Blobadatokhoz való hozzáférés engedélyezése az Azure Portalon

  • Cikk

Amikor blobadatokat ér el az Azure Portalon, a portál a borítók alatt kéréseket küld az Azure Storage-ba. Az Azure Storage-nak küldött kérelmek a Microsoft Entra-fiókkal vagy a tárfiók hozzáférési kulcsával engedélyezhetők. A portál jelzi, hogy Ön melyik módszert használja, és lehetővé teszi a kettő közötti váltást, ha rendelkezik a megfelelő engedélyekkel.

Azt is megadhatja, hogyan engedélyezheti az egyes blobfeltöltési műveleteket az Azure Portalon. Alapértelmezés szerint a portál bármelyik módszert használja a blobfeltöltési művelet engedélyezéséhez, de blob feltöltésekor lehetősége van módosítani ezt a beállítást.

Blobadatok eléréséhez szükséges engedélyek

Attól függően, hogy hogyan szeretné engedélyezni a blobadatokhoz való hozzáférést az Azure Portalon, meghatározott engedélyekre lesz szüksége. A legtöbb esetben ezeket az engedélyeket az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) biztosítja. További információ az Azure RBAC-ről: Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?.

A fiók hozzáférési kulcsának használata

A blobadatok fiókelérési kulccsal való eléréséhez hozzá kell rendelnie egy Azure-szerepkört, amely tartalmazza a Microsoft.Storage/storageAccounts/listkeys/action Azure RBAC-műveletet. Ez az Azure-szerepkör lehet beépített vagy egyéni szerepkör. A Microsoft.Storage/storageAccounts/listkeys/action műveletet támogató beépített szerepkörök a következőket tartalmazzák, a legkisebbtől a legnagyobb engedélyekig:

Amikor blobadatokat próbál elérni az Azure Portalon, a portál először ellenőrzi, hogy a Microsoft.Storage/storageAccounts/listkeys/action szerepkörhöz van-e hozzárendelve. Ha ezzel a művelettel szerepkört kapott, akkor a portál a blobadatok eléréséhez használja a fiókkulcsot. Ha nem kapott szerepkört ezzel a művelettel, akkor a portál megkísérli elérni az adatokat a Microsoft Entra-fiókjával.

Fontos

Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Emiatt, ha a fiók olvasási zárolással van zárolva, a felhasználóknak Microsoft Entra-hitelesítő adatokkal kell hozzáférni a blobadatokhoz a portálon. A blobadatok Microsoft Entra-azonosítóval való eléréséről a Microsoft Entra-fiók használata című témakörben olvashat.

Feljegyzés

A klasszikus előfizetés-rendszergazdai szerepkörök a Service Rendszergazda istrator és a Co-Rendszergazda istrator az Azure Resource Manager tulajdonosi szerepkörével egyenértékűek. A Tulajdonos szerepkör minden műveletet tartalmaz, beleértve a Microsoft.Storage/StorageAccounts/listkeys/action műveletet is, így az ilyen rendszergazdai szerepkörökkel rendelkező felhasználók a fiókkulcs használatával is hozzáférhetnek a blobadatokhoz. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.

A Microsoft Entra-fiók használata

Ha a Microsoft Entra-fiókjával szeretné elérni a blobadatokat az Azure Portalról, az alábbi utasítások mindegyikének igaznak kell lennie Az Ön számára:

  • Egy beépített vagy egyéni szerepkörhöz lett hozzárendelve, amely hozzáférést biztosít a blobadatokhoz.
  • Az Azure Resource Manager-olvasó szerepkör legalább a tárfiók szintjére vagy annál magasabbra van korlátozva. Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz.

Az Azure Resource Manager-olvasó szerepkör lehetővé teszi a felhasználók számára a tárfiók erőforrásainak megtekintését, de nem módosíthatják őket. Nem biztosít olvasási engedélyeket az Azure Storage-adatokhoz, csak a fiókkezelési erőforrásokhoz. Az Olvasó szerepkörre azért van szükség, hogy a felhasználók az Azure Portal blobtárolóira navigáljanak.

A blobadatokhoz való hozzáférést támogató beépített szerepkörökkel kapcsolatos információkért lásd : Blobok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval.

Az egyéni szerepkörök támogathatják a beépített szerepkörök által biztosított engedélyek különböző kombinációit. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörök és az Azure-erőforrások szerepkördefinícióinak ismertetése című témakörben talál.

A blobadatok portálon való megtekintéséhez keresse meg a tárfiók áttekintését, és kattintson a blobok hivatkozásaira. Másik lehetőségként a menü Tárolók szakaszára is navigálhat.

Screenshot showing how to navigate to blob data in the Azure portal

Az aktuális hitelesítési módszer meghatározása

Amikor egy tárolóra lép, az Azure Portal jelzi, hogy jelenleg a fiók hozzáférési kulcsát vagy a Microsoft Entra-fiókját használja-e a hitelesítéshez.

