Choose how to authorize access to blob data with Azure CLI
Az Azure Storage bővítményeket biztosít az Azure CLI-hez, amelyek lehetővé teszik a blobadatokon végzett műveletek engedélyezésének módját. Az adatműveleteket a következő módokon engedélyezheti:
- Microsoft Entra biztonsági taggal. A Microsoft a Microsoft Entra hitelesítő adatainak használatát javasolja a magas szintű biztonság és a könnyű használat érdekében.
- A fiók hozzáférési kulcsával vagy egy közös hozzáférésű jogosultságkóddal (SAS) rendelkező jogkivonattal.
Az adatműveletek engedélyezésének megadása
A blobadatok olvasására és írására szolgáló Azure CLI-parancsok tartalmazzák az opcionális --auth-mode
paramétert. Adja meg ezt a paramétert az adatművelet engedélyezésének módjának jelzéséhez:
- Állítsa be a
--auth-mode
paramétert úgy, hogylogin
egy Microsoft Entra biztonsági tag használatával jelentkezzen be (ajánlott). - Állítsa a paramétert
--auth-mode
az örököltkey
értékre, hogy megkísérlje lekérni a fiók hozzáférési kulcsát az engedélyezéshez. Ha kihagyja a paramétert--auth-mode
, az Azure CLI is megpróbálja lekérni a hozzáférési kulcsot.
A paraméter használatához győződjön meg arról, hogy telepítette az --auth-mode
Azure CLI 2.0.46-os vagy újabb verzióját. Futtassa az --version
a telepített verzió ellenőrzését.
Megjegyzés:
Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Emiatt, ha a fiók írásvédett zárolással van zárolva, a fiókkulcsokkal még nem rendelkező felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférniük a blobadatokhoz.
Fontos
Ha kihagyja vagy beállítja a --auth-mode
paramétert key
, az Azure CLI megkísérli használni a fiók hozzáférési kulcsát az engedélyezéshez. Ebben az esetben a Microsoft azt javasolja, hogy adja meg a hozzáférési kulcsot a parancsban vagy a AZURE_STORAGE_KEY környezeti változóban. A környezeti változókkal kapcsolatos további információkért tekintse meg a környezeti változók beállítása engedélyezési paraméterekhez című szakaszt.
Ha nem adja meg a hozzáférési kulcsot, az Azure CLI megkísérli meghívni az Azure Storage erőforrás-szolgáltatót, hogy minden művelethez lekérje. Számos olyan adatművelet végrehajtása, amely az erőforrás-szolgáltató felé irányuló hívást igényel, szabályozáshoz vezethet. Az erőforrás-szolgáltató korlátairól további információt az Azure Storage-erőforrás-szolgáltató skálázhatósági és teljesítménycéljaiban talál.
Engedélyezés a Microsoft Entra hitelesítő adataival
Amikor Microsoft Entra-hitelesítő adatokkal jelentkezik be az Azure CLI-be, a rendszer egy OAuth 2.0 hozzáférési jogkivonatot ad vissza. Ezt a jogkivonatot az Azure CLI automatikusan használja a Blob vagy a Queue Storage további adatműveletének engedélyezéséhez. A támogatott műveletekhez már nem kell átadnia egy fiókkulcsot vagy SAS-jogkivonatot a paranccsal.
Engedélyeket rendelhet a blobadatokhoz egy Microsoft Entra biztonsági taghoz az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC). Az Azure Storage Azure-szerepköreivel kapcsolatos további információkért lásd : Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez.
Adatműveletek hívásához szükséges engedélyek
Az Azure Storage-bővítmények támogatottak a blobadatokon végzett műveletekhez. A meghívható műveletek attól függenek, hogy milyen engedélyeket kap a Microsoft Entra biztonsági tagjához, amellyel bejelentkezik az Azure CLI-be. Az Azure Storage-tárolókhoz tartozó engedélyek az Azure RBAC-n keresztül vannak hozzárendelve. Ha például a Storage Blob Adatolvasó szerepkörhöz van rendelve, futtathat szkriptelési parancsokat, amelyek adatokat olvasnak egy tárolóból. Ha a Storage Blob Data Közreműködő szerepkörhöz van rendelve, futtathat szkriptelési parancsokat, amelyek beolvasnak, írnak vagy törölnek egy tárolót vagy a benne lévő adatokat.
Az egyes Azure Storage-műveletekhez szükséges engedélyekről az OAuth-jogkivonatokkal rendelkező tárolási műveletek meghívása című témakörben olvashat bővebben.
