Blobok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval

Cikk
05/11/2024

Az Azure Storage támogatja a Microsoft Entra ID használatát a blobadatokra irányuló kérések engedélyezéséhez. A Microsoft Entra ID-val azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) adhat engedélyeket egy biztonsági tagnak, amely lehet felhasználó, csoport vagy alkalmazásszolgáltatás-tag. A biztonsági tagot a Microsoft Entra ID hitelesíti egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat ezután a Blob szolgáltatással kapcsolatos kérések engedélyezésére használható.

A Microsoft Entra-azonosítóval rendelkező engedélyezés minden általános célú és Blob Storage-fiókhoz elérhető az összes nyilvános régióban és nemzeti felhőben. Csak az Azure Resource Manager-alapú üzemi modellel létrehozott tárfiókok támogatják a Microsoft Entra engedélyezését.

Fontos

Az optimális biztonság érdekében a Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használva engedélyezze a blob-, üzenetsor- és táblaadatokra vonatkozó kéréseket, amikor csak lehetséges. A Microsoft Entra-azonosítóval és felügyelt identitásokkal való engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál. Ha egy .NET-alkalmazáshoz szeretne felügyelt identitást engedélyezni és használni, tekintse meg az Azure-ban üzemeltetett alkalmazások azure-erőforrásokhoz való hitelesítését a .NET-tel.

Az Azure-on kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon az Azure Arc-kompatibilis kiszolgálókon.

Olyan esetekben, amikor közös hozzáférésű jogosultságkódokat (SAS) használnak, a Microsoft egy felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett a Microsoft Entra hitelesítő adatai védik. A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Korlátozott hozzáférés biztosítása közös hozzáférésű jogosultságkódokkal rendelkező adatokhoz. A felhasználói delegálási SAS .NET-sel való létrehozását és használatát ismertető példa: Felhasználói delegálási SAS létrehozása egy .NET-blobhoz.

A Blobokhoz készült Microsoft Entra-azonosító áttekintése

Amikor egy biztonsági tag (egy felhasználó, csoport vagy alkalmazás) megpróbál hozzáférni egy bloberőforráshoz, a kérést engedélyezni kell, kivéve, ha az egy névtelen hozzáférésre elérhető blob. A Microsoft Entra-azonosítóval az erőforráshoz való hozzáférés kétlépéses folyamat:

Először a rendszer hitelesíti a biztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad vissza.

A hitelesítési lépés megköveteli, hogy egy alkalmazás futásidőben OAuth 2.0 hozzáférési jogkivonatot kérjen. Ha egy alkalmazás egy Azure-entitáson belül fut, például Egy Azure-beli virtuális gépről, egy virtuálisgép-méretezési csoportról vagy egy Azure Functions-alkalmazásról, a blobadatok eléréséhez felügyelt identitást használhat.
Ezután a rendszer a jogkivonatot egy kérés részeként továbbítja a Blob szolgáltatásnak, és a szolgáltatás a megadott erőforráshoz való hozzáférés engedélyezésére használja.

Az engedélyezési lépéshez egy vagy több Azure RBAC-szerepkört kell hozzárendelni a kérést küldő biztonsági taghoz. További információ: Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz.

Microsoft Entra-fiók használata portállal, PowerShell-lel vagy Azure CLI-vel

Ha tudni szeretné, hogyan férhet hozzá adatokhoz az Azure Portalon Egy Microsoft Entra-fiókkal, tekintse meg az Azure Portalról való adathozzáférést. Az Azure PowerShell- vagy Azure CLI-parancsok Microsoft Entra-fiókkal való meghívásáról további információt a PowerShellből vagy az Azure CLI-ből származó adathozzáférés című témakörben talál.

