Megosztás a következőn keresztül:


Configure Azure Storage connection strings (Az Azure Storage kapcsolati sztringek konfigurálása)

A kapcsolati sztring tartalmazzák azokat az engedélyezési információkat, amelyekre az alkalmazásnak szüksége van ahhoz, hogy futtatókörnyezetben, megosztott kulcsos hitelesítéssel hozzáférjen az Azure Storage-fiók adataihoz. A kapcsolati sztring a következőre konfigurálhatók:

  • Csatlakozzon az Azurite Storage emulátorhoz.
  • Tárfiók elérése az Azure-ban.
  • A megadott erőforrások elérése az Azure-ban egy közös hozzáférésű jogosultságkódon (SAS) keresztül.

A fiókelérési kulcsok megtekintéséről és a kapcsolati sztring másolásáról a Tárfiók hozzáférési kulcsok kezelése című témakörben olvashat.

Fontos

Az optimális biztonság érdekében a Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használva engedélyezze a blob-, üzenetsor- és táblaadatokra vonatkozó kéréseket, amikor csak lehetséges. A Microsoft Entra-azonosítóval és felügyelt identitásokkal való engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál. Ha egy .NET-alkalmazáshoz szeretne felügyelt identitást engedélyezni és használni, tekintse meg az Azure-ban üzemeltetett alkalmazások azure-erőforrásokhoz való hitelesítését a .NET-tel.

Az Azure-on kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon az Azure Arc-kompatibilis kiszolgálókon.

Olyan esetekben, amikor közös hozzáférésű jogosultságkódokat (SAS) használnak, a Microsoft egy felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett a Microsoft Entra hitelesítő adatai védik. A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Korlátozott hozzáférés biztosítása közös hozzáférésű jogosultságkódokkal rendelkező adatokhoz. A felhasználói delegálási SAS .NET-sel való létrehozását és használatát ismertető példa: Felhasználói delegálási SAS létrehozása egy .NET-blobhoz.

A hozzáférési kulcsok védelme

A tárfiók hozzáférési kulcsai teljes hozzáférést biztosítanak a tárfiók adataihoz, valamint sas-jogkivonatok létrehozásához. Mindig ügyeljen a hozzáférési kulcsok védelmére. Az Azure Key Vault használatával biztonságosan kezelheti és elforgathatja a kulcsokat. A megosztott kulcshoz való hozzáférés teljes hozzáférést biztosít a felhasználónak a tárfiók adataihoz. A megosztott kulcsokhoz való hozzáférést gondosan korlátozni és figyelni kell. Használjon korlátozott hozzáférési hatókörű felhasználói delegálási SAS-jogkivonatokat olyan esetekben, amikor a Microsoft Entra ID-alapú hitelesítés nem használható. Kerülje a hozzáférési kulcsok kódolását vagy mentését bárhol, egyszerű, mások számára elérhető szövegben. Forgassa el a kulcsokat, ha úgy véli, hogy feltörték őket.

Fontos

Ha meg szeretné akadályozni, hogy a felhasználók megosztott kulccsal férhessenek hozzá a tárfiók adataihoz, letilthatja a tárfiók megosztott kulcsának engedélyezését. Ajánlott biztonsági eljárásként ajánlott a minimális jogosultságokkal rendelkező adatokhoz való részletes hozzáférés. A Microsoft Entra ID-alapú hitelesítést felügyelt identitásokkal kell használni az OAuth-t támogató forgatókönyvekhez. Kerberost vagy SMTP-t kell használni az Azure Fileshoz SMB-en keresztül. A REST-en keresztüli Azure Files esetében SAS-jogkivonatok használhatók. A megosztott kulcs hozzáférését le kell tiltani, ha nincs szükség a véletlen használat megakadályozására. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.

Az Azure Storage-fiók Microsoft Entra feltételes hozzáférési szabályzatokkal való védelméhez le kell tiltania a tárfiók megosztott kulcsának engedélyezését.

Ha letiltotta a megosztott kulcshoz való hozzáférést, és a diagnosztikai naplókban a megosztott kulcs engedélyezését látja, az azt jelzi, hogy a rendszer megbízható hozzáférést használ a tárterület eléréséhez. További részletekért tekintse meg a Microsoft Entra-bérlőben regisztrált erőforrások megbízható hozzáférését.