Példa: Tároló létrehozásához szükséges művelet engedélyezése Microsoft Entra hitelesítő adatokkal
Az alábbi példa bemutatja, hogyan hozhat létre tárolót az Azure CLI-ből a Microsoft Entra hitelesítő adataival. A tároló létrehozásához be kell jelentkeznie az Azure CLI-be, és szüksége lesz egy erőforráscsoportra és egy tárfiókra. Az erőforrások létrehozásának módjáról a rövid útmutatóban tájékozódhat : Blobok létrehozása, letöltése és listázása az Azure CLI-vel.
A tároló létrehozása előtt rendelje hozzá saját magának a Storage Blob Data Közreműködő szerepkört. Annak ellenére, hogy Ön a fiók tulajdonosa, explicit engedélyekre van szüksége a tárfiókon végzett adatműveletek végrehajtásához. További információ az Azure-szerepkörök hozzárendeléséről: Azure-szerepkör hozzárendelése blobadatokhoz való hozzáféréshez.
Fontos
Az Azure-szerepkör-hozzárendelések propagálása eltarthat néhány percig.
Hívja meg az az storage container create parancsot a
--auth-mode
paraméterkészlettel, hogylogin
a tárolót a Microsoft Entra hitelesítő adataival hozza létre. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:az storage container create \ --account-name <storage-account> \ --name sample-container \ --auth-mode login
Engedélyezés a fiók hozzáférési kulcsával
Ha rendelkezik a fiókkulcsmal, bármilyen Azure Storage-adatműveletet meghívhat. A fiókkulcs használata általában kevésbé biztonságos. Ha a fiókkulcsot feltörték, a fiók összes adata megsérülhet.
Az alábbi példa bemutatja, hogyan hozhat létre tárolót a fiók hozzáférési kulcsával. Adja meg a fiókkulcsot, és adja meg a --auth-mode
paraméter értékét key
:
az storage container create \
--account-name <storage-account> \
--name sample-container \
--account-key <key>
--auth-mode key
Fontos
Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Ezért ha a fiók olvasási zárolással van zárolva, a felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférnie az adatokhoz.
Engedélyezés SAS-jogkivonattal
Ha rendelkezik SAS-jogkivonattal, meghívhatja az SAS által engedélyezett adatműveleteket. Az alábbi példa bemutatja, hogyan hozhat létre tárolót SAS-jogkivonat használatával:
az storage container create \
--account-name <storage-account> \
--name sample-container \
--sas-token <token>
Környezeti változók beállítása engedélyezési paraméterekhez
Megadhatja az engedélyezési paramétereket a környezeti változókban, hogy ne vegye fel őket az Azure Storage-adatművelet minden hívására. Az alábbi táblázat a rendelkezésre álló környezeti változókat ismerteti.
Környezeti változó | Leírás |
---|---|
AZURE_STORAGE_ACCOUNT | A tárfiók neve. Ezt a változót a tárfiók kulccsal vagy SAS-jogkivonattal együtt kell használni. Ha egyik sem jelenik meg, az Azure CLI megkísérli lekérni a tárfiók hozzáférési kulcsát a hitelesített Microsoft Entra-fiókkal. Ha egyszerre nagy számú parancsot hajt végre, az Azure Storage-erőforrás-szolgáltató szabályozási korlátja elérhető. Az erőforrás-szolgáltató korlátairól további információt az Azure Storage-erőforrás-szolgáltató skálázhatósági és teljesítménycéljaiban talál. |
AZURE_STORAGE_KEY | A tárfiókkulcs. Ezt a változót a tárfiók nevével együtt kell használni. |
AZURE_STORAGE_CONNECTION_STRING | A tárfiókkulcsot vagy SAS-jogkivonatot tartalmazó kapcsolati sztring. Ezt a változót a tárfiók nevével együtt kell használni. |
AZURE_STORAGE_SAS_TOKEN | Közös hozzáférésű jogosultságkód (SAS) jogkivonat. Ezt a változót a tárfiók nevével együtt kell használni. |
AZURE_STORAGE_AUTH_MODE | Az engedélyezési mód, amellyel a parancsot futtatni szeretné. Az engedélyezett értékek (ajánlott) login vagy key . Ha megadja login , az Azure CLI a Microsoft Entra hitelesítő adatait használja az adatművelet engedélyezéséhez. Ha megadja az örökölt key módot, az Azure CLI megpróbálja lekérdezni a fiók hozzáférési kulcsát, és engedélyezni a parancsot a kulccsal. |