Blobadatokhoz való hozzáférés engedélyezése az Azure Portalon
Amikor blobadatokat ér el az Azure Portalon, a portál a borítók alatt kéréseket küld az Azure Storage-ba. Az Azure Storage-nak küldött kérelmek a Microsoft Entra-fiókkal vagy a tárfiók hozzáférési kulcsával engedélyezhetők. A portál jelzi, hogy Ön melyik módszert használja, és lehetővé teszi a kettő közötti váltást, ha rendelkezik a megfelelő engedélyekkel.
Azt is megadhatja, hogyan engedélyezheti az egyes blobfeltöltési műveleteket az Azure Portalon. Alapértelmezés szerint a portál bármelyik módszert használja a blobfeltöltési művelet engedélyezéséhez, de blob feltöltésekor lehetősége van módosítani ezt a beállítást.
Blobadatok eléréséhez szükséges engedélyek
Attól függően, hogy hogyan szeretné engedélyezni a blobadatokhoz való hozzáférést az Azure Portalon, meghatározott engedélyekre lesz szüksége. A legtöbb esetben ezeket az engedélyeket az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) biztosítja. További információ az Azure RBAC-ről: Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?.
A fiók hozzáférési kulcsának használata
A blobadatok fiókelérési kulccsal való eléréséhez hozzá kell rendelnie egy Azure-szerepkört, amely tartalmazza a Microsoft.Storage/storageAccounts/listkeys/action Azure RBAC-műveletet. Ez az Azure-szerepkör lehet beépített vagy egyéni szerepkör. A Microsoft.Storage/storageAccounts/listkeys/action műveletet támogató beépített szerepkörök a következőket tartalmazzák, a legkisebbtől a legnagyobb engedélyekig:
- Az Olvasó és az Adatelérés szerepkör
- A Storage Account Contributor szerepkör
- Az Azure Resource Manager Hozzájáruló szerepkör
- Az Azure Resource Manager Tulajdonos szerepköre
Amikor blobadatokat próbál elérni az Azure Portalon, a portál először ellenőrzi, hogy a Microsoft.Storage/storageAccounts/listkeys/action szerepkörhöz van-e hozzárendelve. Ha ezzel a művelettel szerepkört kapott, akkor a portál a blobadatok eléréséhez használja a fiókkulcsot. Ha nem kapott szerepkört ezzel a művelettel, akkor a portál megkísérli elérni az adatokat a Microsoft Entra-fiókjával.
Fontos
Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Emiatt, ha a fiók olvasási zárolással van zárolva, a felhasználóknak Microsoft Entra-hitelesítő adatokkal kell hozzáférni a blobadatokhoz a portálon. A blobadatok Microsoft Entra-azonosítóval való eléréséről a Microsoft Entra-fiók használata című témakörben olvashat.
Feljegyzés
A klasszikus előfizetés-rendszergazdai szerepkörök a Service Rendszergazda istrator és a Co-Rendszergazda istrator az Azure Resource Manager tulajdonosi szerepkörével egyenértékűek. A Tulajdonos szerepkör minden műveletet tartalmaz, beleértve a Microsoft.Storage/StorageAccounts/listkeys/action műveletet is, így az ilyen rendszergazdai szerepkörökkel rendelkező felhasználók a fiókkulcs használatával is hozzáférhetnek a blobadatokhoz. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.
A Microsoft Entra-fiók használata
Ha a Microsoft Entra-fiókjával szeretné elérni a blobadatokat az Azure Portalról, az alábbi utasítások mindegyikének igaznak kell lennie Az Ön számára:
- Egy beépített vagy egyéni szerepkörhöz lett hozzárendelve, amely hozzáférést biztosít a blobadatokhoz.
- Az Azure Resource Manager-olvasó szerepkör legalább a tárfiók szintjére vagy annál magasabbra van korlátozva. Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz.
Az Azure Resource Manager-olvasó szerepkör lehetővé teszi a felhasználók számára a tárfiók erőforrásainak megtekintését, de nem módosíthatják őket. Nem biztosít olvasási engedélyeket az Azure Storage-adatokhoz, csak a fiókkezelési erőforrásokhoz. Az Olvasó szerepkörre azért van szükség, hogy a felhasználók az Azure Portal blobtárolóira navigáljanak.
A blobadatokhoz való hozzáférést támogató beépített szerepkörökkel kapcsolatos információkért lásd : Blobok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval.
Az egyéni szerepkörök támogathatják a beépített szerepkörök által biztosított engedélyek különböző kombinációit. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörök és az Azure-erőforrások szerepkördefinícióinak ismertetése című témakörben talál.
Navigálás blobokhoz az Azure Portalon
A blobadatok portálon való megtekintéséhez keresse meg a tárfiók áttekintését, és kattintson a blobok hivatkozásaira. Másik lehetőségként a menü Tárolók szakaszára is navigálhat.
