Configure Azure Storage connection strings (Az Azure Storage kapcsolati sztringek konfigurálása)
A kapcsolati sztring tartalmazzák azokat az engedélyezési információkat, amelyekre az alkalmazásnak szüksége van ahhoz, hogy futtatókörnyezetben, megosztott kulcsos hitelesítéssel hozzáférjen az Azure Storage-fiók adataihoz. A kapcsolati sztring a következőre konfigurálhatók:
- Csatlakozzon az Azurite Storage emulátorhoz.
- Tárfiók elérése az Azure-ban.
- A megadott erőforrások elérése az Azure-ban egy közös hozzáférésű jogosultságkódon (SAS) keresztül.
A fiókelérési kulcsok megtekintéséről és a kapcsolati sztring másolásáról a Tárfiók hozzáférési kulcsok kezelése című témakörben olvashat.
Fontos
Az optimális biztonság érdekében a Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használva engedélyezze a blob-, üzenetsor- és táblaadatokra vonatkozó kéréseket, amikor csak lehetséges. A Microsoft Entra-azonosítóval és felügyelt identitásokkal való engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál. Ha egy .NET-alkalmazáshoz szeretne felügyelt identitást engedélyezni és használni, tekintse meg az Azure-ban üzemeltetett alkalmazások azure-erőforrásokhoz való hitelesítését a .NET-tel.
Az Azure-on kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon az Azure Arc-kompatibilis kiszolgálókon.
Olyan esetekben, amikor közös hozzáférésű jogosultságkódokat (SAS) használnak, a Microsoft egy felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett a Microsoft Entra hitelesítő adatai védik. A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Korlátozott hozzáférés biztosítása közös hozzáférésű jogosultságkódokkal rendelkező adatokhoz. A felhasználói delegálási SAS .NET-sel való létrehozását és használatát ismertető példa: Felhasználói delegálási SAS létrehozása egy .NET-blobhoz.
A hozzáférési kulcsok védelme
A tárfiók hozzáférési kulcsai teljes hozzáférést biztosítanak a tárfiók adataihoz, valamint sas-jogkivonatok létrehozásához. Mindig ügyeljen a hozzáférési kulcsok védelmére. Az Azure Key Vault használatával biztonságosan kezelheti és elforgathatja a kulcsokat. A megosztott kulcshoz való hozzáférés teljes hozzáférést biztosít a felhasználónak a tárfiók adataihoz. A megosztott kulcsokhoz való hozzáférést gondosan korlátozni és figyelni kell. Használjon korlátozott hozzáférési hatókörű felhasználói delegálási SAS-jogkivonatokat olyan esetekben, amikor a Microsoft Entra ID-alapú hitelesítés nem használható. Kerülje a hozzáférési kulcsok kódolását vagy mentését bárhol, egyszerű, mások számára elérhető szövegben. Forgassa el a kulcsokat, ha úgy véli, hogy feltörték őket.
Fontos
Ha meg szeretné akadályozni, hogy a felhasználók megosztott kulccsal férhessenek hozzá a tárfiók adataihoz, letilthatja a tárfiók megosztott kulcsának engedélyezését. Ajánlott biztonsági eljárásként ajánlott a minimális jogosultságokkal rendelkező adatokhoz való részletes hozzáférés. A Microsoft Entra ID-alapú hitelesítést felügyelt identitásokkal kell használni az OAuth-t támogató forgatókönyvekhez. Kerberost vagy SMTP-t kell használni az Azure Fileshoz SMB-en keresztül. A REST-en keresztüli Azure Files esetében SAS-jogkivonatok használhatók. A megosztott kulcs hozzáférését le kell tiltani, ha nincs szükség a véletlen használat megakadályozására. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.
Az Azure Storage-fiók Microsoft Entra feltételes hozzáférési szabályzatokkal való védelméhez le kell tiltania a tárfiók megosztott kulcsának engedélyezését.
Ha letiltotta a megosztott kulcshoz való hozzáférést, és a diagnosztikai naplókban a megosztott kulcs engedélyezését látja, az azt jelzi, hogy a rendszer megbízható hozzáférést használ a tárterület eléréséhez. További részletekért tekintse meg a Microsoft Entra-bérlőben regisztrált erőforrások megbízható hozzáférését.
