Blobok és fájlok hozzáférésének engedélyezése az AzCopy és a Microsoft Entra azonosítójával
Az AzCopy-nak megadhatja az engedélyezési hitelesítő adatokat a Microsoft Entra-azonosító használatával. Így nem kell minden parancshoz hozzáfűznie egy közös hozzáférésű jogosultságkód (SAS) jogkivonatot.
Először ellenőrizze a szerepkör-hozzárendeléseket. Ezután válassza ki, hogy milyen típusú biztonsági tagot szeretne engedélyezni. A felhasználói identitás, a felügyelt identitás és a szolgáltatásnév mindegyike egyfajta biztonsági tag.
A hozzáférés engedélyezéséhez memóriabeli környezeti változókat kell beállítania. Ezután futtassa bármelyik AzCopy-parancsot. Az AzCopy lekéri a művelet végrehajtásához szükséges hitelesítési jogkivonatot. A művelet befejezése után a jogkivonat eltűnik a memóriából.
Az AzCopy az Ön által megadott hitelesítő adatokkal kéri le az OAuth-jogkivonatot. Alternatív megoldásként az AzCopy egy aktív Azure CLI- vagy Azure PowerShell-munkamenet OAuth-jogkivonatát is használhatja.
Az AzCopyval kapcsolatos további információkért tekintse meg az AzCopy használatának első lépéseit.
Szerepkör-hozzárendelések ellenőrzése
A szükséges engedélyezési szint attól függ, hogy fájlokat szeretne-e feltölteni, vagy csak letölti őket.
Ha csak fájlokat szeretne letölteni, ellenőrizze, hogy a Storage Blob Data Reader szerepkör (Azure Blob Storage) vagy a Storage File Data Privileged Reader szerepkör (Azure Files) hozzá lett-e rendelve a felhasználói identitáshoz, a felügyelt identitáshoz vagy a szolgáltatásnévhez.
Ha fájlokat szeretne feltölteni az Azure Blob Storage-ba, ellenőrizze, hogy az egyik szerepkör hozzá lett-e rendelve a biztonsági taghoz.
Ha fájlokat szeretne feltölteni egy Azure-fájlmegosztásba, ellenőrizze, hogy a Tárfájladatok kiemelt olvasója hozzá lett-e rendelve a biztonsági taghoz.
Ezek a szerepkörök az alábbi hatókörök bármelyikében hozzárendelhetők a biztonsági taghoz:
- Tároló (fájlrendszer) vagy fájlmegosztás
- Tárfiók
- Erőforráscsoport
- Előfizetés
A szerepkörök ellenőrzésének és hozzárendelésének módjáról további információt a Blob-adatokhoz (Blob Storage) való hozzáféréshez szükséges Azure-szerepkörök hozzárendelése, illetve a fájladatokhoz való hozzáférés engedélyezése az Azure Portalon (Azure Files) című témakörben talál.
Feljegyzés
Ne feledje, hogy az Azure-szerepkör-hozzárendelések propagálása akár öt percet is igénybe vehet.
Ha a rendszerbiztonsági tag hozzá van adva a céltároló vagy könyvtár hozzáférés-vezérlési listájához (ACL), nem kell ezek közül a szerepkörök egyikét hozzárendelni a biztonsági taghoz. Az ACL-ben a biztonsági tagnak írási engedélyre van szüksége a célkönyvtárban, és végre kell hajtania az engedélyeket a tárolón és az egyes szülőkönyvtárakon.
További információ: Hozzáférés-vezérlési modell az Azure Data Lake Storage Gen2-ben.
Engedélyezés az AzCopy használatával
Az AzCopy a megadott hitelesítő adatokat használja a biztonsági tag engedélyezéséhez.
Felhasználói identitás engedélyezése
Miután ellenőrizte, hogy a felhasználói identitás megkapta-e a szükséges engedélyezési szintet, írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
export AZCOPY_AUTO_LOGIN_TYPE=DEVICE
Ezután futtassa bármelyik azcopy parancsot (például: azcopy list https://contoso.blob.core.windows.net).
