PowerShell-parancsok futtatása a Microsoft Entra hitelesítő adataival az üzenetsoradatok eléréséhez

Az Azure Storage bővítményeket biztosít a PowerShellhez, amelyek lehetővé teszik a Microsoft Entra hitelesítő adataival való bejelentkezést és szkriptelési parancsok futtatását. Amikor Microsoft Entra-hitelesítő adatokkal jelentkezik be a PowerShellbe, a rendszer egy OAuth 2.0 hozzáférési jogkivonatot ad vissza. A PowerShell automatikusan ezt a jogkivonatot használja a Queue Storage-on végzett további adatműveletek engedélyezéséhez. A támogatott műveletekhez már nem kell átadnia egy fiókkulcsot vagy SAS-jogkivonatot a paranccsal.

Az azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyeket rendelhet az üzenetsoradatokhoz egy Microsoft Entra biztonsági taghoz. Az Azure Storage Azure-szerepköreivel kapcsolatos további információkért lásd : Azure Storage-adatokhoz való hozzáférési jogosultságok kezelése az Azure RBAC-vel.

Támogatott műveletek

Az Azure Storage-bővítmények támogatottak az üzenetsor-adatokon végzett műveletekhez. A meghívható műveletek a Microsoft Entra azon biztonsági tagjának engedélyétől függenek, amellyel bejelentkezik a PowerShellbe. Az üzenetsorokhoz tartozó engedélyek az Azure RBAC-en keresztül vannak hozzárendelve. Ha például a Queue Data Reader szerepkörhöz van hozzárendelve, futtathat szkriptelési parancsokat, amelyek adatokat olvasnak az üzenetsorból. Ha hozzá lett rendelve a Queue Data Contributor szerepkörhöz, futtathat szkriptelési parancsokat, amelyek olvasási, írási vagy törlési üzenetsort vagy az általuk tárolt adatokat olvasnak, írnak vagy törölnek.

Az egyes Azure Storage-műveletekhez szükséges engedélyekkel kapcsolatos részletekért tekintse meg az OAuth-jogkivonatokkal rendelkező tárolási műveletek meghívása című témakört.

Fontos

Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Ezért, ha a fiók olvasási zárolással van zárolva, a fiókkulcsokkal még nem rendelkező felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférniük az üzenetsor adataihoz. A PowerShellben adja meg az -UseConnectedAccount AzureStorageContext objektum létrehozásához szükséges paramétert a Microsoft Entra hitelesítő adataival.

PowerShell-parancsok meghívása a Microsoft Entra hitelesítő adataival

Feljegyzés

Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.

Ha az Azure PowerShell használatával szeretne bejelentkezni az Azure Storage-ba, és futtatni szeretné az azt követő műveleteket a Microsoft Entra hitelesítő adataival, hozzon létre egy tárolási környezetet a tárfiókra való hivatkozáshoz, és adja meg a paramétert -UseConnectedAccount .

Az alábbi példa bemutatja, hogyan hozhat létre üzenetsort egy új tárfiókban az Azure PowerShellből a Microsoft Entra hitelesítő adataival. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:

1. Jelentkezzen be azure-fiókjába az Csatlakozás-AzAccount paranccsal:

   Connect-AzAccount
   

   További információ az Azure-ba a PowerShell-lel való bejelentkezésről: Bejelentkezés az Azure PowerShell-lel.

2. Hozzon létre egy Azure-erőforráscsoportot a New-AzResourceGroup meghívásával.

   $resourceGroup = "sample-resource-group-ps"
   $location = "eastus"
   New-AzResourceGroup -Name $resourceGroup -Location $location
   

3. Hozzon létre egy tárfiókot a New-AzStorageAccount meghívásával.

   $storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
     -Name "<storage-account>" `
     -SkuName Standard_LRS `
     -Location $location `
   

4. Kérje le az új tárfiókot meghatározó tárfiók-környezetet a New-AzStorageContext meghívásával. Tárfiókon való működéskor a hitelesítő adatok ismételt átadása helyett hivatkozhat a környezetre. Adja meg azt a -UseConnectedAccount paramétert, amely meghívja az esetleges további adatműveleteket a Microsoft Entra hitelesítő adataival:

   $ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccount
   

5. Az üzenetsor létrehozása előtt rendelje hozzá saját magának a Storage Queue Data Közreműködő szerepkört. Annak ellenére, hogy Ön a fiók tulajdonosa, explicit engedélyekre van szüksége a tárfiókon végzett adatműveletek végrehajtásához. További információ az Azure-szerepkörök hozzárendeléséről: Azure-szerepkör hozzárendelése az üzenetsoradatokhoz való hozzáféréshez.

   Fontos

   Az Azure-szerepkör-hozzárendelések propagálása eltarthat néhány percig.

6. Hozzon létre egy üzenetsort a New-AzStorageQueue meghívásával. Mivel ez a hívás az előző lépésekben létrehozott környezetet használja, a rendszer a Microsoft Entra hitelesítő adataival hozza létre az üzenetsort.

   $queueName = "sample-queue"
   New-AzStorageQueue -Name $queueName -Context $ctx
   

Következő lépések

• Azure-szerepkör hozzárendelése az üzenetsoradatokhoz való hozzáféréshez
• Hozzáférés engedélyezése az Azure Storage-beli adatokhoz