Hitelesítés a fiók hozzáférési kulcsával

Ha a fiók hozzáférési kulcsával hitelesít, a portálon a hitelesítési módszerként megadott hozzáférési kulcs jelenik meg:

Screenshot showing user currently accessing containers with the account key

A Microsoft Entra-fiók használatára való váltáshoz kattintson a képen kiemelt hivatkozásra. Ha rendelkezik a megfelelő engedélyekkel az Önhöz rendelt Azure-szerepkörökön keresztül, folytathatja a műveletet. Ha azonban nem rendelkezik megfelelő engedélyekkel, az alábbihoz hasonló hibaüzenet jelenik meg:

Error shown if Microsoft Entra account does not support access

Figyelje meg, hogy nem jelennek meg blobok a listában, ha a Microsoft Entra-fiókja nem rendelkezik a megtekintéshez szükséges engedélyekkel. Kattintson a Kapcsoló gombra a kulcshivatkozás eléréséhez a hozzáférési kulcs ismételt hitelesítéshez való használatához.

Hitelesítés a Microsoft Entra-fiókkal

Ha a Microsoft Entra-fiókjával hitelesíti a hitelesítést, a portálon a Microsoft Entra felhasználói fiók lesz megadva hitelesítési módszerként:

Screenshot showing user currently accessing containers with Microsoft Entra account

A fiókelérési kulcs használatára való váltáshoz kattintson a képen kiemelt hivatkozásra. Ha rendelkezik hozzáféréssel a fiókkulcshoz, folytathatja a műveletet. Ha azonban nem fér hozzá a fiókkulcshoz, az alábbihoz hasonló hibaüzenet jelenik meg:

Error shown if you do not have access to account key

Figyelje meg, hogy nem jelennek meg blobok a listában, ha nincs hozzáférése a fiókkulcsokhoz. Kattintson a Váltás a Microsoft Entra felhasználói fiókra hivatkozásra a Microsoft Entra-fiók ismételt hitelesítéshez való használatához.

Blobfeltöltési művelet engedélyezésének megadása

Amikor feltölt egy blobot az Azure Portalról, megadhatja, hogy hitelesíteni és engedélyezni szeretné-e a műveletet a fiók hozzáférési kulcsával vagy a Microsoft Entra hitelesítő adataival. Alapértelmezés szerint a portál az aktuális hitelesítési módszert használja, ahogyan az a Jelenlegi hitelesítési módszer meghatározása című szakaszban látható.

A blobfeltöltési művelet engedélyezésének módjának megadásához kövesse az alábbi lépéseket:

  1. Az Azure Portalon lépjen arra a tárolóra, ahová blobot szeretne feltölteni.

  2. Kattintson a Feltöltés gombra.

  3. Bontsa ki a Speciális szakaszt a blob speciális tulajdonságainak megjelenítéséhez.

  4. A Hitelesítés típusa mezőben adja meg, hogy engedélyezni szeretné-e a feltöltési műveletet a Microsoft Entra-fiókjával vagy a fiókhozzáférési kulccsal, ahogy az alábbi képen látható:

    Screenshot showing how to change authorization method on blob upload

Alapértelmezett a Microsoft Entra-engedélyezés az Azure Portalon

Új tárfiók létrehozásakor megadhatja, hogy az Azure Portal alapértelmezés szerint a Microsoft Entra-azonosítóval való engedélyezésre szolgáljon, amikor egy felhasználó blobadatokhoz navigál. Ezt a beállítást egy meglévő tárfiókhoz is konfigurálhatja. Ez a beállítás csak az alapértelmezett engedélyezési módszert határozza meg, ezért ne feledje, hogy a felhasználó felülbírálhatja ezt a beállítást, és dönthet úgy, hogy engedélyezi az adathozzáférést a fiókkulcs használatával.

Ha meg szeretné adni, hogy a portál alapértelmezés szerint a Microsoft Entra-hitelesítést használja-e az adathozzáféréshez tárfiók létrehozásakor, kövesse az alábbi lépéseket:

  1. Hozzon létre egy új tárfiókot a Tárfiók létrehozása című témakör utasításait követve.

  2. A Speciális lap Biztonság szakaszában jelölje be a Microsoft Entra-engedélyezés alapértelmezett beállítása melletti jelölőnégyzetet az Azure Portalon.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account

  3. Az ellenőrzés futtatásához és a fiók létrehozásához válassza a Véleményezés + létrehozás gombot.

Meglévő tárfiók beállításának frissítéséhez kövesse az alábbi lépéseket:

  1. Nyissa meg a fiók áttekintését az Azure Portalon.

  2. A Beállítások területen válassza a Konfiguráció elemet.

  3. Állítsa be az Alapértelmezett beállítást a Microsoft Entra-engedélyezésre az Azure Portalon engedélyezve értékre.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account

A tárfiók alapértelmezettToOAuthAuthEntication tulajdonsága alapértelmezés szerint nincs beállítva, és csak akkor ad vissza értéket, ha kifejezetten be nem állítja.

Következő lépések