Kapcsolati sztring tárolása
Az alkalmazásnak futtatókörnyezetben kell hozzáférnie a kapcsolati sztring az Azure Storage-ba irányuló kérések engedélyezéséhez. Számos lehetősége van a fiók hozzáférési kulcsainak vagy kapcsolati sztring tárolására:
- A fiókkulcsokat biztonságosan tárolhatja az Azure Key Vaultban. További információ: Az Azure Key Vault által felügyelt tárfiókkulcsok ismertetése.
- A kapcsolati sztring egy környezeti változóban tárolhatja.
- Egy alkalmazás tárolhatja a kapcsolati sztring egy app.config vagy web.config fájlban. Adja hozzá a kapcsolati sztring a fájlok AppSettings szakaszához.
Figyelmeztetés
A fiók hozzáférési kulcsainak vagy kapcsolati sztring tiszta szövegben való tárolása biztonsági kockázatot jelent, ezért nem ajánlott. Tárolja a fiókkulcsokat titkosított formátumban, vagy migrálja az alkalmazásokat a Microsoft Entra-hitelesítés használatára a tárfiókhoz való hozzáféréshez.
Kapcsolati sztring konfigurálása az Azurite-hoz
Az emulátor egyetlen rögzített fiókot és egy jól ismert hitelesítési kulcsot támogat a megosztott kulcsú hitelesítéshez. Ez a fiók és kulcs az egyetlen közös kulcsú hitelesítő adat, amely az emulátorhoz használható. Ezek a következők:
Account name: devstoreaccount1
Account key: Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==
Feljegyzés
Az emulátor által támogatott hitelesítési kulcs csak az ügyfél-hitelesítési kód funkcióinak tesztelésére szolgál. Nem szolgál semmilyen biztonsági célt. Az éles tárfiókot és -kulcsot nem használhatja az emulátorhoz. Ne használja a fejlesztési fiókot éles adatokkal.
Az emulátor csak HTTP-en keresztül támogatja a kapcsolatot. Azonban a HTTPS az ajánlott protokoll egy éles Azure-tárfiók erőforrásainak eléréséhez.
Csatlakozás az emulátorfiókhoz a parancsikon használatával
Az emulátorhoz az alkalmazásból a legegyszerűbben úgy csatlakozhat, ha konfigurál egy kapcsolati sztring az alkalmazás konfigurációs fájljában, amely a parancsikonra hivatkozikUseDevelopmentStorage=true. A parancsikon egyenértékű az emulátor teljes kapcsolati sztring, amely meghatározza a fiók nevét, a fiókkulcsot és az emulátorvégpontokat az egyes Azure Storage-szolgáltatásokhoz:
DefaultEndpointsProtocol=http;AccountName=devstoreaccount1;
AccountKey=Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==;
BlobEndpoint=http://127.0.0.1:10000/devstoreaccount1;
QueueEndpoint=http://127.0.0.1:10001/devstoreaccount1;
TableEndpoint=http://127.0.0.1:10002/devstoreaccount1;
Az alábbi .NET-kódrészlet bemutatja, hogyan használhatja a parancsikont egy kapcsolati sztring használó metódusból. A BlobContainerClient(Sztring, Sztring) konstruktor például egy kapcsolati sztring vesz igénybe.
BlobContainerClient blobContainerClient = new BlobContainerClient("UseDevelopmentStorage=true", "sample-container");
blobContainerClient.CreateIfNotExists();
Győződjön meg arról, hogy az emulátor fut, mielőtt meghívja a kódot a kódrészletben.
Az Azurite-ról további információt az Azurite emulátor használata a helyi Azure Storage-fejlesztéshez című témakörben talál.
Kapcsolati sztring konfigurálása Azure Storage-fiókhoz
Ha kapcsolati sztring szeretne létrehozni az Azure Storage-fiókjához, használja az alábbi formátumot. Adja meg, hogy https (ajánlott) vagy HTTP használatával szeretne-e csatlakozni a tárfiókhoz, cserélje le myAccountName a tárfiók nevére, és cserélje le myAccountKey a fiók hozzáférési kulcsára:
DefaultEndpointsProtocol=[http|https];AccountName=myAccountName;AccountKey=myAccountKey
A kapcsolati sztring például a következőhöz hasonlóan nézhet ki:
DefaultEndpointsProtocol=https;AccountName=storagesample;AccountKey=<account-key>
Bár az Azure Storage a HTTP-t és a HTTPS-t is támogatja egy kapcsolati sztring, a HTTPS használata erősen ajánlott.
