Blobok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval

Az Azure Storage támogatja a Microsoft Entra ID használatát a blobadatokra irányuló kérések engedélyezéséhez. A Microsoft Entra ID-val azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) adhat engedélyeket egy biztonsági tagnak, amely lehet felhasználó, csoport vagy alkalmazásszolgáltatás-tag. A biztonsági tagot a Microsoft Entra ID hitelesíti egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat ezután a Blob szolgáltatással kapcsolatos kérések engedélyezésére használható.

A Microsoft Entra ID azonosítóval történő engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A Microsoft azt javasolja, hogy ha lehetséges, használja a Microsoft Entra-hitelesítést a blobalkalmazásokkal a minimálisan szükséges jogosultságokkal való hozzáférés biztosítása érdekében.

A Microsoft Entra-azonosítóval rendelkező engedélyezés minden általános célú és Blob Storage-fiókhoz elérhető az összes nyilvános régióban és nemzeti felhőben. Csak az Azure Resource Manager-alapú üzemi modellel létrehozott tárfiókok támogatják a Microsoft Entra engedélyezését.

A Blob Storage emellett támogatja a Microsoft Entra hitelesítő adataival aláírt közös hozzáférésű jogosultságkódok (SAS) létrehozását is. További információ: Korlátozott hozzáférés biztosítása megosztott hozzáférésű jogosultságkódokkal rendelkező adatokhoz.

A Blobokhoz készült Microsoft Entra-azonosító áttekintése

Amikor egy biztonsági tag (egy felhasználó, csoport vagy alkalmazás) megpróbál hozzáférni egy bloberőforráshoz, a kérést engedélyezni kell, kivéve, ha az egy névtelen hozzáférésre elérhető blob. A Microsoft Entra-azonosítóval az erőforráshoz való hozzáférés kétlépéses folyamat:

1. Először a rendszer hitelesíti a biztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad vissza.

   A hitelesítési lépés megköveteli, hogy egy alkalmazás futásidőben OAuth 2.0 hozzáférési jogkivonatot kérjen. Ha egy alkalmazás egy Azure-entitáson belül fut, például Egy Azure-beli virtuális gépről, egy virtuálisgép-méretezési csoportról vagy egy Azure Functions-alkalmazásról, a blobadatok eléréséhez felügyelt identitást használhat.

2. Ezután a rendszer a jogkivonatot egy kérés részeként továbbítja a Blob szolgáltatásnak, és a szolgáltatás a megadott erőforráshoz való hozzáférés engedélyezésére használja.

   Az engedélyezési lépéshez egy vagy több Azure RBAC-szerepkört kell hozzárendelni a kérést küldő biztonsági taghoz. További információ: Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz.

Microsoft Entra-fiók használata portállal, PowerShell-lel vagy Azure CLI-vel

Ha tudni szeretné, hogyan férhet hozzá adatokhoz az Azure Portalon Egy Microsoft Entra-fiókkal, tekintse meg az Azure Portalról való adathozzáférést. Az Azure PowerShell- vagy Azure CLI-parancsok Microsoft Entra-fiókkal való meghívásáról további információt a PowerShellből vagy az Azure CLI-ből származó adathozzáférés című témakörben talál.

Hozzáférés engedélyezése az alkalmazáskódban a Microsoft Entra-azonosító használatával

Ha engedélyezni szeretné az Azure Storage-hoz való hozzáférést a Microsoft Entra-azonosítóval, az alábbi ügyfélkódtárak egyikével szerezhet be egy OAuth 2.0-jogkivonatot:

• Az Azure Identity-ügyfélkódtár a legtöbb fejlesztési forgatókönyvhez ajánlott.
• A Microsoft Authentication Library (MSAL) alkalmas lehet bizonyos speciális helyzetekben.

Azure Identity-ügyfélkódtár

Az Azure Identity-ügyfélkódtár leegyszerűsíti az OAuth 2.0 hozzáférési jogkivonat lekérését a Microsoft Entra ID-val való engedélyezéshez az Azure SDK-on keresztül. A .NET, Java, Python, JavaScript és Go Azure Storage-ügyfélkódtárak legújabb verziói integrálhatók az Egyes nyelvek Azure Identity-kódtáraival, így egyszerű és biztonságos módon szerezhetnek be hozzáférési jogkivonatot az Azure Storage-kérelmek engedélyezéséhez.

