Choose how to authorize access to blob data with Azure CLI

Az Azure Storage bővítményeket biztosít az Azure CLI-hez, amelyek lehetővé teszik a blobadatokon végzett műveletek engedélyezésének módját. Az adatműveleteket a következő módokon engedélyezheti:

• Microsoft Entra biztonsági taggal. A Microsoft a Microsoft Entra hitelesítő adatainak használatát javasolja a magas szintű biztonság és a könnyű használat érdekében.
• A fiók hozzáférési kulcsával vagy egy közös hozzáférésű jogosultságkóddal (SAS) rendelkező jogkivonattal.

Az adatműveletek engedélyezésének megadása

A blobadatok olvasására és írására szolgáló Azure CLI-parancsok tartalmazzák az opcionális --auth-mode paramétert. Adja meg ezt a paramétert az adatművelet engedélyezésének módjának jelzéséhez:

• Állítsa be a --auth-mode paramétert úgy, hogy login egy Microsoft Entra biztonsági tag használatával jelentkezzen be (ajánlott).
• Állítsa a paramétert --auth-mode az örökölt key értékre, hogy megkísérlje lekérni a fiók hozzáférési kulcsát az engedélyezéshez. Ha kihagyja a paramétert --auth-mode , az Azure CLI is megpróbálja lekérni a hozzáférési kulcsot.

A paraméter használatához győződjön meg arról, hogy telepítette az --auth-mode Azure CLI 2.0.46-os vagy újabb verzióját. Futtassa az --version a telepített verzió ellenőrzését.

Megjegyzés:

Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Emiatt, ha a fiók írásvédett zárolással van zárolva, a fiókkulcsokkal még nem rendelkező felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférniük a blobadatokhoz.

Fontos

Ha kihagyja vagy beállítja a --auth-mode paramétert key, az Azure CLI megkísérli használni a fiók hozzáférési kulcsát az engedélyezéshez. Ebben az esetben a Microsoft azt javasolja, hogy adja meg a hozzáférési kulcsot a parancsban vagy a AZURE_STORAGE_KEY környezeti változóban. A környezeti változókkal kapcsolatos további információkért tekintse meg a környezeti változók beállítása engedélyezési paraméterekhez című szakaszt.

Ha nem adja meg a hozzáférési kulcsot, az Azure CLI megkísérli meghívni az Azure Storage erőforrás-szolgáltatót, hogy minden művelethez lekérje. Számos olyan adatművelet végrehajtása, amely az erőforrás-szolgáltató felé irányuló hívást igényel, szabályozáshoz vezethet. Az erőforrás-szolgáltató korlátairól további információt az Azure Storage-erőforrás-szolgáltató skálázhatósági és teljesítménycéljaiban talál.

Engedélyezés a Microsoft Entra hitelesítő adataival

Amikor Microsoft Entra-hitelesítő adatokkal jelentkezik be az Azure CLI-be, a rendszer egy OAuth 2.0 hozzáférési jogkivonatot ad vissza. Ezt a jogkivonatot az Azure CLI automatikusan használja a Blob vagy a Queue Storage további adatműveletének engedélyezéséhez. A támogatott műveletekhez már nem kell átadnia egy fiókkulcsot vagy SAS-jogkivonatot a paranccsal.

Engedélyeket rendelhet a blobadatokhoz egy Microsoft Entra biztonsági taghoz az Azure szerepköralapú hozzáférés-vezérlésével (Azure RBAC). Az Azure Storage Azure-szerepköreivel kapcsolatos további információkért lásd : Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez.

Adatműveletek hívásához szükséges engedélyek

Az Azure Storage-bővítmények támogatottak a blobadatokon végzett műveletekhez. A meghívható műveletek attól függenek, hogy milyen engedélyeket kap a Microsoft Entra biztonsági tagjához, amellyel bejelentkezik az Azure CLI-be. Az Azure Storage-tárolókhoz tartozó engedélyek az Azure RBAC-n keresztül vannak hozzárendelve. Ha például a Storage Blob Adatolvasó szerepkörhöz van rendelve, futtathat szkriptelési parancsokat, amelyek adatokat olvasnak egy tárolóból. Ha a Storage Blob Data Közreműködő szerepkörhöz van rendelve, futtathat szkriptelési parancsokat, amelyek beolvasnak, írnak vagy törölnek egy tárolót vagy a benne lévő adatokat.

Az egyes Azure Storage-műveletekhez szükséges engedélyekről az OAuth-jogkivonatokkal rendelkező tárolási műveletek meghívása című témakörben olvashat bővebben.

