Hozzáférés engedélyezése az Azure Storage-beli adatokhoz
Minden alkalommal, amikor hozzáfér a tárfiókban lévő adatokhoz, az ügyfélalkalmazás HTTP/HTTPS-en keresztül küld kérést az Azure Storage-ba. Alapértelmezés szerint az Azure Storage minden erőforrása védett, és a biztonságos erőforrásra irányuló minden kérést engedélyezni kell. Az engedélyezés biztosítja, hogy az ügyfélalkalmazás megfelelő engedélyekkel rendelkezik egy adott erőforrás eléréséhez a tárfiókban.
Az adatműveletek engedélyezésének ismertetése
Az alábbi táblázat az Azure Storage által az adatokhoz való hozzáférés engedélyezésére vonatkozó lehetőségeket ismerteti:
| Azure-összetevő | Megosztott kulcs (tárfiókkulcs) | Közös hozzáférésű jogosultságkód (SAS) | Microsoft Entra ID | Helyszíni Active Directory tartományi szolgáltatások | névtelen olvasási hozzáférés | Helyi felhasználók tárolása |
|---|---|---|---|---|---|---|
| Azure Blobs | Támogatott | Támogatott | Támogatott | Nem támogatott | Támogatott, de nem ajánlott | Támogatott, csak SFTP esetén |
| Azure Files (SMB) | Támogatott | Nem támogatott | Támogatott, csak a Microsoft Entra Domain Services szolgáltatással felhőalapú vagy Microsoft Entra Kerberos hibrid identitásokhoz | Támogatott, a hitelesítő adatokat szinkronizálni kell a Microsoft Entra-azonosítóval | Nem támogatott | Nem támogatott |
| Azure Files (REST) | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott | Nem támogatott |
| Azure Queues | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott | Nem támogatott |
| Azure-táblák | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott | Nem támogatott |
Az alábbiakban röviden ismertetjük az egyes engedélyezési lehetőségeket:
Megosztott kulcs engedélyezése blobokhoz, fájlokhoz, üzenetsorokhoz és táblákhoz. A megosztott kulcsot használó ügyfél minden, a tárfiók hozzáférési kulcsával aláírt kéréssel egy fejlécet ad át. További információ: Engedélyezés megosztott kulccsal.
A Microsoft azt javasolja, hogy tiltsa le a megosztott kulcs engedélyezését a tárfiókhoz. Ha a megosztott kulcs engedélyezése nem engedélyezett, az ügyfeleknek Microsoft Entra-azonosítót vagy felhasználói delegálási SAS-t kell használniuk az adott tárfiókban lévő adatkérések engedélyezéséhez. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.
Közös hozzáférésű jogosultságkódok blobokhoz , fájlokhoz, üzenetsorokhoz és táblákhoz. A közös hozzáférésű jogosultságkódok (SAS) korlátozott delegált hozzáférést biztosítanak a tárfiók erőforrásaihoz egy aláírt URL-címen keresztül. Az aláírt URL-cím megadja az erőforrásnak adott engedélyeket és az aláírás érvényességének időtartamát. A szolgáltatás SAS-jének vagy fiók SAS-jének aláírása a fiókkulccsal történik, míg a felhasználói delegálási SAS a Microsoft Entra hitelesítő adataival van aláírva, és csak a blobokra vonatkozik. További információ: Közös hozzáférésű jogosultságkódok (SAS) használata.
A Microsoft Entra integrációja a blob-, üzenetsor- és táblaerőforrásokra irányuló kérelmek engedélyezéséhez. A Microsoft azt javasolja, hogy a Microsoft Entra hitelesítő adataival engedélyezze az adatkéréseket, ha lehetséges, az optimális biztonság és a könnyű használat érdekében. A Microsoft Entra integrációjával kapcsolatos további információkért tekintse meg a blob-, üzenetsor- vagy táblaerőforrásokról szóló cikkeket.
Az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) kezelheti egy biztonsági tag blob-, üzenetsor- és táblaerőforrás-engedélyeit egy tárfiókban. Az Azure attribútumalapú hozzáférés-vezérlés (ABAC) használatával feltételeket adhat a bloberőforrások Azure-szerepkör-hozzárendeléseihez.
További információ az RBAC-ről: Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?.
Az ABAC-ről és annak funkcióállapotáról a következő témakörben talál további információt:
Mi az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?
Microsoft Entra Domain Services-hitelesítés az Azure Fileshoz. Az Azure Files támogatja az identitásalapú engedélyezést a Server Message Block (SMB) szolgáltatáson keresztül a Microsoft Entra Domain Servicesen keresztül. Az Azure RBAC használatával részletesen szabályozhatja, hogy egy ügyfél hozzáfér-e az Azure Files-erőforrásokhoz egy tárfiókban. Az Azure Files tartományi szolgáltatásokkal történő hitelesítésével kapcsolatos további információkért tekintse meg az áttekintést.