Az aktuális hitelesítési módszer meghatározása
Amikor egy tárolóra lép, az Azure Portal jelzi, hogy jelenleg a fiók hozzáférési kulcsát vagy a Microsoft Entra-fiókját használja-e a hitelesítéshez.
Hitelesítés a fiók hozzáférési kulcsával
Ha a fiók hozzáférési kulcsával hitelesít, a portálon a hitelesítési módszerként megadott hozzáférési kulcs jelenik meg:
A Microsoft Entra-fiók használatára való váltáshoz kattintson a képen kiemelt hivatkozásra. Ha rendelkezik a megfelelő engedélyekkel az Önhöz rendelt Azure-szerepkörökön keresztül, folytathatja a műveletet. Ha azonban nem rendelkezik megfelelő engedélyekkel, az alábbihoz hasonló hibaüzenet jelenik meg:
Figyelje meg, hogy nem jelennek meg blobok a listában, ha a Microsoft Entra-fiókja nem rendelkezik a megtekintéshez szükséges engedélyekkel. Kattintson a Kapcsoló gombra a kulcshivatkozás eléréséhez a hozzáférési kulcs ismételt hitelesítéshez való használatához.
Hitelesítés a Microsoft Entra-fiókkal
Ha a Microsoft Entra-fiókjával hitelesíti a hitelesítést, a portálon a Microsoft Entra felhasználói fiók lesz megadva hitelesítési módszerként:
A fiókelérési kulcs használatára való váltáshoz kattintson a képen kiemelt hivatkozásra. Ha rendelkezik hozzáféréssel a fiókkulcshoz, folytathatja a műveletet. Ha azonban nem fér hozzá a fiókkulcshoz, az alábbihoz hasonló hibaüzenet jelenik meg:
Figyelje meg, hogy nem jelennek meg blobok a listában, ha nincs hozzáférése a fiókkulcsokhoz. Kattintson a Váltás a Microsoft Entra felhasználói fiókra hivatkozásra a Microsoft Entra-fiók ismételt hitelesítéshez való használatához.
Blobfeltöltési művelet engedélyezésének megadása
Amikor feltölt egy blobot az Azure Portalról, megadhatja, hogy hitelesíteni és engedélyezni szeretné-e a műveletet a fiók hozzáférési kulcsával vagy a Microsoft Entra hitelesítő adataival. Alapértelmezés szerint a portál az aktuális hitelesítési módszert használja, ahogyan az a Jelenlegi hitelesítési módszer meghatározása című szakaszban látható.
A blobfeltöltési művelet engedélyezésének módjának megadásához kövesse az alábbi lépéseket:
Az Azure Portalon lépjen arra a tárolóra, ahová blobot szeretne feltölteni.
Kattintson a Feltöltés gombra.
Bontsa ki a Speciális szakaszt a blob speciális tulajdonságainak megjelenítéséhez.
A Hitelesítés típusa mezőben adja meg, hogy engedélyezni szeretné-e a feltöltési műveletet a Microsoft Entra-fiókjával vagy a fiókhozzáférési kulccsal, ahogy az alábbi képen látható:
Alapértelmezett a Microsoft Entra-engedélyezés az Azure Portalon
Új tárfiók létrehozásakor megadhatja, hogy az Azure Portal alapértelmezés szerint a Microsoft Entra-azonosítóval való engedélyezésre szolgáljon, amikor egy felhasználó blobadatokhoz navigál. Ezt a beállítást egy meglévő tárfiókhoz is konfigurálhatja. Ez a beállítás csak az alapértelmezett engedélyezési módszert határozza meg, ezért ne feledje, hogy a felhasználó felülbírálhatja ezt a beállítást, és dönthet úgy, hogy engedélyezi az adathozzáférést a fiókkulcs használatával.
Ha meg szeretné adni, hogy a portál alapértelmezés szerint a Microsoft Entra-hitelesítést használja-e az adathozzáféréshez tárfiók létrehozásakor, kövesse az alábbi lépéseket:
Hozzon létre egy új tárfiókot a Tárfiók létrehozása című témakör utasításait követve.
A Speciális lap Biztonság szakaszában jelölje be a Microsoft Entra-engedélyezés alapértelmezett beállítása melletti jelölőnégyzetet az Azure Portalon.
Az ellenőrzés futtatásához és a fiók létrehozásához válassza a Véleményezés + létrehozás gombot.
Meglévő tárfiók beállításának frissítéséhez kövesse az alábbi lépéseket:
Nyissa meg a fiók áttekintését az Azure Portalon.
A Beállítások területen válassza a Konfiguráció elemet.
Állítsa be az Alapértelmezett beállítást a Microsoft Entra-engedélyezésre az Azure Portalon engedélyezve értékre.
A tárfiók alapértelmezettToOAuthAuthEntication tulajdonsága alapértelmezés szerint nincs beállítva, és csak akkor ad vissza értéket, ha kifejezetten be nem állítja.