A blobadatokhoz való hozzáférés engedélyezési módjának kiválasztása az Azure CLI használatával

Az Azure Storage olyan bővítményeket biztosít az Azure CLI-hez, amelyekkel megadhatja, hogyan szeretné engedélyezni a blobadatokon végzett műveleteket. Az adatműveleteket a következő módokon engedélyezheti:

  • Azure Active Directory (Azure AD) rendszerbiztonsági taggal. A Microsoft az Azure AD hitelesítő adatainak használatát javasolja a magas szintű biztonság és a könnyű használat érdekében.
  • A fiók hozzáférési kulcsával vagy egy közös hozzáférésű jogosultságkóddal (SAS-jogkivonattal).

Az adatműveletek engedélyezésének megadása

A blobadatok olvasására és írására szolgáló Azure CLI-parancsok tartalmazzák az opcionális --auth-mode paramétert. Adja meg ezt a paramétert az adatművelet engedélyezésének módjának jelzéséhez:

  • Állítsa be a --auth-mode paramétert úgy, hogy login egy Azure AD-rendszerbiztonsági tag használatával jelentkezzen be (ajánlott).
  • Állítsa a --auth-mode paramétert az örökölt key értékre, hogy megpróbálja lekérni az engedélyezéshez használandó fiók-hozzáférési kulcsot. Ha kihagyja a paramétert --auth-mode , az Azure CLI megkísérli lekérni a hozzáférési kulcsot is.

A paraméter használatához --auth-mode győződjön meg arról, hogy az Azure CLI 2.0.46-os vagy újabb verzióját telepítette. Futtassa az --version a telepített verzió ellenőrzéséhez.

Megjegyzés

Ha egy tárfiók azure-Resource Manager ReadOnly zárolással van zárolva, a Kulcsok listázása művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz írásvédett zárolás van konfigurálva. Ezért ha a fiók írásvédett zárolással van zárolva, a fiókkulcsokkal még nem rendelkező felhasználóknak Azure AD-hitelesítő adatokat kell használniuk a blobadatok eléréséhez.

Fontos

Ha kihagyja vagy beállítja a --auth-mode paramétert key, az Azure CLI megkísérli használni a fiók hozzáférési kulcsát az engedélyezéshez. Ebben az esetben a Microsoft azt javasolja, hogy adja meg a hozzáférési kulcsot a parancsban vagy a AZURE_STORAGE_KEY környezeti változóban. A környezeti változókkal kapcsolatos további információkért tekintse meg a környezeti változók beállítása engedélyezési paraméterekhez című szakaszt.

Ha nem adja meg a hozzáférési kulcsot, az Azure CLI megkísérli meghívni az Azure Storage erőforrás-szolgáltatót, hogy lekérje az egyes műveletekhez. Számos olyan adatművelet végrehajtása, amely az erőforrás-szolgáltató felé irányuló hívást igényel, szabályozáshoz vezethet. Az erőforrás-szolgáltató korlátaival kapcsolatos további információkért tekintse meg az Azure Storage erőforrás-szolgáltató skálázhatósági és teljesítménycéljait.

Engedélyezés Azure AD-hitelesítő adatokkal

Amikor Azure AD-hitelesítő adatokkal jelentkezik be az Azure CLI-be, a függvény egy OAuth 2.0 hozzáférési jogkivonatot ad vissza. Az Azure CLI automatikusan ezt a jogkivonatot használja a Blob- vagy Queue Storage-beli további adatműveletek engedélyezéséhez. A támogatott műveletekhez már nem kell fiókkulcsot vagy SAS-jogkivonatot átadnia a paranccsal.

Az Azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyeket rendelhet a blobadatokhoz egy Azure AD-rendszerbiztonsági taghoz. Az Azure-Storage Azure-szerepköreivel kapcsolatos további információkért lásd: Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez.

Adatműveletek meghívására vonatkozó engedélyek

Az Azure Storage-bővítmények a blobadatokon végzett műveletekhez támogatottak. A meghívható műveletek az Azure AD-beli rendszerbiztonsági tagnak megadott engedélyektől függ, amellyel bejelentkezik az Azure CLI-be. Az Azure Storage-tárolókra vonatkozó engedélyek az Azure RBAC-n keresztül vannak hozzárendelve. Ha például a Storage Blob-adatolvasó szerepkörrel rendelkezik, futtathat szkriptelési parancsokat, amelyek adatokat olvasnak egy tárolóból. Ha a Storage Blobadatok közreműködője szerepkörrel rendelkezik, futtathat szkriptelési parancsokat, amelyek beolvasnak, írnak vagy törölnek egy tárolót vagy a benne lévő adatokat.

A tárolók azure-Storage műveleteihez szükséges engedélyekkel kapcsolatos részletekért lásd: Tárolóműveletek meghívása OAuth-jogkivonatokkal.