Hozzáférés engedélyezése az alkalmazáskódban a Microsoft Entra-azonosító használatával

Ha engedélyezni szeretné az Azure Storage-hoz való hozzáférést a Microsoft Entra-azonosítóval, az alábbi ügyfélkódtárak egyikével szerezhet be egy OAuth 2.0-jogkivonatot:

Az Azure Identity-ügyfélkódtár a legtöbb fejlesztési forgatókönyvhez ajánlott.
A Microsoft Authentication Library (MSAL) alkalmas lehet bizonyos speciális helyzetekben.

Azure Identity-ügyfélkódtár

Az Azure Identity-ügyfélkódtár leegyszerűsíti az OAuth 2.0 hozzáférési jogkivonat lekérését a Microsoft Entra ID-val való engedélyezéshez az Azure SDK-on keresztül. A .NET, Java, Python, JavaScript és Go Azure Storage-ügyfélkódtárak legújabb verziói integrálhatók az Egyes nyelvek Azure Identity-kódtáraival, így egyszerű és biztonságos módon szerezhetnek be hozzáférési jogkivonatot az Azure Storage-kérelmek engedélyezéséhez.

Az Azure Identity-ügyfélkódtár előnye, hogy lehetővé teszi, hogy ugyanazt a kódot használja a hozzáférési jogkivonat beszerzéséhez, függetlenül attól, hogy az alkalmazás a fejlesztési környezetben vagy az Azure-ban fut. Az Azure Identity ügyfélkódtár egy hozzáférési jogkivonatot ad vissza egy biztonsági tag számára. Ha a kód az Azure-ban fut, a biztonsági tag lehet az Azure-erőforrások felügyelt identitása, egy szolgáltatásnév vagy egy felhasználó vagy csoport. A fejlesztői környezetben az ügyfélkódtár egy hozzáférési jogkivonatot biztosít egy felhasználó vagy egy egyszerű szolgáltatás számára tesztelési célokra.

Az Azure Identity ügyfélkódtár által visszaadott hozzáférési jogkivonatot a rendszer egy jogkivonat hitelesítő adataiba foglalja bele. Ezután a jogkivonat hitelesítő adataival lekérhet egy szolgáltatásügyfél-objektumot, amelyet az Azure Storage-beli engedélyezett műveletek végrehajtásához használhat. A hozzáférési jogkivonat és a token hitelesítő adatainak lekérésének egyszerű módja az Azure Identity ügyfélkódtár által biztosított DefaultAzureCredential osztály használata. A DefaultAzureCredential több különböző hitelesítő adattípus egymás után történő kipróbálásával próbálja lekérni a jogkivonat hitelesítő adatait. A DefaultAzureCredential mind a fejlesztési környezetben, mind az Azure-ban működik.

Az alábbi táblázat további információkra mutat az adatokhoz való hozzáférés engedélyezéséhez különböző forgatókönyvekben:

