Adja meg, hogyan engedélyezheti a blobadatokhoz való hozzáférést a Azure Portal

Ha a Azure Portal keresztül fér hozzá a blobadatokhoz, a portál a háttérben kéréseket küld az Azure Storage felé. Az Azure Storage-nak küldött kérelmek az Azure AD-fiókkal vagy a tárfiók hozzáférési kulcsával engedélyezhetők. A portál jelzi, hogy Ön melyik módszert használja, és lehetővé teszi a kettő közötti váltást, ha rendelkezik a megfelelő engedélyekkel.

Azt is megadhatja, hogyan engedélyezheti az egyes blobfeltöltési műveletet a Azure Portal. Alapértelmezés szerint a portál bármelyik módszert használja a blobfeltöltési művelet engedélyezéséhez, de blob feltöltésekor lehetősége van módosítani ezt a beállítást.

Blobadatok eléréséhez szükséges engedélyek

Attól függően, hogy hogyan szeretné engedélyezni a blobadatokhoz való hozzáférést a Azure Portal, adott engedélyekre lesz szüksége. A legtöbb esetben ezeket az engedélyeket az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) biztosítja. További információ az Azure RBAC-ről: Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)?

A fiók hozzáférési kulcsának használata

A blobadatok fiókelérési kulccsal való eléréséhez rendelkeznie kell egy Olyan Azure-szerepkörrel, amely tartalmazza a Microsoft.Storage /storageAccounts/listkeys/action. Ez az Azure-szerepkör lehet beépített vagy egyéni szerepkör. A Microsoft.Storage-t támogató beépített szerepkörök A /storageAccounts/listkeys/action a következőket tartalmazza, a legkisebbtől a legnagyobb engedélyekig:

Amikor megpróbál hozzáférni a blobadatokhoz a Azure Portal, a portál először ellenőrzi, hogy hozzárendelt-e szerepkört a Microsoft.Storage /storageAccounts/listkeys/action. Ha ezzel a művelettel szerepkört kapott, akkor a portál a fiókkulcsot használja a blobadatok eléréséhez. Ha ezzel a művelettel nem kapott szerepkört, a portál megpróbál hozzáférni az adatokhoz az Azure AD-fiókjával.

Fontos

Ha egy tárfiók azure-Resource Manager ReadOnly zárolással van zárolva, a Kulcsok listázása művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz írásvédett zárolás van konfigurálva. Ezért ha a fiók írásvédett zárolással van zárolva, a felhasználóknak Azure AD-hitelesítő adatokkal kell hozzáférni a blobadatokhoz a portálon. További információ a blobadatok Azure AD-vel való eléréséről a portálon: Az Azure AD-fiók használata.

Megjegyzés

A klasszikus előfizetés-rendszergazdai szerepkörök közé tartozik a Szolgáltatásadminisztrátor és Co-Administrator az Azure Resource Manager Tulajdonos szerepkör megfelelője. A Tulajdonos szerepkör minden műveletet tartalmaz, beleértve a Microsoft.Storage /storageAccounts/listkeys/action, így egy ilyen rendszergazdai szerepkörrel rendelkező felhasználó a fiókkulccsal is hozzáférhet a blobadatokhoz. További információ: Klasszikus előfizetés-rendszergazdai szerepkörök, Azure-szerepkörök és Azure AD-rendszergazdai szerepkörök.

Az Azure AD-fiók használata

Ahhoz, hogy az Azure AD-fiókjával hozzáférhessen a Azure Portal blobadataihoz, az alábbi állítások közül mindkétnek igaznak kell lennie:

  • Olyan beépített vagy egyéni szerepkört kapott, amely hozzáférést biztosít a blobadatokhoz.
  • Az Azure Resource Manager Reader szerepkörhöz legalább a tárfiók szintjéig vagy annál magasabb hatókörrel rendelkezik. Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz.

Az Azure Resource Manager Reader szerepkör lehetővé teszi a felhasználók számára a tárfiók erőforrásainak megtekintését, de nem módosíthatják őket. Nem biztosít olvasási engedélyeket az Azure Storage adataihoz, csak a fiókkezelési erőforrásokhoz. Az Olvasó szerepkörre azért van szükség, hogy a felhasználók a Azure Portal blobtárolóihoz navigáljanak.

A blobadatokhoz való hozzáférést támogató beépített szerepkörökkel kapcsolatos információkért lásd: Blobok hozzáférésének engedélyezése Azure Active Directory használatával.

Az egyéni szerepkörök támogathatják a beépített szerepkörök által biztosított engedélyek különböző kombinációit. Az egyéni Azure-szerepkörök létrehozásával kapcsolatos további információkért tekintse meg az Azure-ra vonatkozó egyéni szerepköröket és az Azure-erőforrások szerepkör-definícióit ismertető témakört.

A blobadatok portálon való megtekintéséhez keresse meg a tárfiók áttekintését , és kattintson a blobok hivatkozásaira. Másik lehetőségként a menü Tárolók szakaszára is navigálhat.