Ez a parancs egy hitelesítési kódot és egy webhely URL-címét adja vissza. Nyissa meg a webhelyet, adja meg a kódot, majd kattintson a Tovább gombra.
Megjelenik egy bejelentkezési ablak. Ebben az ablakban jelentkezzen be az Azure-fiókjába az Azure-fiók hitelesítő adataival. Miután sikeresen bejelentkezett, a művelet befejeződhet.
Felügyelt identitás engedélyezése
Ez egy nagyszerű lehetőség, ha felhasználói beavatkozás nélkül futó szkripten belül szeretné használni az AzCopyt, és a szkript egy Azure-beli virtuális gépről fut. Ha ezt a lehetőséget használja, nem kell hitelesítő adatokat tárolnia a virtuális gépen.
A fiókjába bejelentkezhet egy, a virtuális gépen engedélyezett, rendszerszintű felügyelt identitással, vagy a virtuális géphez hozzárendelt, felhasználó által hozzárendelt felügyelt identitás ügyfél-azonosítójával, objektumazonosítójával vagy erőforrás-azonosítójával.
Ha többet szeretne megtudni arról, hogyan engedélyezheti a rendszerszintű felügyelt identitásokat, vagy hogyan hozhat létre felhasználó által hozzárendelt felügyelt identitást, olvassa el az Azure-erőforrások felügyelt identitásainak konfigurálása virtuális gépen az Azure Portal használatával című témakört.
Engedélyezés rendszerszintű felügyelt identitás használatával
Először győződjön meg arról, hogy engedélyezte a rendszerszintű felügyelt identitást a virtuális gépen. Lásd: Rendszer által hozzárendelt felügyelt identitás.
Írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
export AZCOPY_AUTO_LOGIN_TYPE=MSI
Ezután futtassa bármelyik azcopy parancsot (például: azcopy list https://contoso.blob.core.windows.net).
Engedélyezés felhasználó által hozzárendelt felügyelt identitással
Először győződjön meg arról, hogy engedélyezte a felhasználó által hozzárendelt felügyelt identitást a virtuális gépen. Lásd: felhasználó által hozzárendelt felügyelt identitás.
Írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
export AZCOPY_AUTO_LOGIN_TYPE=MSI
Ezután írja be az alábbi parancsok bármelyikét, majd nyomja le az ENTER billentyűt.
export AZCOPY_MSI_CLIENT_ID=<client-id>
Cserélje le a <client-id> helyőrzőt a felhasználó által hozzárendelt felügyelt identitás ügyfélazonosítójára.
export AZCOPY_MSI_OBJECT_ID=<object-id>
Cserélje le a <object-id> helyőrzőt a felhasználó által hozzárendelt felügyelt identitás objektumazonosítójára.
export AZCOPY_MSI_RESOURCE_STRING=<resource-id>
Cserélje le a <resource-id> helyőrzőt a felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójára.
A változók beállítása után bármelyik azcopy parancsot futtathatja (például: azcopy list https://contoso.blob.core.windows.net).
Szolgáltatásnév engedélyezése
Ez egy nagyszerű lehetőség, ha az AzCopyt felhasználói beavatkozás nélkül futó szkripten belül szeretné használni, különösen helyszíni futtatáskor. Ha az Azure-ban futó virtuális gépeken tervezi futtatni az AzCopyt, a felügyelt szolgáltatásidentitás egyszerűbben kezelhető. További információ: A jelen cikk felügyelt identitás engedélyezése szakasza.
A fiókjába ügyfélkód használatával vagy a szolgáltatásnév alkalmazásregisztrációjához társított tanúsítvány jelszavával jelentkezhet be.
A szolgáltatásnév létrehozásával kapcsolatos további információkért lásd : Útmutató: Az erőforrásokhoz hozzáférő Microsoft Entra-alkalmazás és szolgáltatásnév létrehozása a portálon.