Példa: Tároló létrehozásához szükséges művelet engedélyezése Microsoft Entra hitelesítő adatokkal

Az alábbi példa bemutatja, hogyan hozhat létre tárolót az Azure CLI-ből a Microsoft Entra hitelesítő adataival. A tároló létrehozásához be kell jelentkeznie az Azure CLI-be, és szüksége lesz egy erőforráscsoportra és egy tárfiókra. Az erőforrások létrehozásának módjáról a rövid útmutatóban tájékozódhat : Blobok létrehozása, letöltése és listázása az Azure CLI-vel.

1. A tároló létrehozása előtt rendelje hozzá saját magának a Storage Blob Data Közreműködő szerepkört. Annak ellenére, hogy Ön a fiók tulajdonosa, explicit engedélyekre van szüksége a tárfiókon végzett adatműveletek végrehajtásához. További információ az Azure-szerepkörök hozzárendeléséről: Azure-szerepkör hozzárendelése blobadatokhoz való hozzáféréshez.

   Fontos

   Az Azure-szerepkör-hozzárendelések propagálása eltarthat néhány percig.

2. Hívja meg az az storage container create parancsot a --auth-mode paraméterkészlettel, hogy login a tárolót a Microsoft Entra hitelesítő adataival hozza létre. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:

   az storage container create \
       --account-name <storage-account> \
       --name sample-container \
       --auth-mode login
   

Engedélyezés a fiók hozzáférési kulcsával

Ha rendelkezik a fiókkulcsmal, bármilyen Azure Storage-adatműveletet meghívhat. A fiókkulcs használata általában kevésbé biztonságos. Ha a fiókkulcsot feltörték, a fiók összes adata megsérülhet.

Az alábbi példa bemutatja, hogyan hozhat létre tárolót a fiók hozzáférési kulcsával. Adja meg a fiókkulcsot, és adja meg a --auth-mode paraméter értékét key :

az storage container create \
    --account-name <storage-account> \
    --name sample-container \
    --account-key <key>
    --auth-mode key

Fontos

Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Ezért ha a fiók olvasási zárolással van zárolva, a felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférnie az adatokhoz.

Engedélyezés SAS-jogkivonattal

Ha rendelkezik SAS-jogkivonattal, meghívhatja az SAS által engedélyezett adatműveleteket. Az alábbi példa bemutatja, hogyan hozhat létre tárolót SAS-jogkivonat használatával:

az storage container create \
    --account-name <storage-account> \
    --name sample-container \
    --sas-token <token>

Környezeti változók beállítása engedélyezési paraméterekhez

Megadhatja az engedélyezési paramétereket a környezeti változókban, hogy ne vegye fel őket az Azure Storage-adatművelet minden hívására. Az alábbi táblázat a rendelkezésre álló környezeti változókat ismerteti.

Környezeti változó	Leírás
AZURE_STORAGE_ACCOUNT	A tárfiók neve. Ezt a változót a tárfiók kulccsal vagy SAS-jogkivonattal együtt kell használni. Ha egyik sem jelenik meg, az Azure CLI megkísérli lekérni a tárfiók hozzáférési kulcsát a hitelesített Microsoft Entra-fiókkal. Ha egyszerre nagy számú parancsot hajt végre, az Azure Storage-erőforrás-szolgáltató szabályozási korlátja elérhető. Az erőforrás-szolgáltató korlátairól további információt az Azure Storage-erőforrás-szolgáltató skálázhatósági és teljesítménycéljaiban talál.
AZURE_STORAGE_KEY	A tárfiókkulcs. Ezt a változót a tárfiók nevével együtt kell használni.
AZURE_STORAGE_CONNECTION_STRING	A tárfiókkulcsot vagy SAS-jogkivonatot tartalmazó kapcsolati sztring. Ezt a változót a tárfiók nevével együtt kell használni.
AZURE_STORAGE_SAS_TOKEN	Közös hozzáférésű jogosultságkód (SAS) jogkivonat. Ezt a változót a tárfiók nevével együtt kell használni.
AZURE_STORAGE_AUTH_MODE	Az engedélyezési mód, amellyel a parancsot futtatni szeretné. Az engedélyezett értékek (ajánlott) login vagy key. Ha megadja login, az Azure CLI a Microsoft Entra hitelesítő adatait használja az adatművelet engedélyezéséhez. Ha megadja az örökölt key módot, az Azure CLI megpróbálja lekérdezni a fiók hozzáférési kulcsát, és engedélyezni a parancsot a kulccsal.

Következő lépések

• Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez
• Hozzáférés engedélyezése az Azure Storage-beli adatokhoz