Példa: Azure AD-hitelesítő adatokkal rendelkező tároló létrehozásához szükséges művelet engedélyezése

Az alábbi példa bemutatja, hogyan hozhat létre tárolót az Azure CLI-ből az Azure AD hitelesítő adataival. A tároló létrehozásához be kell jelentkeznie az Azure CLI-be, és szüksége lesz egy erőforráscsoportra és egy tárfiókra. Az erőforrások létrehozásának módjáról a gyorsútmutatóban olvashat: Blobok létrehozása, letöltése és listázása az Azure CLI-vel.

  1. A tároló létrehozása előtt rendelje hozzá a Storage Blobadatok közreműködője szerepkört saját magához. Annak ellenére, hogy Ön a fiók tulajdonosa, explicit engedélyekre van szüksége a tárfiókon végzett adatműveletek végrehajtásához. További információ az Azure-szerepkörök hozzárendeléséről: Azure-szerepkör hozzárendelése blobadatokhoz való hozzáféréshez.

    Fontos

    Az Azure-beli szerepkör-hozzárendelések propagálása eltarthat néhány percig.

  2. Hívja meg az az storage container create parancsot a --auth-mode paraméterkészlettel, hogy login az Azure AD hitelesítő adataival hozza létre a tárolót. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:

    az storage container create \
        --account-name <storage-account> \
        --name sample-container \
        --auth-mode login
    

Engedélyezés a fiók hozzáférési kulcsával

Ha rendelkezik a fiókkulccsal, bármilyen Azure Storage adatműveletet meghívhat. A fiókkulcs használata általában kevésbé biztonságos. Ha a fiókkulcs biztonsága sérül, a fiókban lévő összes adat biztonsága sérülhet.

Az alábbi példa bemutatja, hogyan hozhat létre tárolót a fiók hozzáférési kulcsával. Adja meg a fiókkulcsot, és adja meg a --auth-modekey paraméter értékét:

az storage container create \
    --account-name <storage-account> \
    --name sample-container \
    --account-key <key>
    --auth-mode key

Fontos

Ha egy tárfiók azure-Resource Manager ReadOnly zárolással van zárolva, a Kulcsok listázása művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz írásvédett zárolás van konfigurálva. Ezért ha a fiók írásvédett zárolással van zárolva, a felhasználóknak Azure AD-hitelesítő adatokkal kell hozzáférnie az adatokhoz.

Engedélyezés SAS-jogkivonattal

Ha rendelkezik SAS-jogkivonattal, meghívhatja az SAS által engedélyezett adatműveleteket. Az alábbi példa bemutatja, hogyan hozhat létre tárolót SAS-jogkivonattal:

az storage container create \
    --account-name <storage-account> \
    --name sample-container \
    --sas-token <token>

Környezeti változók beállítása engedélyezési paraméterekhez

Megadhatja az engedélyezési paramétereket a környezeti változókban, hogy ne vegye fel őket az Azure Storage adatművelet minden hívására. Az alábbi táblázat az elérhető környezeti változókat ismerteti.

Környezeti változó Description
AZURE_STORAGE_ACCOUNT A tárfiók neve. Ezt a változót a tárfiók kulcsával vagy egy SAS-jogkivonattal együtt kell használni. Ha egyik sem található, az Azure CLI megkísérli lekérni a tárfiók hozzáférési kulcsát a hitelesített Azure AD-fiók használatával. Ha egyszerre nagyszámú parancsot hajt végre, az Azure Storage erőforrás-szolgáltató szabályozási korlátja elérhető. Az erőforrás-szolgáltató korlátaival kapcsolatos további információkért tekintse meg az Azure Storage erőforrás-szolgáltató skálázhatósági és teljesítménycéljait.
AZURE_STORAGE_KEY A tárfiókkulcs. Ezt a változót a tárfiók nevével együtt kell használni.
AZURE_STORAGE_CONNECTION_STRING Egy kapcsolati sztring, amely tartalmazza a tárfiókkulcsot vagy egy SAS-jogkivonatot. Ezt a változót a tárfiók nevével együtt kell használni.
AZURE_STORAGE_SAS_TOKEN Közös hozzáférésű jogosultságkód (SAS)-jogkivonat. Ezt a változót a tárfiók nevével együtt kell használni.
AZURE_STORAGE_AUTH_MODE Az engedélyezési mód, amellyel a parancsot futtatni szeretné. A megengedett értékek ( login ajánlott) vagy key. Ha megadja login, az Azure CLI az Azure AD hitelesítő adatait használja az adatművelet engedélyezéséhez. Ha az örökölt key módot adja meg, az Azure CLI megpróbálja lekérdezni a fiók hozzáférési kulcsát, és engedélyezni a parancsot a kulccsal.

Következő lépések