A szolgáltatásnevek általános megismeréséhez tekintse meg az alkalmazás- és szolgáltatásnév-objektumokat a Microsoft Entra ID-ban
Szolgáltatásnév engedélyezése ügyfélkód használatával
Írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
export AZCOPY_AUTO_LOGIN_TYPE=SPN
export AZCOPY_SPA_APPLICATION_ID=<application-id>
export AZCOPY_SPA_CLIENT_SECRET=<client-secret>
export AZCOPY_TENANT_ID=<tenant-id>
Cserélje le a <application-id> helyőrzőt a szolgáltatásnév alkalmazásregisztrációjának alkalmazásazonosítójára. Cserélje le a <client-secret> helyőrzőt az ügyfél titkos kódjára. Cserélje le a <tenant-id> helyőrzőt annak a szervezetnek a bérlőazonosítójára, amelyhez a tárfiók tartozik. A bérlőazonosító megkereséséhez válassza ki a bérlőtulajdonságok > bérlőazonosítóját az Azure Portalon.
Feljegyzés
Fontolja meg a jelszó kérésének használatát a felhasználótól. Így a jelszó nem jelenik meg a parancselőzményekben.
Ezután futtassa bármelyik azcopy parancsot (például: azcopy list https://contoso.blob.core.windows.net).
Szolgáltatásnév engedélyezése tanúsítvány használatával
Ha inkább saját hitelesítő adatait szeretné használni az engedélyezéshez, feltölthet egy tanúsítványt az alkalmazásregisztrációba, majd a tanúsítvány használatával bejelentkezhet.
A tanúsítvány alkalmazásregisztrációba való feltöltése mellett a tanúsítvány másolatát is mentenie kell arra a gépre vagy virtuális gépre, amelyen az AzCopy fut. A tanúsítványnak ebben a példányában kell lennie. PFX vagy . PEM formátum, és tartalmaznia kell a titkos kulcsot. A titkos kulcsnak jelszóval védettnek kell lennie. Ha Windowst használ, és a tanúsítványa csak egy tanúsítványtárolóban létezik, exportálja a tanúsítványt egy PFX-fájlba (beleértve a titkos kulcsot is). Útmutatásért lásd: Export-PfxCertificate
Írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
export AZCOPY_AUTO_LOGIN_TYPE=SPN
export AZCOPY_SPA_APPLICATION_ID=<application-id>
export AZCOPY_SPA_CERT_PATH=<path-to-certificate-file>
export AZCOPY_SPA_CERT_PASSWORD=<certificate-password>
export AZCOPY_TENANT_ID=<tenant-id>
Cserélje le a <application-id> helyőrzőt a szolgáltatásnév alkalmazásregisztrációjának alkalmazásazonosítójára. Cserélje le a <path-to-certificate-file> helyőrzőt a tanúsítványfájl relatív vagy teljes elérési útjára. Az AzCopy menti a tanúsítvány elérési útját, de nem menti a tanúsítvány másolatát, ezért győződjön meg arról, hogy a tanúsítvány a helyén marad. Cserélje le a <certificate-password> helyőrzőt a tanúsítvány jelszavára. Cserélje le a <tenant-id> helyőrzőt annak a szervezetnek a bérlőazonosítójára, amelyhez a tárfiók tartozik. A bérlőazonosító megkereséséhez válassza ki a bérlőtulajdonságok > bérlőazonosítóját az Azure Portalon.
Feljegyzés
Fontolja meg a jelszó kérésének használatát a felhasználótól. Így a jelszó nem jelenik meg a parancselőzményekben.
Ezután futtassa bármelyik azcopy parancsot (például: azcopy list https://contoso.blob.core.windows.net).
Engedélyezés az AzCopy bejelentkezési parancsával
A memóriabeli változók használata helyett az azcopy bejelentkezési paranccsal engedélyezheti a hozzáférést.
Az azcopy bejelentkezési parancs lekéri az OAuth-jogkivonatot, majd a jogkivonatot a rendszer titkos tárolójába helyezi. Ha az operációs rendszer nem rendelkezik titkos tárolóval, például Linux-kulcstartóval, az azcopy bejelentkezési parancs nem fog működni, mert nincs hová helyezni a jogkivonatot.
Felhasználói identitás engedélyezése (azcopy login command)
Miután ellenőrizte, hogy a felhasználói identitás megkapta-e a szükséges engedélyezési szintet, nyisson meg egy parancssort, írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
azcopy login
Ha hibaüzenetet kap, próbálja meg felvenni annak a szervezetnek a bérlőazonosítóját, amelyhez a tárfiók tartozik.
azcopy login --tenant-id=<tenant-id>
Cserélje le a <tenant-id> helyőrzőt annak a szervezetnek a bérlőazonosítójára, amelyhez a tárfiók tartozik. A bérlőazonosító megkereséséhez válassza ki a bérlőtulajdonságok > bérlőazonosítóját az Azure Portalon.
Ez a parancs egy hitelesítési kódot és egy webhely URL-címét adja vissza. Nyissa meg a webhelyet, adja meg a kódot, majd kattintson a Tovább gombra.
Megjelenik egy bejelentkezési ablak. Ebben az ablakban jelentkezzen be az Azure-fiókjába az Azure-fiók hitelesítő adataival. Miután sikeresen bejelentkezett, bezárhatja a böngészőablakot, és megkezdheti az AzCopy használatát.
Engedélyezés rendszerszintű felügyelt identitással (azcopy login command)
Először győződjön meg arról, hogy engedélyezte a rendszerszintű felügyelt identitást a virtuális gépen. Lásd: Rendszer által hozzárendelt felügyelt identitás.
Ezután a parancskonzolon írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
azcopy login --identity
Engedélyezés felhasználó által hozzárendelt felügyelt identitással (azcopy bejelentkezési parancs)
Először győződjön meg arról, hogy engedélyezte a felhasználó által hozzárendelt felügyelt identitást a virtuális gépen. Lásd: felhasználó által hozzárendelt felügyelt identitás.
Ezután írja be a következő parancsokat a parancskonzolba, majd nyomja le az ENTER billentyűt.
azcopy login --identity --identity-client-id "<client-id>"
Cserélje le a <client-id> helyőrzőt a felhasználó által hozzárendelt felügyelt identitás ügyfélazonosítójára.
azcopy login --identity --identity-object-id "<object-id>"
Cserélje le a <object-id> helyőrzőt a felhasználó által hozzárendelt felügyelt identitás objektumazonosítójára.
azcopy login --identity --identity-resource-id "<resource-id>"
Cserélje le a <resource-id> helyőrzőt a felhasználó által hozzárendelt felügyelt identitás erőforrás-azonosítójára.
Szolgáltatásnév engedélyezése (azcopy login command)
Mielőtt szkriptet futtatna, legalább egyszer interaktívan kell bejelentkeznie, hogy meg tudja adni az AzCopynak a szolgáltatásnév hitelesítő adatait. Ezek a hitelesítő adatok egy biztonságos és titkosított fájlban vannak tárolva, hogy a szkriptnek ne kelljen megadnia ezeket a bizalmas információkat.
A fiókjába ügyfélkód használatával vagy a szolgáltatásnév alkalmazásregisztrációjához társított tanúsítvány jelszavával jelentkezhet be.
A szolgáltatásnév létrehozásával kapcsolatos további információkért lásd : Útmutató: Az erőforrásokhoz hozzáférő Microsoft Entra-alkalmazás és szolgáltatásnév létrehozása a portálon.
Szolgáltatásnév engedélyezése ügyfélkód használatával (azcopy login command)
Először állítsa be a AZCOPY_SPA_CLIENT_SECRET környezeti változót a szolgáltatásnév alkalmazásregisztrációjának ügyféltitkáraként.
Feljegyzés
Ügyeljen arra, hogy ezt az értéket a parancssorból állítsa be, és ne az operációs rendszer környezeti változóbeállításaiban. Így az érték csak az aktuális munkamenetben érhető el.
Ez a példa bemutatja, hogyan teheti ezt meg a PowerShellben.
$env:AZCOPY_SPA_CLIENT_SECRET="$(Read-Host -prompt "Enter key")"
Feljegyzés
Fontolja meg a jelen példában látható parancssor használatát. Így a jelszó nem jelenik meg a konzol parancselőzményeiben.
Ezután írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
azcopy login --service-principal --application-id application-id --tenant-id=tenant-id
Cserélje le a <application-id> helyőrzőt a szolgáltatásnév alkalmazásregisztrációjának alkalmazásazonosítójára. Cserélje le a <tenant-id> helyőrzőt annak a szervezetnek a bérlőazonosítójára, amelyhez a tárfiók tartozik. A bérlőazonosító megkereséséhez válassza ki a bérlőtulajdonságok > bérlőazonosítóját az Azure Portalon.
Szolgáltatásnév engedélyezése tanúsítvány használatával (azcopy login command)
Ha inkább saját hitelesítő adatait szeretné használni az engedélyezéshez, feltölthet egy tanúsítványt az alkalmazásregisztrációba, majd a tanúsítvány használatával bejelentkezhet.
A tanúsítvány alkalmazásregisztrációba való feltöltése mellett a tanúsítvány másolatát is mentenie kell arra a gépre vagy virtuális gépre, amelyen az AzCopy fut. A tanúsítványnak ebben a példányában kell lennie. PFX vagy . PEM formátum, és tartalmaznia kell a titkos kulcsot. A titkos kulcsnak jelszóval védettnek kell lennie. Ha Windowst használ, és a tanúsítványa csak egy tanúsítványtárolóban létezik, exportálja a tanúsítványt egy PFX-fájlba (beleértve a titkos kulcsot is). Útmutatásért lásd: Export-PfxCertificate
Ezután állítsa a környezeti változót AZCOPY_SPA_CERT_PASSWORD a tanúsítvány jelszavára.
Feljegyzés
Ügyeljen arra, hogy ezt az értéket a parancssorból állítsa be, és ne az operációs rendszer környezeti változóbeállításaiban. Így az érték csak az aktuális munkamenetben érhető el.
Ez a példa bemutatja, hogyan hajthatja végre ezt a feladatot a PowerShellben.
$env:AZCOPY_SPA_CERT_PASSWORD="$(Read-Host -prompt "Enter key")"
Ezután írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
azcopy login --service-principal --application-id application-id --certificate-path <path-to-certificate-file> --tenant-id=<tenant-id>
Cserélje le a <application-id> helyőrzőt a szolgáltatásnév alkalmazásregisztrációjának alkalmazásazonosítójára. Cserélje le a <path-to-certificate-file> helyőrzőt a tanúsítványfájl relatív vagy teljes elérési útjára. Az AzCopy menti a tanúsítvány elérési útját, de nem menti a tanúsítvány másolatát, ezért győződjön meg arról, hogy a tanúsítvány a helyén marad. Cserélje le a <tenant-id> helyőrzőt annak a szervezetnek a bérlőazonosítójára, amelyhez a tárfiók tartozik. A bérlőazonosító megkereséséhez válassza ki a bérlőtulajdonságok > bérlőazonosítóját az Azure Portalon.
Feljegyzés
Fontolja meg a jelen példában látható parancssor használatát. Így a jelszó nem jelenik meg a konzol parancselőzményeiben.
Engedélyezés az Azure CLI-vel
Ha az Azure CLI használatával jelentkezik be, az Azure CLI beszerez egy OAuth-jogkivonatot, amellyel az AzCopy engedélyezheti a műveleteket.
Ha engedélyezni szeretné az AzCopy számára a jogkivonat használatát, írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
export AZCOPY_AUTO_LOGIN_TYPE=AZCLI
További információ az Azure CLI-vel való bejelentkezésről: Bejelentkezés az Azure CLI-vel.
Engedélyezés az Azure PowerShell-lel
Ha az Azure PowerShell használatával jelentkezik be, az Azure PowerShell egy OAuth-jogkivonatot szerez be, amellyel az AzCopy engedélyezheti a műveleteket.
Ha engedélyezni szeretné az AzCopy számára a jogkivonat használatát, írja be a következő parancsot, majd nyomja le az ENTER billentyűt.
$Env:AZCOPY_AUTO_LOGIN_TYPE="PSCRED"
További információ az Azure PowerShell-lel való bejelentkezésről: Bejelentkezés az Azure PowerShell-lel.
Következő lépések
További információ az AzCopyról: Az AzCopy használatának első lépései
Ha kérdése, problémája vagy általános visszajelzése van, küldje el őket a GitHub oldalán.