Kapcsolati sztring tárolása

Az alkalmazásnak futtatókörnyezetben kell hozzáférnie a kapcsolati sztring az Azure Storage-ba irányuló kérések engedélyezéséhez. Számos lehetősége van a fiók hozzáférési kulcsainak vagy kapcsolati sztring tárolására:

  • A fiókkulcsokat biztonságosan tárolhatja az Azure Key Vaultban. További információ: Az Azure Key Vault által felügyelt tárfiókkulcsok ismertetése.
  • A kapcsolati sztring egy környezeti változóban tárolhatja.
  • Egy alkalmazás tárolhatja a kapcsolati sztring egy app.config vagy web.config fájlban. Adja hozzá a kapcsolati sztring a fájlok AppSettings szakaszához.

Figyelmeztetés

A fiók hozzáférési kulcsainak vagy kapcsolati sztring tiszta szövegben való tárolása biztonsági kockázatot jelent, ezért nem ajánlott. Tárolja a fiókkulcsokat titkosított formátumban, vagy migrálja az alkalmazásokat a Microsoft Entra-hitelesítés használatára a tárfiókhoz való hozzáféréshez.

Kapcsolati sztring konfigurálása az Azurite-hoz

Az emulátor egyetlen rögzített fiókot és egy jól ismert hitelesítési kulcsot támogat a megosztott kulcsú hitelesítéshez. Ez a fiók és kulcs az egyetlen közös kulcsú hitelesítő adat, amely az emulátorhoz használható. Ezek a következők:

Account name: devstoreaccount1
Account key: Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==

Feljegyzés

Az emulátor által támogatott hitelesítési kulcs csak az ügyfél-hitelesítési kód funkcióinak tesztelésére szolgál. Nem szolgál semmilyen biztonsági célt. Az éles tárfiókot és -kulcsot nem használhatja az emulátorhoz. Ne használja a fejlesztési fiókot éles adatokkal.

Az emulátor csak HTTP-en keresztül támogatja a kapcsolatot. Azonban a HTTPS az ajánlott protokoll egy éles Azure-tárfiók erőforrásainak eléréséhez.

Csatlakozás az emulátorfiókhoz a parancsikon használatával

Az emulátorhoz az alkalmazásból a legegyszerűbben úgy csatlakozhat, ha konfigurál egy kapcsolati sztring az alkalmazás konfigurációs fájljában, amely a parancsikonra hivatkozikUseDevelopmentStorage=true. A parancsikon egyenértékű az emulátor teljes kapcsolati sztring, amely meghatározza a fiók nevét, a fiókkulcsot és az emulátorvégpontokat az egyes Azure Storage-szolgáltatásokhoz:

DefaultEndpointsProtocol=http;AccountName=devstoreaccount1;
AccountKey=Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==;
BlobEndpoint=http://127.0.0.1:10000/devstoreaccount1;
QueueEndpoint=http://127.0.0.1:10001/devstoreaccount1;
TableEndpoint=http://127.0.0.1:10002/devstoreaccount1;

Az alábbi .NET-kódrészlet bemutatja, hogyan használhatja a parancsikont egy kapcsolati sztring használó metódusból. A BlobContainerClient(Sztring, Sztring) konstruktor például egy kapcsolati sztring vesz igénybe.

BlobContainerClient blobContainerClient = new BlobContainerClient("UseDevelopmentStorage=true", "sample-container");
blobContainerClient.CreateIfNotExists();

Győződjön meg arról, hogy az emulátor fut, mielőtt meghívja a kódot a kódrészletben.

Az Azurite-ról további információt az Azurite emulátor használata a helyi Azure Storage-fejlesztéshez című témakörben talál.