Nyelv	.NET	Java	JavaScript	Python	Go
A Hitelesítés és a Microsoft Entra-azonosító áttekintése	.NET-alkalmazások hitelesítése az Azure-szolgáltatásokkal	Azure-hitelesítés Java és Azure Identity használatával	JavaScript-alkalmazások hitelesítése az Azure-ban az Azure SDK használatával	Python-alkalmazások hitelesítése az Azure-ban az Azure SDK használatával
Hitelesítés fejlesztői szolgáltatásnevek használatával	.NET-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során szolgáltatásnevek használatával	Azure-hitelesítés szolgáltatásnévvel	JS-alkalmazások hitelesítése azure-szolgáltatásokba szolgáltatásnévvel	Python-alkalmazások hitelesítése az Azure-szolgáltatásokba a helyi fejlesztés során szolgáltatásnevek használatával	Azure SDK for Go-hitelesítés szolgáltatásnévvel
Hitelesítés fejlesztői vagy felhasználói fiókok használatával	.NET-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával	Azure-hitelesítés felhasználói hitelesítő adatokkal	JS-alkalmazások hitelesítése az Azure-szolgáltatásokba fejlesztői fiókokkal	Python-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával	Azure-hitelesítés a Go-hoz készült Azure SDK-val
Hitelesítés az Azure által üzemeltetett alkalmazásokból	Azure-beli alkalmazások hitelesítése Azure-erőforrásokba a .NET-hez készült Azure SDK-val	Az Azure által üzemeltetett Java-alkalmazások hitelesítése	Azure-beli JavaScript-alkalmazások hitelesítése Azure-erőforrásokra a JavaScripthez készült Azure SDK-val	Azure-beli alkalmazások hitelesítése Azure-erőforrásokba a Pythonhoz készült Azure SDK-val	Hitelesítés a Go-hoz készült Azure SDK-val felügyelt identitás használatával
Hitelesítés helyszíni alkalmazásokból	Hitelesítés Azure-erőforrásokon a helyszínen üzemeltetett .NET-alkalmazásokból		Helyszíni JavaScript-alkalmazások hitelesítése Azure-erőforrásokon	Hitelesítés Azure-erőforrásokba a helyszínen üzemeltetett Python-alkalmazásokból
Identitásügyfél-kódtár áttekintése	Azure Identity ügyfélkódtár a .NET-hez	Azure Identity-ügyfélkódtár Java-hoz	Azure Identity-ügyfélkódtár JavaScripthez	Azure Identity-ügyfélkódtár Pythonhoz	Azure Identity ügyfélkódtár a Go-hoz

Microsoft Authentication Library (MSAL)

Bár a Microsoft azt javasolja, hogy lehetőség szerint használja az Azure Identity-ügyfélkódtárat, az MSAL-kódtár alkalmas lehet bizonyos speciális helyzetekben való használatra. További információ: MSAL.

Ha az MSAL használatával szerez be egy OAuth-jogkivonatot az Azure Storage-hoz való hozzáféréshez, meg kell adnia egy Microsoft Entra-erőforrás-azonosítót. A Microsoft Entra erőforrás-azonosítója azt a célközönséget jelzi, amely számára egy kibocsátott jogkivonat használható az Azure-erőforrásokhoz való hozzáférés biztosítására. Az Azure Storage esetében az erőforrás-azonosító egyetlen tárfiókra vonatkozhat, vagy bármely tárfiókra vonatkozhat.

Ha egy adott tárfiókra és szolgáltatásra jellemző erőforrás-azonosítót ad meg, az erőforrás-azonosító egy jogkivonat beszerzésére szolgál, amely csak a megadott fiókra és szolgáltatásra irányuló kérelmek engedélyezésére szolgál. Az alábbi táblázat az erőforrás-azonosítóhoz használandó értéket sorolja fel a használt felhő alapján. Cserélje le a <account-name> kifejezést a tárfiókja nevére.

Felhőbeli	Erőforrás-azonosító
Azure Global	`https://<account-name>.blob.core.windows.net`
Azure Government	`https://<account-name>.blob.core.usgovcloudapi.net`
Azure China 21Vianet	`https://<account-name>.blob.core.chinacloudapi.cn`

Megadhat egy erőforrás-azonosítót is, amely bármely tárfiókra érvényes, ahogy az az alábbi táblázatban is látható. Ez az erőforrás-azonosító minden nyilvános és szuverén felhő esetében ugyanaz, és egy jogkivonat beszerzésére szolgál a tárfiókokra irányuló kérések engedélyezéséhez.

Felhőbeli	Erőforrás-azonosító
Azure Global Azure Government Azure China 21Vianet	`https://storage.azure.com/`

Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz

A Microsoft Entra hozzáférési jogosultságokat engedélyez az erőforrások védelméhez az Azure RBAC-en keresztül. Az Azure Storage beépített RBAC-szerepkörök készletét határozza meg, amelyek a blobadatok eléréséhez használt közös engedélykészleteket foglalják magukban. A blobadatokhoz való hozzáféréshez egyéni szerepköröket is definiálhat. Ha többet szeretne megtudni az Azure-szerepkörök blobhozzáféréshez való hozzárendeléséről, olvassa el az Azure-szerepkörök blobadatokhoz való hozzáféréshez való hozzárendelését ismertető témakört.