Az Azure Identity-ügyfélkódtár előnye, hogy lehetővé teszi, hogy ugyanazt a kódot használja a hozzáférési jogkivonat beszerzéséhez, függetlenül attól, hogy az alkalmazás a fejlesztési környezetben vagy az Azure-ban fut. Az Azure Identity ügyfélkódtár egy hozzáférési jogkivonatot ad vissza egy biztonsági tag számára. Ha a kód az Azure-ban fut, a biztonsági tag lehet az Azure-erőforrások felügyelt identitása, egy szolgáltatásnév vagy egy felhasználó vagy csoport. A fejlesztői környezetben az ügyfélkódtár egy hozzáférési jogkivonatot biztosít egy felhasználó vagy egy egyszerű szolgáltatás számára tesztelési célokra.

Az Azure Identity ügyfélkódtár által visszaadott hozzáférési jogkivonatot a rendszer egy jogkivonat hitelesítő adataiba foglalja bele. Ezután a jogkivonat hitelesítő adataival lekérhet egy szolgáltatásügyfél-objektumot, amelyet az Azure Storage-beli engedélyezett műveletek végrehajtásához használhat. A hozzáférési jogkivonat és a token hitelesítő adatainak lekérésének egyszerű módja az Azure Identity ügyfélkódtár által biztosított DefaultAzureCredential osztály használata. A DefaultAzureCredential több különböző hitelesítő adattípus egymás után történő kipróbálásával próbálja lekérni a jogkivonat hitelesítő adatait. A DefaultAzureCredential mind a fejlesztési környezetben, mind az Azure-ban működik.

Az alábbi táblázat további információkra mutat az adatokhoz való hozzáférés engedélyezéséhez különböző forgatókönyvekben:

Nyelv	.NET	Java	JavaScript	Python	Go
A Hitelesítés és a Microsoft Entra-azonosító áttekintése	.NET-alkalmazások hitelesítése az Azure-szolgáltatásokkal	Azure-hitelesítés Java és Azure Identity használatával	JavaScript-alkalmazások hitelesítése az Azure-ban az Azure SDK használatával	Python-alkalmazások hitelesítése az Azure-ban az Azure SDK használatával
Hitelesítés fejlesztői szolgáltatásnevek használatával	.NET-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során szolgáltatásnevek használatával	Azure-hitelesítés szolgáltatásnévvel	JS-alkalmazások hitelesítése azure-szolgáltatásokba szolgáltatásnévvel	Python-alkalmazások hitelesítése az Azure-szolgáltatásokba a helyi fejlesztés során szolgáltatásnevek használatával	Azure SDK for Go-hitelesítés szolgáltatásnévvel
Hitelesítés fejlesztői vagy felhasználói fiókok használatával	.NET-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával	Azure-hitelesítés felhasználói hitelesítő adatokkal	JS-alkalmazások hitelesítése az Azure-szolgáltatásokba fejlesztői fiókokkal	Python-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával	Azure-hitelesítés a Go-hoz készült Azure SDK-val
Hitelesítés az Azure által üzemeltetett alkalmazásokból	Azure-beli alkalmazások hitelesítése Azure-erőforrásokba a .NET-hez készült Azure SDK-val	Az Azure által üzemeltetett Java-alkalmazások hitelesítése	Azure-beli JavaScript-alkalmazások hitelesítése Azure-erőforrásokra a JavaScripthez készült Azure SDK-val	Azure-beli alkalmazások hitelesítése Azure-erőforrásokba a Pythonhoz készült Azure SDK-val	Hitelesítés a Go-hoz készült Azure SDK-val felügyelt identitás használatával
Hitelesítés helyszíni alkalmazásokból	Hitelesítés Azure-erőforrásokon a helyszínen üzemeltetett .NET-alkalmazásokból		Helyszíni JavaScript-alkalmazások hitelesítése Azure-erőforrásokon	Hitelesítés Azure-erőforrásokba a helyszínen üzemeltetett Python-alkalmazásokból
Identitásügyfél-kódtár áttekintése	Azure Identity ügyfélkódtár a .NET-hez	Azure Identity-ügyfélkódtár Java-hoz	Azure Identity-ügyfélkódtár JavaScripthez	Azure Identity-ügyfélkódtár Pythonhoz	Azure Identity ügyfélkódtár a Go-hoz

Microsoft Authentication Library (MSAL)

Bár a Microsoft azt javasolja, hogy lehetőség szerint használja az Azure Identity-ügyfélkódtárat, az MSAL-kódtár alkalmas lehet bizonyos speciális helyzetekben való használatra. További információ: MSAL.

