esemény
márc. 31. 23 - ápr. 2. 23
A legnagyobb Fabric-, Power BI- és SQL-tanulási esemény. Március 31. – Április 2. A FABINSIDER kóddal 400 dollárt takaríthat meg.
Regisztráljon még maHozzáférés engedélyezése az Azure Storage-beli adatokhoz
Minden alkalommal, amikor hozzáfér a tárfiókban lévő adatokhoz, az ügyfélalkalmazás HTTP/HTTPS-en keresztül küld kérést az Azure Storage-ba. Alapértelmezés szerint az Azure Storage minden erőforrása védett, és a biztonságos erőforrásra irányuló minden kérést engedélyezni kell. Az engedélyezés biztosítja, hogy az ügyfélalkalmazás megfelelő engedélyekkel rendelkezik egy adott erőforrás eléréséhez a tárfiókban.
Fontos
Az optimális biztonság érdekében a Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használva engedélyezze a blob-, üzenetsor- és táblaadatokra vonatkozó kéréseket, amikor csak lehetséges. A Microsoft Entra-azonosítóval és felügyelt identitásokkal való engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál. Ha egy .NET-alkalmazáshoz szeretne felügyelt identitást engedélyezni és használni, tekintse meg az Azure-ban üzemeltetett alkalmazások azure-erőforrásokhoz való hitelesítését a .NET-tel.
Az Azure-on kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon az Azure Arc-kompatibilis kiszolgálókon.
Olyan esetekben, amikor közös hozzáférésű jogosultságkódokat (SAS) használnak, a Microsoft egy felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett a Microsoft Entra hitelesítő adatai védik. A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Korlátozott hozzáférés biztosítása közös hozzáférésű jogosultságkódokkal rendelkező adatokhoz. A felhasználói delegálási SAS .NET-sel való létrehozását és használatát ismertető példa: Felhasználói delegálási SAS létrehozása egy .NET-blobhoz.
Az alábbi szakasz az egyes Azure Storage-szolgáltatások engedélyezési támogatását és javaslatait ismerteti.
Az alábbi táblázat a blobok támogatott engedélyezési lehetőségeiről nyújt tájékoztatást:
| Engedélyezési lehetőség | Útmutató | Ajánlás |
|---|---|---|
| Microsoft Entra ID | Az Azure Storage-adatokhoz való hozzáférés engedélyezése a Microsoft Entra-azonosítóval | A Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használja a bloberőforrásokra irányuló kérelmek engedélyezéséhez. |
| Megosztott kulcs (tárfiókkulcs) | Engedélyezés megosztott kulccsal | A Microsoft azt javasolja, hogy tiltsa le a megosztott kulcs engedélyezését a tárfiókjaihoz. |
| Közös hozzáférésű jogosultságkód (SAS) | Közös hozzáférésű jogosultságkódok (SAS) használata | Ha SAS-engedélyezésre van szükség, a Microsoft javasolja a felhasználói delegálási SAS használatát a bloberőforrásokhoz való korlátozott delegált hozzáféréshez. Az SAS-hitelesítés a Blob Storage és a Data Lake Storage esetében támogatott, és végpontokra és dfs végpontokra irányuló hívásokhoz blob használható. |
| Névtelen olvasási hozzáférés | Áttekintés: Blobadatok névtelen olvasási hozzáférésének szervizelése | A Microsoft azt javasolja, hogy tiltsa le az összes tárfiók névtelen hozzáférését. |
| Helyi felhasználók tárolása | Csak SFTP esetén támogatott. További információ: Blob Storage-hozzáférés engedélyezése SFTP-ügyfélhez | További információért tekintse meg az útmutatót. |
Az alábbi szakasz röviden ismerteti az Azure Storage engedélyezési lehetőségeit:
Megosztott kulcs engedélyezése: Blobokra, fájlokra, üzenetsorokra és táblákra vonatkozik. A megosztott kulcsot használó ügyfél minden, a tárfiók hozzáférési kulcsával aláírt kéréssel egy fejlécet ad át. További információ: Engedélyezés megosztott kulccsal.
A tárfiók hozzáférési kulcsát körültekintően kell használni. Bárki, aki rendelkezik a hozzáférési kulccsal, engedélyezheti a tárfiókra irányuló kérelmeket, és hatékonyan hozzáférhet az összes adathoz. A Microsoft azt javasolja, hogy tiltsa le a megosztott kulcs engedélyezését a tárfiókhoz. Ha a megosztott kulcs engedélyezése nem engedélyezett, az ügyfeleknek Microsoft Entra-azonosítót vagy felhasználói delegálási SAS-t kell használniuk az adott tárfiókban lévő adatkérések engedélyezéséhez. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.
Közös hozzáférésű jogosultságkódok blobokhoz , fájlokhoz, üzenetsorokhoz és táblákhoz. A közös hozzáférésű jogosultságkódok (SAS) korlátozott delegált hozzáférést biztosítanak a tárfiók erőforrásaihoz egy aláírt URL-címen keresztül. Az aláírt URL-cím megadja az erőforrásnak adott engedélyeket és az aláírás érvényességének időtartamát. A szolgáltatás SAS-jének vagy fiók SAS-jének aláírása a fiókkulccsal történik, míg a felhasználói delegálási SAS a Microsoft Entra hitelesítő adataival van aláírva, és csak a blobokra vonatkozik. További információ: Közös hozzáférésű jogosultságkódok (SAS) használata.
Microsoft Entra-integráció: Blob-, üzenetsor- és táblaerőforrásokra vonatkozik. A Microsoft azt javasolja, hogy a Microsoft Entra hitelesítő adatait felügyelt identitásokkal használva engedélyezze az adatkéréseket, ha lehetséges, az optimális biztonság és a könnyű használat érdekében. A Microsoft Entra integrációjával kapcsolatos további információkért tekintse meg a blob-, üzenetsor- vagy táblaerőforrásokról szóló cikkeket.
Az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC) kezelheti egy biztonsági tag blob-, üzenetsor- és táblaerőforrás-engedélyeit egy tárfiókban. Az Azure attribútumalapú hozzáférés-vezérlés (ABAC) használatával feltételeket adhat a bloberőforrások Azure-szerepkör-hozzárendeléseihez.
További információ az RBAC-ről: Mi az Az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC)?.
További információ az ABAC-ről: Mi az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)?. Az ABAC-funkciók állapotáról az Azure Storage ABAC-feltételfunkcióinak állapota című témakörben olvashat.
Microsoft Entra Domain Services-hitelesítés: Az Azure Filesra vonatkozik. Az Azure Files támogatja az identitásalapú engedélyezést a Server Message Block (SMB) szolgáltatáson keresztül a Microsoft Entra Domain Servicesen keresztül. Az Azure RBAC használatával részletesen szabályozhatja, hogy egy ügyfél hozzáfér-e az Azure Files-erőforrásokhoz egy tárfiókban. További információ az Azure Files tartományi szolgáltatásokkal történő hitelesítéséről: Az Azure Files identitásalapú hitelesítési lehetőségeinek áttekintése az SMB-hozzáféréshez.
Helyszíni Active Directory tartományi szolgáltatások (AD DS vagy helyszíni AD DS) hitelesítés: Az Azure Filesra vonatkozik. Az Azure Files támogatja az identitásalapú engedélyezést SMB-n keresztül az AD DS-en keresztül. Az AD DS-környezet helyszíni gépeken vagy Azure-beli virtuális gépeken is üzemeltethető. A fájlokhoz való SMB-hozzáférés AD DS-hitelesítő adatokkal támogatott a tartományhoz csatlakoztatott gépekről, akár a helyszínen, akár az Azure-ban. Az Azure RBAC kombinációját használhatja megosztási szintű hozzáférés-vezérléshez és NTFS DAC-okat a címtár-/fájlszintű engedélyérvényesítéshez. Az Azure Files tartományi szolgáltatásokkal történő hitelesítésével kapcsolatos további információkért tekintse meg az áttekintést.
Névtelen olvasási hozzáférés: Blob-erőforrásokra vonatkozik. Ez a beállítás nem ajánlott. Ha a névtelen hozzáférés konfigurálva van, az ügyfelek engedély nélkül is olvashatják a blobadatokat. Javasoljuk, hogy tiltsa le az összes tárfiók névtelen hozzáférését. További információ : Áttekintés: A blobadatok névtelen olvasási hozzáférésének szervizelése.