Kapcsolati sztring konfigurálása Azure Storage-fiókhoz

Ha kapcsolati sztring szeretne létrehozni az Azure Storage-fiókjához, használja az alábbi formátumot. Adja meg, hogy https (ajánlott) vagy HTTP használatával szeretne-e csatlakozni a tárfiókhoz, cserélje le myAccountName a tárfiók nevére, és cserélje le myAccountKey a fiók hozzáférési kulcsára:

DefaultEndpointsProtocol=[http|https];AccountName=myAccountName;AccountKey=myAccountKey

A kapcsolati sztring például a következőhöz hasonlóan nézhet ki:

DefaultEndpointsProtocol=https;AccountName=storagesample;AccountKey=<account-key>

Bár az Azure Storage a HTTP-t és a HTTPS-t is támogatja egy kapcsolati sztring, a HTTPS használata erősen ajánlott.

Tipp.

A tárfiók kapcsolati sztring az Azure Portalon található. A tárfiók beállításai között keresse meg a Biztonság+ hálózatkezelési>hozzáférési kulcsokat, és tekintse meg az elsődleges és a másodlagos hozzáférési kulcsok kapcsolati sztring.

Kapcsolati sztring létrehozása közös hozzáférésű jogosultságkód használatával

Ha rendelkezik egy közös hozzáférésű jogosultságkód (SAS) URL-címével, amely hozzáférést biztosít a tárfiók erőforrásaihoz, használhatja az SAS-t egy kapcsolati sztring. Mivel az SAS tartalmazza a kérelem hitelesítéséhez szükséges információkat, egy SAS-vel rendelkező kapcsolati sztring biztosítja a protokollt, a szolgáltatásvégpontot és az erőforrás eléréséhez szükséges hitelesítő adatokat.

Ha közös hozzáférésű jogosultságkódot tartalmazó kapcsolati sztring szeretne létrehozni, adja meg a sztringet a következő formátumban:

BlobEndpoint=myBlobEndpoint;
QueueEndpoint=myQueueEndpoint;
TableEndpoint=myTableEndpoint;
FileEndpoint=myFileEndpoint;
SharedAccessSignature=sasToken

Az egyes szolgáltatásvégpontok megadása nem kötelező, bár a kapcsolati sztring legalább egyet tartalmaznia kell.

Feljegyzés

Ajánlott eljárásként ajánlott a HTTPS sassal való használata.

Ha sast ad meg egy konfigurációs fájl kapcsolati sztring, előfordulhat, hogy speciális karaktereket kell kódolnia az URL-címben.

Példa szolgáltatás SAS-ra

Íme egy példa egy kapcsolati sztring, amely tartalmaz egy szolgáltatás SAS-t a Blob Storage-hoz:

BlobEndpoint=https://storagesample.blob.core.windows.net;
SharedAccessSignature=sv=2015-04-05&sr=b&si=tutorial-policy-635959936145100803&sig=9aCzs76n0E7y5BpEi2GvsSv433BZa22leDOZXX%2BXXIU%3D

Íme egy példa az URL-kódolással rendelkező kapcsolati sztring:

BlobEndpoint=https://storagesample.blob.core.windows.net;
SharedAccessSignature=sv=2015-04-05&amp;sr=b&amp;si=tutorial-policy-635959936145100803&amp;sig=9aCzs76n0E7y5BpEi2GvsSv433BZa22leDOZXX%2BXXIU%3D

Példa fiók SAS-fiókra

Íme egy példa egy kapcsolati sztring, amely tartalmaz egy fiók SAS-t a Blobhoz és a Fájltárolóhoz. Vegye figyelembe, hogy mindkét szolgáltatás végpontjai meg vannak adva:

BlobEndpoint=https://storagesample.blob.core.windows.net;
FileEndpoint=https://storagesample.file.core.windows.net;
SharedAccessSignature=sv=2015-07-08&sig=iCvQmdZngZNW%2F4vw43j6%2BVz6fndHF5LI639QJba4r8o%3D&spr=https&st=2016-04-12T03%3A24%3A31Z&se=2016-04-13T03%3A29%3A31Z&srt=s&ss=bf&sp=rwl

Íme egy példa az URL-kódolással rendelkező kapcsolati sztring:

BlobEndpoint=https://storagesample.blob.core.windows.net;
FileEndpoint=https://storagesample.file.core.windows.net;
SharedAccessSignature=sv=2015-07-08&amp;sig=iCvQmdZngZNW%2F4vw43j6%2BVz6fndHF5LI639QJba4r8o%3D&amp;spr=https&amp;st=2016-04-12T03%3A24%3A31Z&amp;se=2016-04-13T03%3A29%3A31Z&amp;srt=s&amp;ss=bf&amp;sp=rwl