Ha az MSAL használatával szerez be egy OAuth-jogkivonatot az Azure Storage-hoz való hozzáféréshez, meg kell adnia egy Microsoft Entra-erőforrás-azonosítót. A Microsoft Entra erőforrás-azonosítója azt a célközönséget jelzi, amely számára egy kibocsátott jogkivonat használható az Azure-erőforrásokhoz való hozzáférés biztosítására. Az Azure Storage esetében az erőforrás-azonosító egyetlen tárfiókra vonatkozhat, vagy bármely tárfiókra vonatkozhat.

Ha egy adott tárfiókra és szolgáltatásra jellemző erőforrás-azonosítót ad meg, az erőforrás-azonosító egy jogkivonat beszerzésére szolgál, amely csak a megadott fiókra és szolgáltatásra irányuló kérelmek engedélyezésére szolgál. Az alábbi táblázat az erőforrás-azonosítóhoz használandó értéket sorolja fel a használt felhő alapján. Cserélje le a <account-name> kifejezést a tárfiókja nevére.

Felhőbeli	Erőforrás-azonosító
Azure Global	https://<account-name>.blob.core.windows.net
Azure Government	https://<account-name>.blob.core.usgovcloudapi.net
Azure China 21Vianet	https://<account-name>.blob.core.chinacloudapi.cn

Megadhat egy erőforrás-azonosítót is, amely bármely tárfiókra érvényes, ahogy az az alábbi táblázatban is látható. Ez az erőforrás-azonosító minden nyilvános és szuverén felhő esetében ugyanaz, és egy jogkivonat beszerzésére szolgál a tárfiókokra irányuló kérések engedélyezéséhez.

Felhőbeli	Erőforrás-azonosító
Azure Global Azure Government Azure China 21Vianet	https://storage.azure.com/

Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz

A Microsoft Entra hozzáférési jogosultságokat engedélyez az erőforrások védelméhez az Azure RBAC-en keresztül. Az Azure Storage beépített RBAC-szerepkörök készletét határozza meg, amelyek a blobadatok eléréséhez használt közös engedélykészleteket foglalják magukban. A blobadatokhoz való hozzáféréshez egyéni szerepköröket is definiálhat. Ha többet szeretne megtudni az Azure-szerepkörök blobhozzáféréshez való hozzárendeléséről, olvassa el az Azure-szerepkörök blobadatokhoz való hozzáféréshez való hozzárendelését ismertető témakört.

A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz. A biztonsági taghoz rendelt RBAC-szerepkörök határozzák meg azokat az engedélyeket, amelyekkel az egyszerű felhasználó rendelkezik a megadott erőforráshoz. Ha többet szeretne tudni az Azure-szerepkörök blobhozzáféréshez való hozzárendeléséről, olvassa el az Azure-szerepkörök blobadatokhoz való hozzáféréshez való hozzárendelését ismertető témakört .

Bizonyos esetekben előfordulhat, hogy engedélyeznie kell a bloberőforrásokhoz való részletes hozzáférést, vagy egyszerűsíteni kell az engedélyeket, ha nagy számú szerepkör-hozzárendeléssel rendelkezik egy tárerőforráshoz. Az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC) használatával konfigurálhatja a szerepkör-hozzárendelések feltételeit. A feltételeket egyéni szerepkörrel is használhatja, vagy kiválaszthatja a beépített szerepköröket. További információ az Azure Storage-erőforrások ABAC-vel való konfigurálásáról: Blobok hozzáférésének engedélyezése Azure-szerepkör-hozzárendelési feltételekkel (előzetes verzió). A blobadat-műveletek támogatott feltételeiről további információt az Azure Storage azure-beli szerepkör-hozzárendelési feltételeinek műveletei és attribútumai (előzetes verzió) című témakörben talál.

Megjegyzés:

Azure Storage-fiók létrehozásakor a rendszer nem rendeli hozzá automatikusan az adatok Microsoft Entra-azonosítón keresztüli eléréséhez szükséges engedélyeket. Kifejezetten azure-szerepkört kell hozzárendelnie a Blob Storage-hoz való hozzáféréshez. Hozzárendelheti az előfizetés, az erőforráscsoport, a tárfiók vagy a tároló szintjén.

Erőforrás hatóköre

Mielőtt Azure RBAC-szerepkört rendel egy biztonsági taghoz, határozza meg, hogy milyen hozzáférési hatókörrel kell rendelkeznie a biztonsági tagnak. Az ajánlott eljárások azt diktálják, hogy mindig a lehető legszűkebb hatókört érdemes megadni. A szélesebb hatókörben definiált Azure RBAC-szerepköröket az alattuk lévő erőforrások öröklik.