Screenshot showing how to navigate to blob data in the Azure portal

Az aktuális hitelesítési módszer meghatározása

Amikor egy tárolóra lép, a Azure Portal jelzi, hogy jelenleg a fiók hozzáférési kulcsát vagy az Azure AD-fiókját használja-e a hitelesítéshez.

Hitelesítés a fiók hozzáférési kulcsával

Ha a fiók hozzáférési kulcsával hitelesíti magát, a portálon a hitelesítési módszerként megadott hozzáférési kulcs jelenik meg:

Screenshot showing user currently accessing containers with the account key

Az Azure AD-fiók használatára való váltáshoz kattintson a képen kiemelt hivatkozásra. Ha rendelkezik a megfelelő engedélyekkel az Önhöz rendelt Azure-szerepkörökben, folytathatja a műveletet. Ha azonban nem rendelkezik a megfelelő engedélyekkel, az alábbihoz hasonló hibaüzenet jelenik meg:

Error shown if Azure AD account does not support access

Figyelje meg, hogy nem jelennek meg blobok a listában, ha az Azure AD-fiók nem rendelkezik a megtekintésükhöz szükséges engedélyekkel. Kattintson a Switch (Váltás) gombra a hozzáférési kulcs hivatkozásának eléréséhez a hozzáférési kulcs ismételt használatához.

Hitelesítés az Azure AD-fiókkal

Ha az Azure AD-fiókjával hitelesíti magát, a portálon a hitelesítési módszerként megadott Azure AD-felhasználói fiók jelenik meg:

Screenshot showing user currently accessing containers with Azure AD account

A fiókelérési kulcs használatára való váltáshoz kattintson a képen kiemelt hivatkozásra. Ha rendelkezik hozzáféréssel a fiókkulcshoz, folytathatja a műveletet. Ha azonban nem fér hozzá a fiókkulcshoz, a következőhöz hasonló hibaüzenet jelenik meg:

Error shown if you do not have access to account key

Figyelje meg, hogy nem jelennek meg blobok a listában, ha nincs hozzáférése a fiókkulcsokhoz. Kattintson a Váltás Azure AD felhasználói fiókra hivatkozásra az Azure AD-fiók újbóli hitelesítéshez való használatához.

Blobfeltöltési művelet engedélyezésének megadása

Amikor feltölt egy blobot a Azure Portal, megadhatja, hogy a fiók hozzáférési kulcsával vagy az Azure AD hitelesítő adataival hitelesítse és engedélyezze-e a műveletet. Alapértelmezés szerint a portál az aktuális hitelesítési módszert használja, ahogyan az a Jelenlegi hitelesítési módszer meghatározása című szakaszban látható.

A blobfeltöltési művelet engedélyezésének módjának megadásához kövesse az alábbi lépéseket:

  1. A Azure Portal keresse meg azt a tárolót, amelybe blobot szeretne feltölteni.

  2. Kattintson a Feltöltés gombra.

  3. Bontsa ki a Speciális szakaszt a blob speciális tulajdonságainak megjelenítéséhez.

  4. A Hitelesítés típusa mezőben adja meg, hogy engedélyezni szeretné-e a feltöltési műveletet az Azure AD-fiókjával vagy a fiók hozzáférési kulcsával, az alábbi ábrán látható módon:

    Screenshot showing how to change authorization method on blob upload

Alapértelmezett Azure AD-engedélyezés a Azure Portal

Új tárfiók létrehozásakor megadhatja, hogy a Azure Portal alapértelmezés szerint engedélyezve legyen az Azure AD-vel, amikor egy felhasználó blobadatokhoz navigál. Ezt a beállítást egy meglévő tárfiókhoz is konfigurálhatja. Ez a beállítás csak az alapértelmezett engedélyezési módszert határozza meg, ezért ne feledje, hogy a felhasználó felülbírálhatja ezt a beállítást, és dönthet úgy, hogy engedélyezi az adathozzáférést a fiókkulccsal.

Ha meg szeretné adni, hogy a portál alapértelmezés szerint azure AD-hitelesítést használjon az adathozzáféréshez tárfiók létrehozásakor, kövesse az alábbi lépéseket:

  1. Hozzon létre egy új tárfiókot a Tárfiók létrehozása című témakör utasításait követve.

  2. A Speciális lap Biztonság szakaszában jelölje be az Alapértelmezett jelölőnégyzetet, hogy Azure Active Directory engedélyezést a Azure Portal.

    Screenshot showing how to configure default Azure AD authorization in Azure portal for new account

  3. Az ellenőrzés futtatásához és a fiók létrehozásához válassza a Véleményezés + létrehozás gombot.

Ha frissíteni szeretné ezt a beállítást egy meglévő tárfiókhoz, kövesse az alábbi lépéseket:

  1. Navigáljon a fiók áttekintéséhez a Azure Portal.

  2. A Beállítások területen válassza a Konfiguráció elemet.

  3. Állítsa az Alapértelmezett beállítást úgy, hogy Azure Active Directory engedélyezést a Azure PortalEngedélyezve értékre.

    Screenshot showing how to configure default Azure AD authorization in Azure portal for existing account

Következő lépések