Kapcsolati sztring létrehozása explicit tárolási végponthoz

Az alapértelmezett végpontok helyett explicit szolgáltatásvégpontokat is megadhat a kapcsolati sztring. Explicit végpontot meghatározó kapcsolati sztring létrehozásához adja meg az egyes szolgáltatások teljes szolgáltatásvégpontjait, beleértve a protokoll specifikációját (HTTPS (ajánlott) vagy HTTP-t is, a következő formátumban:

DefaultEndpointsProtocol=[http|https];
BlobEndpoint=myBlobEndpoint;
FileEndpoint=myFileEndpoint;
QueueEndpoint=myQueueEndpoint;
TableEndpoint=myTableEndpoint;
AccountName=myAccountName;
AccountKey=myAccountKey

Az egyik eset, amikor explicit végpontot szeretne megadni, az az, amikor a Blob Storage-végpontot egy egyéni tartományra képezte le. Ebben az esetben megadhatja a Blob Storage egyéni végpontját a kapcsolati sztring. Ha az alkalmazás használja őket, megadhatja a többi szolgáltatás alapértelmezett végpontjait.

Íme egy példa egy kapcsolati sztring, amely explicit végpontot határoz meg a Blob szolgáltatáshoz:

# Blob endpoint only
DefaultEndpointsProtocol=https;
BlobEndpoint=http://www.mydomain.com;
AccountName=storagesample;
AccountKey=<account-key>

Ez a példa az összes szolgáltatás explicit végpontjait határozza meg, beleértve a Blob szolgáltatás egyéni tartományát is:

# All service endpoints
DefaultEndpointsProtocol=https;
BlobEndpoint=http://www.mydomain.com;
FileEndpoint=https://myaccount.file.core.windows.net;
QueueEndpoint=https://myaccount.queue.core.windows.net;
TableEndpoint=https://myaccount.table.core.windows.net;
AccountName=storagesample;
AccountKey=<account-key>

A kapcsolati sztring végpontértékei a kérelem URI-jainak a tárolási szolgáltatásokhoz való létrehozására szolgálnak, és a kódhoz visszaadott URI-k formáját diktálják.

Ha egy tárvégpontot egy egyéni tartományra képezett le, és kihagyta ezt a végpontot egy kapcsolati sztring, akkor az adott kapcsolati sztring nem fogja tudni elérni a szolgáltatásban lévő adatokat a kódból.

Az egyéni tartomány Azure Storage-beli konfigurálásáról további információt az Egyéni tartomány leképezése Azure Blob Storage-végpontra című témakörben talál.

Fontos

A szolgáltatásvégpontok kapcsolati sztring értékeinek megfelelően formázott URI-knak kell lenniük, beleértve (https://ajánlott) vagy http://.

Kapcsolati sztring létrehozása végponti utótaggal

Ha kapcsolati sztring szeretne létrehozni egy tárolási szolgáltatáshoz különböző végponti utótagokkal rendelkező régiókban vagy példányokban, például a 21Vianet vagy az Azure Government által üzemeltetett Microsoft Azure esetében, használja az alábbi kapcsolati sztring formátumot. Adja meg, hogy HTTPS-n vagy HTTP-n keresztül szeretne-e csatlakozni a tárfiókhoz, cserélje le myAccountName a tárfiók nevére, cserélje le myAccountKey a fiók hozzáférési kulcsára, és cserélje le mySuffix az URI utótagot:

DefaultEndpointsProtocol=[http|https];
AccountName=myAccountName;
AccountKey=myAccountKey;
EndpointSuffix=mySuffix;

Íme egy példa a 21Vianet által üzemeltetett Azure-beli tárolási szolgáltatások kapcsolati sztring:

DefaultEndpointsProtocol=https;
AccountName=storagesample;
AccountKey=<account-key>;
EndpointSuffix=core.chinacloudapi.cn;

Hozzáférés engedélyezése megosztott kulccsal

Az Azure Storage-hozzáférés fiókkulccsal vagy kapcsolati sztring történő engedélyezéséről az alábbi cikkek egyikében olvashat:

Következő lépések