A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz. A biztonsági taghoz rendelt RBAC-szerepkörök határozzák meg azokat az engedélyeket, amelyekkel az egyszerű felhasználó rendelkezik a megadott erőforráshoz. Ha többet szeretne tudni az Azure-szerepkörök blobhozzáféréshez való hozzárendeléséről, olvassa el az Azure-szerepkörök blobadatokhoz való hozzáféréshez való hozzárendelését ismertető témakört .

Bizonyos esetekben előfordulhat, hogy engedélyeznie kell a bloberőforrásokhoz való részletes hozzáférést, vagy egyszerűsíteni kell az engedélyeket, ha nagy számú szerepkör-hozzárendeléssel rendelkezik egy tárerőforráshoz. Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) használatával konfigurálhatja a szerepkör-hozzárendelések feltételeit. A feltételeket egyéni szerepkörrel is használhatja, vagy kiválaszthatja a beépített szerepköröket. További információ az Azure Storage-erőforrások ABAC-vel való konfigurálásáról: Blobok hozzáférésének engedélyezése Azure-szerepkör-hozzárendelési feltételekkel (előzetes verzió). A blobadat-műveletek támogatott feltételeiről további információt az Azure Storage azure-beli szerepkör-hozzárendelési feltételeinek műveletei és attribútumai (előzetes verzió) című témakörben talál.

Feljegyzés

Azure Storage-fiók létrehozásakor a rendszer nem rendeli hozzá automatikusan az adatok Microsoft Entra-azonosítón keresztüli eléréséhez szükséges engedélyeket. Kifejezetten azure-szerepkört kell hozzárendelnie a Blob Storage-hoz való hozzáféréshez. Hozzárendelheti az előfizetés, az erőforráscsoport, a tárfiók vagy a tároló szintjén.

Erőforrás hatóköre

Mielőtt Azure RBAC-szerepkört rendel egy biztonsági taghoz, határozza meg, hogy milyen hozzáférési hatókörrel kell rendelkeznie a biztonsági tagnak. Az ajánlott eljárások azt diktálják, hogy mindig a lehető legszűkebb hatókört érdemes megadni. A szélesebb hatókörben definiált Azure RBAC-szerepköröket az alattuk lévő erőforrások öröklik.

Az Azure Blob-erőforrásokhoz való hozzáférést a következő szinteken, a legszűkebb hatókörtől kezdve használhatja:

Egy különálló tároló. Ebben a hatókörben a szerepkör-hozzárendelés a tároló összes blobjára, valamint a tároló tulajdonságaira és metaadataira vonatkozik.
A tárfiók. Ebben a hatókörben a szerepkör-hozzárendelés az összes tárolóra és blobra vonatkozik.
Az erőforráscsoport. Ebben a hatókörben a szerepkör-hozzárendelés az erőforráscsoport összes tárfiókjában lévő összes tárolóra vonatkozik.
Az előfizetés. Ebben a hatókörben a szerepkör-hozzárendelés az előfizetés összes erőforráscsoportjának összes tárfiókjában lévő összes tárolóra vonatkozik.
Egy felügyeleti csoport. Ebben a hatókörben a szerepkör-hozzárendelés a felügyeleti csoport összes előfizetésében lévő összes erőforráscsoport összes tárfiókjában lévő összes tárolóra vonatkozik.

További információ az Azure RBAC-szerepkör-hozzárendelések hatóköréről: Az Azure RBAC hatókörének ismertetése.

