PowerShell-parancsok futtatása a Microsoft Entra hitelesítő adataival az üzenetsoradatok eléréséhez
Az Azure Storage bővítményeket biztosít a PowerShellhez, amelyek lehetővé teszik a Microsoft Entra hitelesítő adataival való bejelentkezést és szkriptelési parancsok futtatását. Amikor Microsoft Entra-hitelesítő adatokkal jelentkezik be a PowerShellbe, a rendszer egy OAuth 2.0 hozzáférési jogkivonatot ad vissza. A PowerShell automatikusan ezt a jogkivonatot használja a Queue Storage-on végzett további adatműveletek engedélyezéséhez. A támogatott műveletekhez már nem kell átadnia egy fiókkulcsot vagy SAS-jogkivonatot a paranccsal.
Az azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyeket rendelhet az üzenetsoradatokhoz egy Microsoft Entra biztonsági taghoz. Az Azure Storage Azure-szerepköreivel kapcsolatos további információkért lásd : Azure Storage-adatokhoz való hozzáférési jogosultságok kezelése az Azure RBAC-vel.
Támogatott műveletek
Az Azure Storage-bővítmények támogatottak az üzenetsor-adatokon végzett műveletekhez. A meghívható műveletek a Microsoft Entra azon biztonsági tagjának engedélyétől függenek, amellyel bejelentkezik a PowerShellbe. Az üzenetsorokhoz tartozó engedélyek az Azure RBAC-en keresztül vannak hozzárendelve. Ha például a Queue Data Reader szerepkörhöz van hozzárendelve, futtathat szkriptelési parancsokat, amelyek adatokat olvasnak az üzenetsorból. Ha hozzá lett rendelve a Queue Data Contributor szerepkörhöz, futtathat szkriptelési parancsokat, amelyek olvasási, írási vagy törlési üzenetsort vagy az általuk tárolt adatokat olvasnak, írnak vagy törölnek.
Az egyes Azure Storage-műveletekhez szükséges engedélyekkel kapcsolatos részletekért tekintse meg az OAuth-jogkivonatokkal rendelkező tárolási műveletek meghívása című témakört.
Fontos
Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Ezért, ha a fiók olvasási zárolással van zárolva, a fiókkulcsokkal még nem rendelkező felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférniük az üzenetsor adataihoz. A PowerShellben adja meg az -UseConnectedAccount
AzureStorageContext objektum létrehozásához szükséges paramétert a Microsoft Entra hitelesítő adataival.
PowerShell-parancsok meghívása a Microsoft Entra hitelesítő adataival
Feljegyzés
Javasoljuk, hogy az Azure Az PowerShell modult használja az Azure-ral való interakcióhoz. Első lépésként tekintse meg az Azure PowerShell telepítését ismertető témakört. Az Az PowerShell-modulra történő migrálás részleteiről lásd: Az Azure PowerShell migrálása az AzureRM modulból az Az modulba.
Ha az Azure PowerShell használatával szeretne bejelentkezni az Azure Storage-ba, és futtatni szeretné az azt követő műveleteket a Microsoft Entra hitelesítő adataival, hozzon létre egy tárolási környezetet a tárfiókra való hivatkozáshoz, és adja meg a paramétert -UseConnectedAccount
.
Az alábbi példa bemutatja, hogyan hozhat létre üzenetsort egy új tárfiókban az Azure PowerShellből a Microsoft Entra hitelesítő adataival. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:
Jelentkezzen be azure-fiókjába az Csatlakozás-AzAccount paranccsal:
Connect-AzAccount
További információ az Azure-ba a PowerShell-lel való bejelentkezésről: Bejelentkezés az Azure PowerShell-lel.
Hozzon létre egy Azure-erőforráscsoportot a New-AzResourceGroup meghívásával.
$resourceGroup = "sample-resource-group-ps" $location = "eastus" New-AzResourceGroup -Name $resourceGroup -Location $location
Hozzon létre egy tárfiókot a New-AzStorageAccount meghívásával.
$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup ` -Name "<storage-account>" ` -SkuName Standard_LRS ` -Location $location `
Kérje le az új tárfiókot meghatározó tárfiók-környezetet a New-AzStorageContext meghívásával. Tárfiókon való működéskor a hitelesítő adatok ismételt átadása helyett hivatkozhat a környezetre. Adja meg azt a
-UseConnectedAccount
paramétert, amely meghívja az esetleges további adatműveleteket a Microsoft Entra hitelesítő adataival:$ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccount
Az üzenetsor létrehozása előtt rendelje hozzá saját magának a Storage Queue Data Közreműködő szerepkört. Annak ellenére, hogy Ön a fiók tulajdonosa, explicit engedélyekre van szüksége a tárfiókon végzett adatműveletek végrehajtásához. További információ az Azure-szerepkörök hozzárendeléséről: Azure-szerepkör hozzárendelése az üzenetsoradatokhoz való hozzáféréshez.
Fontos
Az Azure-szerepkör-hozzárendelések propagálása eltarthat néhány percig.
Hozzon létre egy üzenetsort a New-AzStorageQueue meghívásával. Mivel ez a hívás az előző lépésekben létrehozott környezetet használja, a rendszer a Microsoft Entra hitelesítő adataival hozza létre az üzenetsort.
$queueName = "sample-queue" New-AzStorageQueue -Name $queueName -Context $ctx