Az Azure Blob-erőforrásokhoz való hozzáférést a következő szinteken, a legszűkebb hatókörtől kezdve használhatja:

• Egy különálló tároló. Ebben a hatókörben a szerepkör-hozzárendelés a tároló összes blobjára, valamint a tároló tulajdonságaira és metaadataira vonatkozik.
• A tárfiók. Ebben a hatókörben a szerepkör-hozzárendelés az összes tárolóra és blobra vonatkozik.
• Az erőforráscsoport. Ebben a hatókörben a szerepkör-hozzárendelés az erőforráscsoport összes tárfiókjában lévő összes tárolóra vonatkozik.
• Az előfizetés. Ebben a hatókörben a szerepkör-hozzárendelés az előfizetés összes erőforráscsoportjának összes tárfiókjában lévő összes tárolóra vonatkozik.
• Egy felügyeleti csoport. Ebben a hatókörben a szerepkör-hozzárendelés a felügyeleti csoport összes előfizetésében lévő összes erőforráscsoport összes tárfiókjában lévő összes tárolóra vonatkozik.

További információ az Azure RBAC-szerepkör-hozzárendelések hatóköréről: Az Azure RBAC hatókörének ismertetése.

Azure beépített szerepkörök blobokhoz

Az Azure RBAC számos beépített szerepkört biztosít a blobadatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID és az OAuth használatával. Néhány példa az Azure Storage-beli adaterőforrások engedélyeit biztosító szerepkörökre:

• Storage Blob Data Owner: Use to set ownership and manage POSIX access control for Azure Data Lake Storage Gen2. For more information, see Access control in Azure Data Lake Storage Gen2.
• Storage Blob Data Contributor: Use to grant read/write/delete permissions to Blob storage resources.
• Storage Blob Data Reader: Use to grant read-only permissions to Blob storage resources.
• Storage Blob Delegator: Get a user delegation key to use to create a shared access signature that is signed with Microsoft Entra credentials for a container or blob.

Ha tudni szeretné, hogyan rendelhet azure-beli beépített szerepkört egy biztonsági taghoz, olvassa el a Blob-adatokhoz való hozzáféréshez szükséges Azure-szerepkörök hozzárendelése című témakört. Az Azure RBAC-szerepkörök és azok engedélyeinek listázásához tekintse meg az Azure-szerepkördefiníciók listáját.

A beépített szerepkörök Azure Storage-hoz való definiálásáról további információt a szerepkördefiníciók ismertetése című témakörben talál. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörökben talál.

Csak az adathozzáféréshez explicit módon definiált szerepkörök teszik lehetővé a biztonsági tagok számára a blobadatok elérését. A beépített szerepkörök, például a Tulajdonos, a Közreműködő és a Tárfiók közreműködője lehetővé teszik a biztonsági tagok számára a tárfiókok kezelését, de nem biztosítanak hozzáférést a fiók blobadataihoz a Microsoft Entra-azonosítón keresztül. Ha azonban egy szerepkör tartalmazza a Microsoft.Storage/storageAccounts/listKeys/action függvényt, akkor a szerepkörrel rendelkező felhasználók a fiók hozzáférési kulcsaival megosztott kulcsok engedélyezésével férhetnek hozzá a tárfiók adataihoz. További információ: A blobadatokhoz való hozzáférés engedélyezése az Azure Portalon.

Az Azure Storage beépített Azure-szerepköreiről az adatszolgáltatásokhoz és a felügyeleti szolgáltatáshoz készült Azure-beli beépített szerepkörökről az Azure RBAC beépített Azure-szerepköreinek Storage szakaszában olvashat. Emellett az Azure-ban engedélyeket biztosító szerepkörök különböző típusaival kapcsolatos információkért tekintse meg az Azure-szerepköröket, a Microsoft Entra szerepköröket és a klasszikus előfizetés-rendszergazdai szerepköröket.

Fontos

Az Azure-szerepkör-hozzárendelések propagálása akár 30 percet is igénybe vehet.

Hozzáférési engedélyek adatműveletekhez

Az adott Blob-szolgáltatásműveletek meghívásához szükséges engedélyekkel kapcsolatos részletekért tekintse meg az adatműveletek hívásához szükséges engedélyeket.

Adatok elérése Microsoft Entra-fiókkal

A blobadatokhoz való hozzáférés az Azure Portalon, a PowerShellen vagy az Azure CLI-n keresztül a felhasználó Microsoft Entra-fiókjával vagy a fiók hozzáférési kulcsaival (megosztott kulcs engedélyezése) engedélyezhető.

Figyelem

A megosztott kulccsal való engedélyezés nem ajánlott, mivel kevésbé biztonságos. Az optimális biztonság érdekében tiltsa le a megosztott kulccsal történő engedélyezést a tárfiókhoz, az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című cikkben leírtak szerint.

A hozzáférési kulcsok és a kapcsolati sztring használatát a koncepcióalkalmazások vagy a fejlesztési prototípusok kezdeti ellenőrzésére kell korlátozni, amelyek nem férnek hozzá éles vagy bizalmas adatokhoz. Ellenkező esetben az Azure SDK-ban elérhető jogkivonatalapú hitelesítési osztályokat mindig előnyben kell részesíteni az Azure-erőforrásokhoz való hitelesítéskor.

A Microsoft azt javasolja, hogy az ügyfelek a Microsoft Entra-azonosítót vagy a közös hozzáférésű jogosultságkódot (SAS) használják az Azure Storage-adatokhoz való hozzáférés engedélyezéséhez. További információ: Műveletek engedélyezése adathozzáféréshez.

Adathozzáférés az Azure Portalról

Az Azure Portal használhatja a Microsoft Entra-fiókját vagy a fiók hozzáférési kulcsait egy Azure Storage-fiók blobadatainak eléréséhez. Az Azure Portal által használt engedélyezési séma az Önhöz rendelt Azure-szerepköröktől függ.

Amikor blobadatokat próbál elérni, az Azure Portal először ellenőrzi, hogy hozzárendelték-e Azure-szerepkört a Microsoft.Storage/storageAccounts/listkeys/action szolgáltatáshoz. Ha ezzel a művelettel szerepkörhöz lett hozzárendelve, akkor az Azure Portal a fiókkulcsot használja a blobadatok megosztott kulcsos hitelesítéssel való eléréséhez. Ha még nem rendelt hozzá szerepkört ezzel a művelettel, akkor az Azure Portal megkísérli elérni az adatokat a Microsoft Entra-fiókjával.

Ha a Microsoft Entra-fiókjával szeretné elérni a blobadatokat az Azure Portalról, engedélyekre van szüksége a blobadatok eléréséhez, és engedélyekre is szüksége van az Azure Portal tárfiók-erőforrásainak navigálásához. Az Azure Storage által biztosított beépített szerepkörök hozzáférést biztosítanak a bloberőforrásokhoz, de nem adnak engedélyeket a tárfiók erőforrásaihoz. For this reason, access to the portal also requires the assignment of an Azure Resource Manager role such as the Reader role, scoped to the level of the storage account or higher. Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz. Azzal kapcsolatban, hogyan adhat a Microsoft Entra-fiókkal rendelkező felhasználóknak adathozzáférést biztosító engedélyeket, lásd a blobadatokhoz való hozzáférést biztosító Azure-szerepkör hozzárendelését ismertető cikket.

Amikor egy tárolóhoz lép, az Azure Portal jelzi, hogy melyik engedélyezési séma van használatban. A portálon való adathozzáféréssel kapcsolatos további információkért lásd az Azure Portalon a blobadatokhoz való hozzáférés engedélyezési módjának kiválasztását ismertető cikket.

Adathozzáférés a PowerShellből vagy az Azure CLI-ből

Az Azure CLI és a PowerShell támogatja a Microsoft Entra hitelesítő adataival való bejelentkezést. A bejelentkezés után a munkamenet ezen hitelesítő adatok alatt fut. További információért tekintse meg az alábbi cikkek egyikét:

• Choose how to authorize access to blob data with Azure CLI
• PowerShell-parancsok futtatása Microsoft Entra hitelesítő adatokkal a blobadatok eléréséhez

Szolgáltatások támogatása

Ennek a funkciónak a támogatását befolyásolhatja a Data Lake Storage Gen2, a Network File System (NFS) 3.0 protokoll vagy az SSH File Transfer Protocol (SFTP) engedélyezése. Ha engedélyezte bármelyik funkciót, tekintse meg a Blob Storage szolgáltatástámogatását az Azure Storage-fiókokban a funkció támogatásának felméréséhez.

A Blob-adatműveletek Microsoft Entra-azonosítóval való engedélyezése csak a REST API 2017-11-09-es és újabb verzióiban támogatott. További információ: Verziószámozás az Azure Storage-szolgáltatásokhoz.

További lépések

• Hozzáférés engedélyezése az Azure Storage-beli adatokhoz
• Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez