Felügyeleti erőforrások elérése az Azure Storage-erőforrás-szolgáltató használatával
Az Azure Resource Manager az Azure üzembehelyezési és felügyeleti szolgáltatása. Az Azure Storage-erőforrás-szolgáltató az Azure Resource Manageren alapuló szolgáltatás, amely hozzáférést biztosít az Azure Storage felügyeleti erőforrásaihoz. Az Azure Storage-erőforrás-szolgáltatóval olyan erőforrásokat hozhat létre, frissíthet, kezelhet és törölhet, mint a tárfiókok, a privát végpontok és a fiókelérési kulcsok. Az Azure Resource Managerrel kapcsolatos további információkért tekintse meg az Azure Resource Manager áttekintését.
Az Azure Storage-erőforrás-szolgáltatóval olyan műveleteket hajthat végre, mint például tárfiók létrehozása vagy törlése, vagy a tárfiókok listájának lekérése egy előfizetésben. Az Azure Storage-erőforrás-szolgáltatóval kapcsolatos kérések engedélyezéséhez használja a Microsoft Entra-azonosítót. Ez a cikk bemutatja, hogyan rendelhet engedélyeket felügyeleti erőforrásokhoz, és példákra mutat, amelyek bemutatják, hogyan lehet kéréseket intézni az Azure Storage-erőforrás-szolgáltatóhoz.
Felügyeleti erőforrások és adaterőforrások
A Microsoft két REST API-t biztosít az Azure Storage-erőforrások használatához. Ezek az API-k képezik az Azure Storage-on elvégezhető összes művelet alapját. Az Azure Storage REST API lehetővé teszi, hogy a tárfiókban lévő adatokkal dolgozzon, beleértve a blob-, üzenetsor-, fájl- és táblaadatokat. Az Azure Storage-erőforrás-szolgáltató REST API-ja lehetővé teszi a tárfiók és a kapcsolódó erőforrások használatát.
A blobadatok olvasására vagy írására irányuló kérések más engedélyeket igényelnek, mint a felügyeleti műveletet végrehajtó kérések. Az Azure RBAC részletes vezérlést biztosít mindkét erőforrástípus engedélyeinek felett. Amikor Azure-szerepkört rendel egy biztonsági taghoz, győződjön meg arról, hogy tisztában van azzal, hogy milyen engedélyeket kap a rendszerbiztonsági tag. Az egyes beépített Azure-szerepkörökhöz társított műveletek részletes leírását az Azure beépített szerepkörei között találja.
Az Azure Storage támogatja a Microsoft Entra ID használatát a Blob- és Queue Storage-kérelmek engedélyezéséhez. A blob- és üzenetsor-adatműveletek Azure-szerepköreivel kapcsolatos információkért lásd: Blobok és üzenetsorok hozzáférésének engedélyezése az Active Directory használatával.
Felügyeleti engedélyek hozzárendelése azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC)
Minden Azure-előfizetéshez tartozik egy Microsoft Entra-azonosító, amely kezeli a felhasználókat, csoportokat és alkalmazásokat. A felhasználókat, csoportokat vagy alkalmazásokat a Microsoft Identitásplatform kontextusában biztonsági tagnak is nevezik. Az előfizetés erőforrásaihoz az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával adhat hozzáférést az Active Directoryban definiált biztonsági tagnak.
Amikor Azure-szerepkört rendel egy biztonsági taghoz, azt is jelzi, hogy a szerepkör által megadott engedélyek milyen hatókörben vannak érvényben. Felügyeleti műveletek esetén hozzárendelhet egy szerepkört az előfizetés, az erőforráscsoport vagy a tárfiók szintjén. Azure-szerepkört rendelhet egy biztonsági taghoz az Azure Portal, a klasszikus Azure CLI, a PowerShell vagy az Azure Storage-erőforrás-szolgáltató REST API használatával.
További információ: Mi az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)? és Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.
