PowerShell-parancsok futtatása Microsoft Entra hitelesítő adatokkal a blobadatok eléréséhez
Az Azure Storage bővítményeket biztosít a PowerShellhez, amelyek lehetővé teszik a Microsoft Entra hitelesítő adataival való bejelentkezést és szkriptelési parancsok futtatását. Amikor Microsoft Entra-hitelesítő adatokkal jelentkezik be a PowerShellbe, a rendszer egy OAuth 2.0 hozzáférési jogkivonatot ad vissza. A PowerShell automatikusan ezt a jogkivonatot használja a Blob Storage-ra vonatkozó további adatműveletek engedélyezéséhez. A támogatott műveletekhez már nem kell átadnia egy fiókkulcsot vagy SAS-jogkivonatot a paranccsal.
Engedélyeket rendelhet a blobadatokhoz egy Microsoft Entra biztonsági taghoz az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC). Az Azure Storage Azure-szerepköreivel kapcsolatos további információkért lásd : Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez.
Támogatott műveletek
Az Azure Storage-bővítmények támogatottak a blobadatokon végzett műveletekhez. A meghívható műveletek a Microsoft Entra azon biztonsági tagjának engedélyétől függenek, amellyel bejelentkezik a PowerShellbe. Az Azure Storage-tárolókhoz tartozó engedélyek az Azure RBAC-n keresztül vannak hozzárendelve. Ha például a Blob Adatolvasó szerepkörhöz van hozzárendelve, futtathat szkriptelési parancsokat, amelyek adatokat olvasnak egy tárolóból. Ha hozzá lett rendelve a Blob-adatok közreműködője szerepkörhöz, futtathat parancsfájl-parancsokat, amelyek egy tárolót vagy az általuk tárolt adatokat olvasnak, írnak vagy törölnek.
Az egyes Azure Storage-műveletekhez szükséges engedélyekről az OAuth-jogkivonatokkal rendelkező tárolási műveletek meghívása című témakörben olvashat bővebben.
Fontos
Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Emiatt, ha a fiók írásvédett zárolással van zárolva, a fiókkulcsokkal még nem rendelkező felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférniük a blobadatokhoz. A PowerShellben adja meg az -UseConnectedAccount
AzureStorageContext objektum létrehozásához szükséges paramétert a Microsoft Entra hitelesítő adataival.
PowerShell-parancsok meghívása a Microsoft Entra hitelesítő adataival
Ha az Azure PowerShell használatával szeretne bejelentkezni az Azure Storage-ba, és futtatni szeretné az azt követő műveleteket a Microsoft Entra hitelesítő adataival, hozzon létre egy tárolási környezetet a tárfiókra való hivatkozáshoz, és adja meg a paramétert -UseConnectedAccount
.
Az alábbi példa bemutatja, hogyan hozhat létre tárolót egy új tárfiókban az Azure PowerShellből a Microsoft Entra hitelesítő adataival. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:
Jelentkezzen be azure-fiókjába az Csatlakozás-AzAccount paranccsal:
Connect-AzAccount
További információ az Azure-ba a PowerShell-lel való bejelentkezésről: Bejelentkezés az Azure PowerShell-lel.
Hozzon létre egy Azure-erőforráscsoportot a New-AzResourceGroup meghívásával.
$resourceGroup = "sample-resource-group-ps" $location = "eastus" New-AzResourceGroup -Name $resourceGroup -Location $location
Hozzon létre egy tárfiókot a New-AzStorageAccount meghívásával.
$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup ` -Name "<storage-account>" ` -SkuName Standard_LRS ` -Location $location ` -AllowBlobPublicAccess $false
Kérje le az új tárfiókot meghatározó tárfiók-környezetet a New-AzStorageContext meghívásával. Tárfiókon való működéskor a hitelesítő adatok ismételt átadása helyett hivatkozhat a környezetre. Adja meg azt a
-UseConnectedAccount
paramétert, amely meghívja az esetleges további adatműveleteket a Microsoft Entra hitelesítő adataival:$ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccount
A tároló létrehozása előtt rendelje hozzá saját magának a Storage Blob Data Közreműködő szerepkört. Annak ellenére, hogy Ön a fiók tulajdonosa, explicit engedélyekre van szüksége a tárfiókon végzett adatműveletek végrehajtásához. További információ az Azure-szerepkörök hozzárendeléséről: Azure-szerepkör hozzárendelése blobadatokhoz való hozzáféréshez.
Fontos
Az Azure-szerepkör-hozzárendelések propagálása eltarthat néhány percig.
Hozzon létre egy tárolót a New-AzStorageContainer meghívásával. Mivel ez a hívás az előző lépésekben létrehozott környezetet használja, a tároló a Microsoft Entra hitelesítő adataival jön létre.
$containerName = "sample-container" New-AzStorageContainer -Name $containerName -Context $ctx