Azure beépített szerepkörök blobokhoz

Az Azure RBAC számos beépített szerepkört biztosít a blobadatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID és az OAuth használatával. Néhány példa az Azure Storage-beli adaterőforrások engedélyeit biztosító szerepkörökre:

Storage Blob Data Owner: Az Azure Data Lake Storage Gen2 POSIX-hozzáférés-vezérlésének beállítására és kezelésére használható. További információért lásd: Hozzáférés-vezérlés az Azure Data Lake Storage Gen2-ben.
Tárolási blobadatok közreműködője: Olvasási/írási/törlési engedélyek megadására használható a Blob Storage-erőforrások számára.
Storage Blob-adatolvasó: Írásvédett engedélyek megadására használható a Blob Storage-erőforrások számára.
Storage Blob Delegator: Szerezze be a felhasználódelegálási kulcsot egy olyan közös hozzáférésű aláírás létrehozásához, amely a Microsoft Entra hitelesítő adataival van aláírva egy tárolóhoz vagy blobhoz.

Ha tudni szeretné, hogyan rendelhet azure-beli beépített szerepkört egy biztonsági taghoz, olvassa el a Blob-adatokhoz való hozzáféréshez szükséges Azure-szerepkörök hozzárendelése című témakört. Az Azure RBAC-szerepkörök és azok engedélyeinek listázásához tekintse meg az Azure-szerepkördefiníciók listáját.

A beépített szerepkörök Azure Storage-hoz való definiálásáról további információt a szerepkördefiníciók ismertetése című témakörben talál. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörökben talál.

Csak az adathozzáféréshez explicit módon definiált szerepkörök teszik lehetővé a biztonsági tagok számára a blobadatok elérését. A beépített szerepkörök, például a Tulajdonos, a Közreműködő és a Tárfiók közreműködője lehetővé teszik a biztonsági tagok számára a tárfiókok kezelését, de nem biztosítanak hozzáférést a fiók blobadataihoz a Microsoft Entra-azonosítón keresztül. Ha azonban egy szerepkör tartalmazza a Microsoft.Storage/storageAccounts/listKeys/action függvényt, akkor a szerepkörrel rendelkező felhasználók a fiók hozzáférési kulcsaival megosztott kulcsok engedélyezésével férhetnek hozzá a tárfiók adataihoz. További információ: A blobadatokhoz való hozzáférés engedélyezése az Azure Portalon.

Az Azure Storage beépített Azure-szerepköreiről az adatszolgáltatásokhoz és a felügyeleti szolgáltatáshoz készült Azure-beli beépített szerepkörökről az Azure RBAC beépített Azure-szerepköreinek Storage szakaszában olvashat. Emellett az Azure-ban engedélyeket biztosító szerepkörök különböző típusaival kapcsolatos információkért tekintse meg az Azure-szerepköröket, a Microsoft Entra szerepköröket és a klasszikus előfizetés-rendszergazdai szerepköröket.

Fontos

Az Azure-szerepkör-hozzárendelések propagálása akár 30 percet is igénybe vehet.

Hozzáférési engedélyek adatműveletekhez

Az adott Blob-szolgáltatásműveletek meghívásához szükséges engedélyekkel kapcsolatos részletekért tekintse meg az adatműveletek hívásához szükséges engedélyeket.

Adatok elérése Microsoft Entra-fiókkal

A blobadatokhoz való hozzáférés az Azure Portalon, a PowerShellen vagy az Azure CLI-n keresztül a felhasználó Microsoft Entra-fiókjával vagy a fiók hozzáférési kulcsaival (megosztott kulcs engedélyezése) engedélyezhető.

Figyelemfelhívás

A megosztott kulccsal való engedélyezés nem ajánlott, mivel kevésbé biztonságos. Az optimális biztonság érdekében tiltsa le a megosztott kulccsal történő engedélyezést a tárfiókhoz, az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című cikkben leírtak szerint.