Beépített szerepkörök felügyeleti műveletekhez
Az Azure beépített szerepköröket biztosít, amelyek engedélyeket biztosítanak a híváskezelési műveletekhez. Az Azure Storage beépített szerepköröket is biztosít, amelyek kifejezetten az Azure Storage-erőforrás-szolgáltatóhoz használhatók.
A tárolókezelési műveletek meghívásához engedélyeket adó beépített szerepkörök az alábbi táblázatban ismertetett szerepköröket tartalmazzák:
| Azure role | Leírás | A fiókkulcsokhoz való hozzáférést is tartalmazza? |
|---|---|---|
| Owner | Kezelheti az összes tárolási erőforrást és az erőforrásokhoz való hozzáférést. | Igen, engedélyeket biztosít a tárfiókkulcsok megtekintéséhez és újragenerálásához. |
| Contributor | Az összes tárolási erőforrást kezelheti, de nem kezelheti az erőforrásokhoz való hozzáférést. | Igen, engedélyeket biztosít a tárfiókkulcsok megtekintéséhez és újragenerálásához. |
| Reader | Megtekintheti a tárfiókkal kapcsolatos információkat, de nem tekintheti meg a fiókkulcsokat. | Nem. |
| Tárfiók-közreműködő | Kezelheti a tárfiókot, információkat kérhet le az előfizetés erőforráscsoportjairól és erőforrásairól, valamint létrehozhat és kezelhet előfizetési erőforráscsoport-központi telepítéseket. | Igen, engedélyeket biztosít a tárfiókkulcsok megtekintéséhez és újragenerálásához. |
| User Access Administrator | Kezelheti a tárfiókhoz való hozzáférést. | Igen, lehetővé teszi, hogy egy biztonsági tag bármilyen engedélyt rendeljen saját magához és másokhoz. |
| Virtuális gépek közreműködője | Kezelheti a virtuális gépeket, de nem azt a tárfiókot, amelyhez csatlakoznak. | Igen, engedélyeket biztosít a tárfiókkulcsok megtekintéséhez és újragenerálásához. |
A tábla harmadik oszlopa jelzi, hogy a beépített szerepkör támogatja-e a Microsoft.Storage/storageAccounts/listkeys/action műveletet. Ez a művelet engedélyeket ad a tárfiókkulcsok olvasásához és újragenerálásához. Az Azure Storage felügyeleti erőforrásainak elérésére vonatkozó engedélyek nem tartalmazzák az adatok elérésére vonatkozó engedélyeket is. Ha azonban egy felhasználó hozzáfér a fiókkulcsokhoz, akkor a fiókkulcsokkal közös kulcsokkal férhet hozzá az Azure Storage-adatokhoz.
Egyéni szerepkörök felügyeleti műveletekhez
Az Azure emellett támogatja az Egyéni Azure-szerepkörök meghatározását a felügyeleti erőforrásokhoz való hozzáféréshez. Az egyéni szerepkörökről további információt az Azure egyéni szerepköreivel kapcsolatban talál.
Code samples
Az Azure Storage felügyeleti kódtárakból származó felügyeleti műveletek engedélyezését és hívását bemutató kódmintákért tekintse meg a következő példákat:
Az Azure Resource Manager és a klasszikus üzemelő példányok
A Resource Manager-alapú és a klasszikus üzemi modell két eltérő módost kínál az Azure-megoldások üzembe helyezésére és felügyeletére. A Microsoft azt javasolja, hogy új tárfiók létrehozásakor használja az Azure Resource Manager-alapú üzemi modellt. Ha lehetséges, a Microsoft azt is javasolja, hogy hozza létre újra a meglévő klasszikus tárfiókokat a Resource Manager-modellel. Bár a klasszikus üzemi modellel hozhat létre tárfiókot, a klasszikus modell kevésbé rugalmas, és idővel elavult lesz.
Az Azure üzemi modellekkel kapcsolatos további információkért lásd a Resource Managert és a klasszikus üzembe helyezést.