Tipp.
A tárfiók kapcsolati sztring az Azure Portalon található. A tárfiók beállításai között keresse meg a Biztonság+ hálózatkezelési>hozzáférési kulcsokat, és tekintse meg az elsődleges és a másodlagos hozzáférési kulcsok kapcsolati sztring.
Kapcsolati sztring létrehozása közös hozzáférésű jogosultságkód használatával
Ha rendelkezik egy közös hozzáférésű jogosultságkód (SAS) URL-címével, amely hozzáférést biztosít a tárfiók erőforrásaihoz, használhatja az SAS-t egy kapcsolati sztring. Mivel az SAS tartalmazza a kérelem hitelesítéséhez szükséges információkat, egy SAS-vel rendelkező kapcsolati sztring biztosítja a protokollt, a szolgáltatásvégpontot és az erőforrás eléréséhez szükséges hitelesítő adatokat.
Ha közös hozzáférésű jogosultságkódot tartalmazó kapcsolati sztring szeretne létrehozni, adja meg a sztringet a következő formátumban:
BlobEndpoint=myBlobEndpoint;
QueueEndpoint=myQueueEndpoint;
TableEndpoint=myTableEndpoint;
FileEndpoint=myFileEndpoint;
SharedAccessSignature=sasToken
Az egyes szolgáltatásvégpontok megadása nem kötelező, bár a kapcsolati sztring legalább egyet tartalmaznia kell.
Feljegyzés
Ajánlott eljárásként ajánlott a HTTPS sassal való használata.
Ha sast ad meg egy konfigurációs fájl kapcsolati sztring, előfordulhat, hogy speciális karaktereket kell kódolnia az URL-címben.
Példa szolgáltatás SAS-ra
Íme egy példa egy kapcsolati sztring, amely tartalmaz egy szolgáltatás SAS-t a Blob Storage-hoz:
BlobEndpoint=https://storagesample.blob.core.windows.net;
SharedAccessSignature=sv=2015-04-05&sr=b&si=tutorial-policy-635959936145100803&sig=9aCzs76n0E7y5BpEi2GvsSv433BZa22leDOZXX%2BXXIU%3D
Íme egy példa az URL-kódolással rendelkező kapcsolati sztring:
BlobEndpoint=https://storagesample.blob.core.windows.net;
SharedAccessSignature=sv=2015-04-05&sr=b&si=tutorial-policy-635959936145100803&sig=9aCzs76n0E7y5BpEi2GvsSv433BZa22leDOZXX%2BXXIU%3D
Példa fiók SAS-fiókra
Íme egy példa egy kapcsolati sztring, amely tartalmaz egy fiók SAS-t a Blobhoz és a Fájltárolóhoz. Vegye figyelembe, hogy mindkét szolgáltatás végpontjai meg vannak adva:
BlobEndpoint=https://storagesample.blob.core.windows.net;
FileEndpoint=https://storagesample.file.core.windows.net;
SharedAccessSignature=sv=2015-07-08&sig=iCvQmdZngZNW%2F4vw43j6%2BVz6fndHF5LI639QJba4r8o%3D&spr=https&st=2016-04-12T03%3A24%3A31Z&se=2016-04-13T03%3A29%3A31Z&srt=s&ss=bf&sp=rwl
Íme egy példa az URL-kódolással rendelkező kapcsolati sztring:
BlobEndpoint=https://storagesample.blob.core.windows.net;
FileEndpoint=https://storagesample.file.core.windows.net;
SharedAccessSignature=sv=2015-07-08&sig=iCvQmdZngZNW%2F4vw43j6%2BVz6fndHF5LI639QJba4r8o%3D&spr=https&st=2016-04-12T03%3A24%3A31Z&se=2016-04-13T03%3A29%3A31Z&srt=s&ss=bf&sp=rwl
Kapcsolati sztring létrehozása explicit tárolási végponthoz
Az alapértelmezett végpontok helyett explicit szolgáltatásvégpontokat is megadhat a kapcsolati sztring. Explicit végpontot meghatározó kapcsolati sztring létrehozásához adja meg az egyes szolgáltatások teljes szolgáltatásvégpontjait, beleértve a protokoll specifikációját (HTTPS (ajánlott) vagy HTTP-t is, a következő formátumban:
DefaultEndpointsProtocol=[http|https];
BlobEndpoint=myBlobEndpoint;
FileEndpoint=myFileEndpoint;
QueueEndpoint=myQueueEndpoint;
TableEndpoint=myTableEndpoint;
AccountName=myAccountName;
AccountKey=myAccountKey
Az egyik eset, amikor explicit végpontot szeretne megadni, az az, amikor a Blob Storage-végpontot egy egyéni tartományra képezte le. Ebben az esetben megadhatja a Blob Storage egyéni végpontját a kapcsolati sztring. Ha az alkalmazás használja őket, megadhatja a többi szolgáltatás alapértelmezett végpontjait.
Íme egy példa egy kapcsolati sztring, amely explicit végpontot határoz meg a Blob szolgáltatáshoz:
# Blob endpoint only
DefaultEndpointsProtocol=https;
BlobEndpoint=http://www.mydomain.com;
AccountName=storagesample;
AccountKey=<account-key>
Ez a példa az összes szolgáltatás explicit végpontjait határozza meg, beleértve a Blob szolgáltatás egyéni tartományát is:
# All service endpoints
DefaultEndpointsProtocol=https;
BlobEndpoint=http://www.mydomain.com;
FileEndpoint=https://myaccount.file.core.windows.net;
QueueEndpoint=https://myaccount.queue.core.windows.net;
TableEndpoint=https://myaccount.table.core.windows.net;
AccountName=storagesample;
AccountKey=<account-key>
A kapcsolati sztring végpontértékei a kérelem URI-jainak a tárolási szolgáltatásokhoz való létrehozására szolgálnak, és a kódhoz visszaadott URI-k formáját diktálják.
Ha egy tárvégpontot egy egyéni tartományra képezett le, és kihagyta ezt a végpontot egy kapcsolati sztring, akkor az adott kapcsolati sztring nem fogja tudni elérni a szolgáltatásban lévő adatokat a kódból.
Az egyéni tartomány Azure Storage-beli konfigurálásáról további információt az Egyéni tartomány leképezése Azure Blob Storage-végpontra című témakörben talál.
Fontos
A szolgáltatásvégpontok kapcsolati sztring értékeinek megfelelően formázott URI-knak kell lenniük, beleértve (https://ajánlott) vagy http://.
Kapcsolati sztring létrehozása végponti utótaggal
Ha kapcsolati sztring szeretne létrehozni egy tárolási szolgáltatáshoz különböző végponti utótagokkal rendelkező régiókban vagy példányokban, például a 21Vianet vagy az Azure Government által üzemeltetett Microsoft Azure esetében, használja az alábbi kapcsolati sztring formátumot. Adja meg, hogy HTTPS-n vagy HTTP-n keresztül szeretne-e csatlakozni a tárfiókhoz, cserélje le myAccountName a tárfiók nevére, cserélje le myAccountKey a fiók hozzáférési kulcsára, és cserélje le mySuffix az URI utótagot:
DefaultEndpointsProtocol=[http|https];
AccountName=myAccountName;
AccountKey=myAccountKey;
EndpointSuffix=mySuffix;
Íme egy példa a 21Vianet által üzemeltetett Azure-beli tárolási szolgáltatások kapcsolati sztring:
DefaultEndpointsProtocol=https;
AccountName=storagesample;
AccountKey=<account-key>;
EndpointSuffix=core.chinacloudapi.cn;
Hozzáférés engedélyezése megosztott kulccsal
Az Azure Storage-hozzáférés fiókkulccsal vagy kapcsolati sztring történő engedélyezéséről az alábbi cikkek egyikében olvashat:
- Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz a .NET-tel
- Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz Java használatával
- Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz JavaScript használatával
- Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz a Pythonnal