A hozzáférési kulcsok és a kapcsolati sztring használatát a koncepcióalkalmazások vagy a fejlesztési prototípusok kezdeti ellenőrzésére kell korlátozni, amelyek nem férnek hozzá éles vagy bizalmas adatokhoz. Ellenkező esetben az Azure SDK-ban elérhető jogkivonatalapú hitelesítési osztályokat mindig előnyben kell részesíteni az Azure-erőforrásokhoz való hitelesítéskor.

A Microsoft azt javasolja, hogy az ügyfelek a Microsoft Entra-azonosítót vagy a közös hozzáférésű jogosultságkódot (SAS) használják az Azure Storage-adatokhoz való hozzáférés engedélyezéséhez. További információ: Műveletek engedélyezése adathozzáféréshez.

Adathozzáférés az Azure Portalról

Az Azure Portal használhatja a Microsoft Entra-fiókját vagy a fiók hozzáférési kulcsait egy Azure Storage-fiók blobadatainak eléréséhez. Az Azure Portal által használt engedélyezési séma az Önhöz rendelt Azure-szerepköröktől függ.

Amikor blobadatokat próbál elérni, az Azure Portal először ellenőrzi, hogy hozzárendelték-e Azure-szerepkört a Microsoft.Storage/storageAccounts/listkeys/action szolgáltatáshoz. Ha ezzel a művelettel szerepkörhöz lett hozzárendelve, akkor az Azure Portal a fiókkulcsot használja a blobadatok megosztott kulcsos hitelesítéssel való eléréséhez. Ha még nem rendelt hozzá szerepkört ezzel a művelettel, akkor az Azure Portal megkísérli elérni az adatokat a Microsoft Entra-fiókjával.

Ha a Microsoft Entra-fiókjával szeretné elérni a blobadatokat az Azure Portalról, engedélyekre van szüksége a blobadatok eléréséhez, és engedélyekre is szüksége van az Azure Portal tárfiók-erőforrásainak navigálásához. Az Azure Storage által biztosított beépített szerepkörök hozzáférést biztosítanak a bloberőforrásokhoz, de nem adnak engedélyeket a tárfiók erőforrásaihoz. A portálhoz való hozzáféréshez ezért egy olyan Azure Resource Manager-szerepkör hozzárendelésére is szükség van, amelynek hatóköre legalább a tárfiók szintjére kiterjed (például az Olvasó szerepkör). Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz. Azzal kapcsolatban, hogyan adhat a Microsoft Entra-fiókkal rendelkező felhasználóknak adathozzáférést biztosító engedélyeket, lásd a blobadatokhoz való hozzáférést biztosító Azure-szerepkör hozzárendelését ismertető cikket.

Amikor egy tárolóhoz lép, az Azure Portal jelzi, hogy melyik engedélyezési séma van használatban. A portálon való adathozzáféréssel kapcsolatos további információkért lásd az Azure Portalon a blobadatokhoz való hozzáférés engedélyezési módjának kiválasztását ismertető cikket.

Adathozzáférés a PowerShellből vagy az Azure CLI-ből

Az Azure CLI és a PowerShell támogatja a Microsoft Entra hitelesítő adataival való bejelentkezést. A bejelentkezés után a munkamenet ezen hitelesítő adatok alatt fut. További információért tekintse meg az alábbi cikkek egyikét:

Szolgáltatások támogatása

Ennek a funkciónak a támogatását befolyásolhatja a Data Lake Storage Gen2, a Network File System (NFS) 3.0 protokoll vagy az SSH File Transfer Protocol (SFTP) engedélyezése. Ha engedélyezte bármelyik funkciót, tekintse meg a Blob Storage szolgáltatástámogatását az Azure Storage-fiókokban a funkció támogatásának felméréséhez.

A Blob-adatműveletek Microsoft Entra-azonosítóval való engedélyezése csak a REST API 2017-11-09-es és újabb verzióiban támogatott. További információ: Verziószámozás az Azure Storage-szolgáltatásokhoz.

Megosztás a következőn keresztül: