mielőtt Azure RBAC-szerepkört rendel egy biztonsági taghoz, határozza meg, hogy milyen hozzáférési hatókörrel kell rendelkeznie a biztonsági tagnak. Az ajánlott eljárások azt diktálják, hogy mindig a lehető legszűkebb hatókört érdemes megadni. A szélesebb hatókörben definiált Azure RBAC-szerepköröket az alattuk lévő erőforrások öröklik.
Az Azure Blob-erőforrásokhoz való hozzáférést a következő szinteken, a legszűkebb hatókörtől kezdve használhatja:
- Egy különálló tároló. Ebben a hatókörben a szerepkör-hozzárendelés a tároló összes blobjára, valamint a tároló tulajdonságaira és metaadataira vonatkozik.
- A tárfiók. Ebben a hatókörben a szerepkör-hozzárendelés az összes tárolóra és blobra vonatkozik.
- Az erőforráscsoport. Ebben a hatókörben a szerepkör-hozzárendelés az erőforráscsoport összes tárfiókjában lévő összes tárolóra vonatkozik.
- Az előfizetés. Ebben a hatókörben a szerepkör-hozzárendelés az előfizetés összes erőforráscsoportjának összes tárfiókjában lévő összes tárolóra vonatkozik.
- Egy felügyeleti csoport. Ebben a hatókörben a szerepkör-hozzárendelés a felügyeleti csoport összes előfizetésében lévő összes erőforráscsoport összes tárfiókjában lévő összes tárolóra vonatkozik.
További információ az Azure RBAC-szerepkör-hozzárendelések hatóköréről: Az Azure RBAC hatókörének ismertetése.
Azure beépített szerepkörök blobokhoz
Az Azure RBAC számos beépített szerepkört biztosít a blobadatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID és az OAuth használatával. Néhány példa az Azure Storage-beli adaterőforrások engedélyeit biztosító szerepkörökre:
- Storage Blob Data Owner: Az Azure Data Lake Storage POSIX-hozzáférés-vezérlésének beállítására és kezelésére használható. További információ: Hozzáférés-vezérlés az Azure Data Lake Storage-ban.
- Storage-blobadatok közreműködője: Olvasási/írási/törlési engedélyeket adhat a Blob Storage-erőforrásoknak.
- Storage-blobadatok olvasója: Csak olvasási engedélyeket adhat a Blob Storage-erőforrásoknak.
- Storage-blobadatok delegátora: Lekérhet egy felhasználódelegálási kulcsot, amellyel létrehozhat egy Microsoft Entra-hitelesítő adatokkal aláírt, közös hozzáférésű jogosultságkódot egy tároló vagy blob számára.
Ha tudni szeretné, hogyan rendelhet azure-beli beépített szerepkört egy biztonsági taghoz, olvassa el a Blob-adatokhoz való hozzáféréshez szükséges Azure-szerepkörök hozzárendelése című témakört. Az Azure RBAC-szerepkörök és azok engedélyeinek listázásához tekintse meg az Azure-szerepkördefiníciók listáját.
A beépített szerepkörök Azure Storage-hoz való definiálásáról további információt a szerepkördefiníciók ismertetése című témakörben talál. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörökben talál.
Csak az adathozzáféréshez explicit módon definiált szerepkörök teszik lehetővé a biztonsági tagok számára a blobadatok elérését. A beépített szerepkörök, például a Tulajdonos, a Közreműködő és a Tárfiók közreműködője lehetővé teszik a biztonsági tagok számára a tárfiókok kezelését, de nem biztosítanak hozzáférést a fiók blobadataihoz a Microsoft Entra-azonosítón keresztül. Ha azonban egy szerepkör tartalmazza a Microsoft.Storage/storageAccounts/listKeys/action függvényt, akkor a szerepkörrel rendelkező felhasználók a fiók hozzáférési kulcsaival megosztott kulcsok engedélyezésével férhetnek hozzá a tárfiók adataihoz. További információ: A blobadatokhoz való hozzáférés engedélyezése az Azure Portalon.
Az Azure Storage beépített Azure-szerepköreiről az adatszolgáltatásokhoz és a felügyeleti szolgáltatáshoz készült Azure-beli beépített szerepkörökről az Azure RBAC beépített Azure-szerepköreinek Storage szakaszában olvashat. Emellett az Azure-ban engedélyeket biztosító szerepkörök különböző típusaival kapcsolatos információkért tekintse meg az Azure-szerepköröket, a Microsoft Entra szerepköröket és a klasszikus előfizetés-rendszergazdai szerepköröket.
Fontos
Az Azure-szerepkör-hozzárendelések propagálása akár 30 percet is igénybe vehet.
Hozzáférési engedélyek adatműveletekhez
Az adott Blob-szolgáltatásműveletek meghívásához szükséges engedélyekkel kapcsolatos részletekért tekintse meg az adatműveletek hívásához szükséges engedélyeket.
Adatok elérése Microsoft Entra-fiókkal
A blobadatokhoz való hozzáférés az Azure Portalon, a PowerShellen vagy az Azure CLI-n keresztül a felhasználó Microsoft Entra-fiókjával vagy a fiók hozzáférési kulcsaival (megosztott kulcs engedélyezése) engedélyezhető.
Figyelemfelhívás
A megosztott kulccsal való engedélyezés nem ajánlott, mivel kevésbé biztonságos. Az optimális biztonság érdekében tiltsa le a megosztott kulccsal történő engedélyezést a tárfiókhoz, az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című cikkben leírtak szerint.
A hozzáférési kulcsok és a kapcsolati sztring használatát a koncepcióalkalmazások vagy a fejlesztési prototípusok kezdeti ellenőrzésére kell korlátozni, amelyek nem férnek hozzá éles vagy bizalmas adatokhoz. Ellenkező esetben az Azure SDK-ban elérhető jogkivonatalapú hitelesítési osztályokat mindig előnyben kell részesíteni az Azure-erőforrásokhoz való hitelesítéskor.
A Microsoft azt javasolja, hogy az ügyfelek a Microsoft Entra-azonosítót vagy a közös hozzáférésű jogosultságkódot (SAS) használják az Azure Storage-adatokhoz való hozzáférés engedélyezéséhez. További információ: Műveletek engedélyezése adathozzáféréshez.
Adathozzáférés az Azure Portalról
Az Azure Portal használhatja a Microsoft Entra-fiókját vagy a fiók hozzáférési kulcsait egy Azure Storage-fiók blobadatainak eléréséhez. Az Azure Portal által használt engedélyezési séma az Önhöz rendelt Azure-szerepköröktől függ.
Amikor blobadatokat próbál elérni, az Azure Portal először ellenőrzi, hogy hozzárendelték-e Azure-szerepkört a Microsoft.Storage/storageAccounts/listkeys/action szolgáltatáshoz. Ha ezzel a művelettel szerepkörhöz lett hozzárendelve, akkor az Azure Portal a fiókkulcsot használja a blobadatok megosztott kulcsos hitelesítéssel való eléréséhez. Ha még nem rendelt hozzá szerepkört ezzel a művelettel, akkor az Azure Portal megkísérli elérni az adatokat a Microsoft Entra-fiókjával.
Ha a Microsoft Entra-fiókjával szeretné elérni a blobadatokat az Azure Portalról, engedélyekre van szüksége a blobadatok eléréséhez, és engedélyekre is szüksége van az Azure Portal tárfiók-erőforrásainak navigálásához. Az Azure Storage által biztosított beépített szerepkörök hozzáférést biztosítanak a bloberőforrásokhoz, de nem adnak engedélyeket a tárfiók erőforrásaihoz. A portálhoz való hozzáféréshez ezért egy olyan Azure Resource Manager-szerepkör hozzárendelésére is szükség van, amelynek hatóköre legalább a tárfiók szintjére kiterjed (például az Olvasó szerepkör). Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz. Azzal kapcsolatban, hogyan adhat a Microsoft Entra-fiókkal rendelkező felhasználóknak adathozzáférést biztosító engedélyeket, lásd a blobadatokhoz való hozzáférést biztosító Azure-szerepkör hozzárendelését ismertető cikket.
Amikor egy tárolóhoz lép, az Azure Portal jelzi, hogy melyik engedélyezési séma van használatban. A portálon való adathozzáféréssel kapcsolatos további információkért lásd az Azure Portalon a blobadatokhoz való hozzáférés engedélyezési módjának kiválasztását ismertető cikket.
Adathozzáférés a PowerShellből vagy az Azure CLI-ből
Az Azure CLI és a PowerShell támogatja a Microsoft Entra hitelesítő adataival való bejelentkezést. A bejelentkezés után a munkamenet ezen hitelesítő adatok alatt fut. További információért tekintse meg az alábbi cikkek egyikét:
- A blobadatokhoz való hozzáférés engedélyezési módjának kiválasztása az Azure CLI használatával
- PowerShell-parancsok futtatása Microsoft Entra hitelesítő adatokkal a blobadatok eléréséhez
Szolgáltatások támogatása
Ennek a funkciónak a támogatását befolyásolhatja a Data Lake Storage Gen2, a Network File System (NFS) 3.0 protokoll vagy az SSH File Transfer Protocol (SFTP) engedélyezése. Ha engedélyezte bármelyik funkciót, tekintse meg a Blob Storage szolgáltatástámogatását az Azure Storage-fiókokban a funkció támogatásának felméréséhez.
A Blob-adatműveletek Microsoft Entra-azonosítóval való engedélyezése csak a REST API 2017-11-09-es és újabb verzióiban támogatott. További információ: Verziószámozás az Azure Storage-szolgáltatásokhoz.