PowerShell-parancsok futtatása Microsoft Entra hitelesítő adatokkal a blobadatok eléréséhez

Az Azure Storage bővítményeket biztosít a PowerShellhez, amelyek lehetővé teszik a Microsoft Entra hitelesítő adataival való bejelentkezést és szkriptelési parancsok futtatását. Amikor Microsoft Entra-hitelesítő adatokkal jelentkezik be a PowerShellbe, a rendszer egy OAuth 2.0 hozzáférési jogkivonatot ad vissza. A PowerShell automatikusan ezt a jogkivonatot használja a Blob Storage-ra vonatkozó további adatműveletek engedélyezéséhez. A támogatott műveletekhez már nem kell átadnia egy fiókkulcsot vagy SAS-jogkivonatot a paranccsal.

Engedélyeket rendelhet a blobadatokhoz egy Microsoft Entra biztonsági taghoz az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC). Az Azure Storage Azure-szerepköreivel kapcsolatos további információkért lásd : Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez.

Támogatott műveletek

Az Azure Storage-bővítmények támogatottak a blobadatokon végzett műveletekhez. A meghívható műveletek a Microsoft Entra azon biztonsági tagjának engedélyétől függenek, amellyel bejelentkezik a PowerShellbe. Az Azure Storage-tárolókhoz tartozó engedélyek az Azure RBAC-n keresztül vannak hozzárendelve. Ha például a Blob Adatolvasó szerepkörhöz van hozzárendelve, futtathat szkriptelési parancsokat, amelyek adatokat olvasnak egy tárolóból. Ha hozzá lett rendelve a Blob-adatok közreműködője szerepkörhöz, futtathat parancsfájl-parancsokat, amelyek egy tárolót vagy az általuk tárolt adatokat olvasnak, írnak vagy törölnek.

Az egyes Azure Storage-műveletekhez szükséges engedélyekről az OAuth-jogkivonatokkal rendelkező tárolási műveletek meghívása című témakörben olvashat bővebben.

Fontos

Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Emiatt, ha a fiók írásvédett zárolással van zárolva, a fiókkulcsokkal még nem rendelkező felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférniük a blobadatokhoz. A PowerShellben adja meg az -UseConnectedAccount AzureStorageContext objektum létrehozásához szükséges paramétert a Microsoft Entra hitelesítő adataival.

PowerShell-parancsok meghívása a Microsoft Entra hitelesítő adataival

Ha az Azure PowerShell használatával szeretne bejelentkezni az Azure Storage-ba, és futtatni szeretné az azt követő műveleteket a Microsoft Entra hitelesítő adataival, hozzon létre egy tárolási környezetet a tárfiókra való hivatkozáshoz, és adja meg a paramétert -UseConnectedAccount .

Az alábbi példa bemutatja, hogyan hozhat létre tárolót egy új tárfiókban az Azure PowerShellből a Microsoft Entra hitelesítő adataival. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:

1. Jelentkezzen be azure-fiókjába az Csatlakozás-AzAccount paranccsal:

   Connect-AzAccount
   

   További információ az Azure-ba a PowerShell-lel való bejelentkezésről: Bejelentkezés az Azure PowerShell-lel.

2. Hozzon létre egy Azure-erőforráscsoportot a New-AzResourceGroup meghívásával.

   $resourceGroup = "sample-resource-group-ps"
   $location = "eastus"
   New-AzResourceGroup -Name $resourceGroup -Location $location
   

3. Hozzon létre egy tárfiókot a New-AzStorageAccount meghívásával.

   $storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
     -Name "<storage-account>" `
     -SkuName Standard_LRS `
     -Location $location `
     -AllowBlobPublicAccess $false
   

4. Kérje le az új tárfiókot meghatározó tárfiók-környezetet a New-AzStorageContext meghívásával. Tárfiókon való működéskor a hitelesítő adatok ismételt átadása helyett hivatkozhat a környezetre. Adja meg azt a -UseConnectedAccount paramétert, amely meghívja az esetleges további adatműveleteket a Microsoft Entra hitelesítő adataival:

   $ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccount
   

5. A tároló létrehozása előtt rendelje hozzá saját magának a Storage Blob Data Közreműködő szerepkört. Annak ellenére, hogy Ön a fiók tulajdonosa, explicit engedélyekre van szüksége a tárfiókon végzett adatműveletek végrehajtásához. További információ az Azure-szerepkörök hozzárendeléséről: Azure-szerepkör hozzárendelése blobadatokhoz való hozzáféréshez.

   Fontos

   Az Azure-szerepkör-hozzárendelések propagálása eltarthat néhány percig.

6. Hozzon létre egy tárolót a New-AzStorageContainer meghívásával. Mivel ez a hívás az előző lépésekben létrehozott környezetet használja, a tároló a Microsoft Entra hitelesítő adataival jön létre.

   $containerName = "sample-container"
   New-AzStorageContainer -Name $containerName -Context $ctx
   

Következő lépések

• Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez
• Hozzáférés engedélyezése az Azure Storage-beli adatokhoz