Helyi tárolófelhasználók: SFTP-vel rendelkező blobokra vagy SMB-vel rendelkező fájlokra vonatkozik. A tároló helyi felhasználói támogatják a tárolószintű engedélyeket az engedélyezéshez. Az SSH-fájlátviteli protokoll (SFTP) használatával az Azure Blob Storage-hoz való csatlakozás című témakörben talál további információt arról, hogy a helyi felhasználók hogyan használhatók az SFTP-vel.
A tárfiók hozzáférési kulcsai teljes hozzáférést biztosítanak a tárfiók adataihoz, valamint sas-jogkivonatok létrehozásához. Mindig ügyeljen a hozzáférési kulcsok védelmére. Az Azure Key Vault használatával biztonságosan kezelheti és elforgathatja a kulcsokat. A megosztott kulcshoz való hozzáférés teljes hozzáférést biztosít a felhasználónak a tárfiók adataihoz. A megosztott kulcsokhoz való hozzáférést gondosan korlátozni és figyelni kell. Használjon korlátozott hozzáférési hatókörű felhasználói delegálási SAS-jogkivonatokat olyan esetekben, amikor a Microsoft Entra ID-alapú hitelesítés nem használható. Kerülje a hozzáférési kulcsok kódolását vagy mentését bárhol, egyszerű, mások számára elérhető szövegben. Forgassa el a kulcsokat, ha úgy véli, hogy feltörték őket.
Fontos
Ha meg szeretné akadályozni, hogy a felhasználók megosztott kulccsal férhessenek hozzá a tárfiók adataihoz, letilthatja a tárfiók megosztott kulcsának engedélyezését. Ajánlott biztonsági eljárásként ajánlott a minimális jogosultságokkal rendelkező adatokhoz való részletes hozzáférés. A Microsoft Entra ID-alapú hitelesítést felügyelt identitásokkal kell használni az OAuth-t támogató forgatókönyvekhez. Kerberost vagy SMTP-t kell használni az Azure Fileshoz SMB-en keresztül. A REST-en keresztüli Azure Files esetében SAS-jogkivonatok használhatók. A megosztott kulcs hozzáférését le kell tiltani, ha nincs szükség a véletlen használat megakadályozására. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.
Az Azure Storage-fiók Microsoft Entra feltételes hozzáférési szabályzatokkal való védelméhez le kell tiltania a tárfiók megosztott kulcsának engedélyezését.
Ha letiltotta a megosztott kulcshoz való hozzáférést, és a diagnosztikai naplókban a megosztott kulcs engedélyezését látja, az azt jelzi, hogy a rendszer megbízható hozzáférést használ a tárterület eléréséhez. További részletekért tekintse meg a Microsoft Entra-bérlőben regisztrált erőforrások megbízható hozzáférését.
További források
Oktatás
Modul
Az Azure Storage-fiók biztonságossá tétele - Training
Megtudhatja, hogyan védi meg az Azure Storage többrétegű biztonsága az adatokat hozzáférési kulcsokkal, biztonságos hálózatokkal és az Advanced Threat Protection monitorozásával.
Tanúsítvány
Microsoft Certified: Identitás- és hozzáférés-rendszergazdai társítás - Certifications
A Microsoft Entra ID funkcióinak bemutatása az identitásmegoldások modernizálásához, hibrid megoldások implementálásához és az identitásszabályozás implementálásához.
Dokumentáció
-
Felügyeleti erőforrások elérése az Azure Storage-erőforrás-szolgáltató használatával
Az Azure Storage-erőforrás-szolgáltató olyan szolgáltatás, amely hozzáférést biztosít az Azure Storage felügyeleti erőforrásaihoz. Az Azure Storage-erőforrás-szolgáltatóval olyan erőforrásokat hozhat létre, frissíthet, kezelhet és törölhet, mint a tárfiókok, a privát végpontok és a fiókelérési kulcsok.
-
Blobadatokhoz való hozzáférés engedélyezése az Azure Portalon - Azure Storage
Amikor blobadatokat ér el az Azure Portalon, a portál a borítók alatt kéréseket küld az Azure Storage-ba. Az Azure Storage felé irányuló kérések hitelesíthetők és engedélyezhetők a Microsoft Entra-fiókkal vagy a tárfiók hozzáférési kulcsával.
-
Blobok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval - Azure Storage
Az Azure-blobokhoz való hozzáférés engedélyezése a Microsoft Entra ID használatával. Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz. Adatok elérése Microsoft Entra-fiókkal.