Helyszíni Active Directory tartományi szolgáltatások (AD DS vagy helyszíni AD DS) hitelesítés az Azure Fileshoz. Az Azure Files támogatja az identitásalapú engedélyezést SMB-n keresztül az AD DS-en keresztül. Az AD DS-környezet helyszíni gépeken vagy Azure-beli virtuális gépeken is üzemeltethető. A fájlokhoz való SMB-hozzáférés AD DS-hitelesítő adatokkal támogatott a tartományhoz csatlakoztatott gépekről, akár a helyszínen, akár az Azure-ban. Az Azure RBAC kombinációját használhatja megosztási szintű hozzáférés-vezérléshez és NTFS DAC-okat a címtár-/fájlszintű engedélyérvényesítéshez. Az Azure Files tartományi szolgáltatásokkal történő hitelesítésével kapcsolatos további információkért tekintse meg az áttekintést.
A blobadatok névtelen olvasási hozzáférése támogatott, de nem ajánlott. Ha a névtelen hozzáférés konfigurálva van, az ügyfelek engedély nélkül is olvashatják a blobadatokat. Javasoljuk, hogy tiltsa le az összes tárfiók névtelen hozzáférését. További információ : Áttekintés: A blobadatok névtelen olvasási hozzáférésének szervizelése.
A helyi storage-felhasználók SFTP-vel vagy SMB-fájlokkal rendelkező blobokhoz is hozzáférhetnek. A tároló helyi felhasználói támogatják a tárolószintű engedélyeket az engedélyezéshez. Az SSH-fájlátviteli protokoll (SFTP) használatával az Azure Blob Storage-ba való Csatlakozás további információ arról, hogy a helyi felhasználók hogyan használhatók az SFTP-vel.
A hozzáférési kulcsok védelme
A tárfiók hozzáférési kulcsai teljes hozzáférést biztosítanak a tárfiók konfigurációihoz, valamint az adatokhoz. Mindig ügyeljen a hozzáférési kulcsok védelmére. Az Azure Key Vault használatával biztonságosan kezelheti és elforgathatja a kulcsokat. A megosztott kulcshoz való hozzáférés teljes hozzáférést biztosít a felhasználónak a tárfiók konfigurációihoz és adataihoz. A megosztott kulcsokhoz való hozzáférést gondosan korlátozni és figyelni kell. Korlátozott hozzáférési hatókörrel rendelkező SAS-jogkivonatok használata olyan esetekben, amikor a Microsoft Entra ID-alapú hitelesítés nem használható. Kerülje a hozzáférési kulcsok kódolását vagy mentését bárhol, egyszerű, mások számára elérhető szövegben. Forgassa el a kulcsokat, ha úgy véli, hogy feltörték őket.
Fontos
A Microsoft azt javasolja, hogy a Microsoft Entra ID használatával engedélyezze a blob-, üzenetsor- és táblaadatokra irányuló kérelmeket, ha lehetséges, a fiókkulcsok használata helyett (megosztott kulcs engedélyezése). A Microsoft Entra ID azonosítóval történő engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. Az alkalmazásokBól származó Microsoft Entra-engedélyezés használatáról további információt a .NET-alkalmazások Azure-szolgáltatásokkal való hitelesítése című témakörben talál. SMB Azure-fájlmegosztások esetén a Microsoft a helyi Active Directory Domain Services (AD DS) integrációját vagy a Microsoft Entra Kerberos-hitelesítés használatát javasolja.
Ha meg szeretné akadályozni, hogy a felhasználók megosztott kulccsal férhessenek hozzá a tárfiók adataihoz, letilthatja a tárfiók megosztott kulcsának engedélyezését. Ajánlott biztonsági eljárásként ajánlott a minimális jogosultságokkal rendelkező adatokhoz való részletes hozzáférés. A Microsoft Entra ID-alapú hitelesítést az OAuth-t támogató forgatókönyvekhez kell használni. Kerberost vagy SMTP-t kell használni az Azure Fileshoz SMB-en keresztül. A REST-en keresztüli Azure Files esetében SAS-jogkivonatok használhatók. A megosztott kulcs hozzáférését le kell tiltani, ha nincs szükség a véletlen használat megakadályozására. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.
Az Azure Storage-fiók Microsoft Entra feltételes hozzáférési szabályzatokkal való védelméhez le kell tiltania a tárfiók megosztott kulcsának engedélyezését.
Ha letiltotta a megosztott kulcshoz való hozzáférést, és a diagnosztikai naplókban a megosztott kulcs engedélyezését látja, az azt jelzi, hogy a rendszer megbízható hozzáférést használ a tárterület eléréséhez. További információ: Az előfizetésben regisztrált erőforrások megbízható hozzáférése.