Táblákhoz való hozzáférés engedélyezése a Microsoft Entra-azonosítóval

Az Azure Storage támogatja a Microsoft Entra ID használatát az adatok táblázására irányuló kérések engedélyezéséhez. A Microsoft Entra ID-val azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) adhat engedélyeket egy biztonsági tagnak, amely lehet felhasználó, csoport vagy alkalmazásszolgáltatás-tag. A biztonsági tagot a Microsoft Entra ID hitelesíti egy OAuth 2.0-jogkivonat visszaadásához. A jogkivonat ezután a Table szolgáltatással kapcsolatos kérések engedélyezésére használható.

Az Azure Storage-ra irányuló kérelmek Microsoft Entra-azonosítóval való engedélyezése kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A Microsoft azt javasolja, hogy ha lehetséges, használja a Microsoft Entra-hitelesítést a táblaalkalmazásokkal a minimálisan szükséges jogosultságokkal való hozzáférés biztosítása érdekében.

A Microsoft Entra-azonosítóval való engedélyezés minden általános célú szolgáltatáshoz elérhető az összes nyilvános régióban és nemzeti felhőben. Csak az Azure Resource Manager-alapú üzemi modellel létrehozott tárfiókok támogatják a Microsoft Entra engedélyezését.

A TáblákHoz készült Microsoft Entra-azonosító áttekintése

Amikor egy biztonsági tag (felhasználó, csoport vagy alkalmazás) megpróbál hozzáférni egy táblaerőforráshoz, a kérést engedélyezni kell. A Microsoft Entra-azonosítóval az erőforráshoz való hozzáférés kétlépéses folyamat. Először a rendszer hitelesíti a biztonsági tag identitását, és egy OAuth 2.0-jogkivonatot ad vissza. Ezután a rendszer a jogkivonatot egy kérés részeként továbbítja a Table szolgáltatásnak, és a szolgáltatás a megadott erőforráshoz való hozzáférés engedélyezésére használja.

A hitelesítési lépés megköveteli, hogy egy alkalmazás futásidőben OAuth 2.0 hozzáférési jogkivonatot kérjen. Ha egy alkalmazás egy Azure-entitáson belül fut, például egy Azure-beli virtuális gépről, egy virtuálisgép-méretezési csoportról vagy egy Azure Functions-alkalmazásról, akkor egy felügyelt identitással érheti el a táblákat.

Az engedélyezési lépéshez egy vagy több Azure-szerepkört kell hozzárendelni a biztonsági taghoz. Az Azure Storage olyan Azure-szerepköröket biztosít, amelyek a táblaadatok általános engedélykészleteit foglalják magukban. A rendszerbiztonsági taghoz rendelt szerepkörök határozzák meg, hogy a rendszerbiztonsági tag milyen engedélyekkel rendelkezzen. Ha többet szeretne megtudni az Azure-szerepkörök táblahozzáféréshez való hozzárendeléséről, olvassa el az Azure-szerepkörök hozzárendelése a táblaadatokhoz való hozzáféréshez című témakört.

Az alábbi táblázat további információkra mutat az adatokhoz való hozzáférés engedélyezéséhez különböző forgatókönyvekben:

Nyelv	.NET	Java	JavaScript	Python	Go
A Hitelesítés és a Microsoft Entra-azonosító áttekintése	.NET-alkalmazások hitelesítése az Azure-szolgáltatásokkal	Azure-hitelesítés Java és Azure Identity használatával	JavaScript-alkalmazások hitelesítése az Azure-ban az Azure SDK használatával	Python-alkalmazások hitelesítése az Azure-ban az Azure SDK használatával
Hitelesítés fejlesztői szolgáltatásnevek használatával	.NET-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során szolgáltatásnevek használatával	Azure-hitelesítés szolgáltatásnévvel	JS-alkalmazások hitelesítése azure-szolgáltatásokba szolgáltatásnévvel	Python-alkalmazások hitelesítése az Azure-szolgáltatásokba a helyi fejlesztés során szolgáltatásnevek használatával	Azure SDK for Go-hitelesítés szolgáltatásnévvel
Hitelesítés fejlesztői vagy felhasználói fiókok használatával	.NET-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával	Azure-hitelesítés felhasználói hitelesítő adatokkal	JS-alkalmazások hitelesítése az Azure-szolgáltatásokba fejlesztői fiókokkal	Python-alkalmazások hitelesítése Azure-szolgáltatásokba a helyi fejlesztés során fejlesztői fiókok használatával	Azure-hitelesítés a Go-hoz készült Azure SDK-val
Hitelesítés az Azure által üzemeltetett alkalmazásokból	Azure-beli alkalmazások hitelesítése Azure-erőforrásokba a .NET-hez készült Azure SDK-val	Az Azure által üzemeltetett Java-alkalmazások hitelesítése	Azure-beli JavaScript-alkalmazások hitelesítése Azure-erőforrásokra a JavaScripthez készült Azure SDK-val	Azure-beli alkalmazások hitelesítése Azure-erőforrásokba a Pythonhoz készült Azure SDK-val	Hitelesítés a Go-hoz készült Azure SDK-val felügyelt identitás használatával
Hitelesítés helyszíni alkalmazásokból	Hitelesítés Azure-erőforrásokon a helyszínen üzemeltetett .NET-alkalmazásokból		Helyszíni JavaScript-alkalmazások hitelesítése Azure-erőforrásokon	Hitelesítés Azure-erőforrásokba a helyszínen üzemeltetett Python-alkalmazásokból
Identitásügyfél-kódtár áttekintése	Azure Identity ügyfélkódtár a .NET-hez	Azure Identity-ügyfélkódtár Java-hoz	Azure Identity-ügyfélkódtár JavaScripthez	Azure Identity-ügyfélkódtár Pythonhoz	Azure Identity ügyfélkódtár a Go-hoz

Azure-szerepkörök hozzárendelése hozzáférési jogosultságokhoz

A Microsoft Entra az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyezi az erőforrások védelmére vonatkozó hozzáférési jogosultságokat. Az Azure Storage beépített Azure-szerepkörök készletét határozza meg, amelyek a táblaadatok eléréséhez használt közös engedélykészleteket foglalják magukban. A táblaadatokhoz való hozzáféréshez egyéni szerepköröket is definiálhat.

Ha egy Azure-szerepkör egy Microsoft Entra biztonsági taghoz van rendelve, az Azure hozzáférést biztosít ezekhez az erőforrásokhoz az adott biztonsági tag számára. A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz.

Erőforrás hatóköre

Mielőtt Azure RBAC-szerepkört rendel egy biztonsági taghoz, határozza meg, hogy milyen hozzáférési hatókörrel kell rendelkeznie a biztonsági tagnak. Az ajánlott eljárások azt diktálják, hogy mindig a lehető legszűkebb hatókört érdemes megadni. A szélesebb hatókörben definiált Azure RBAC-szerepköröket az alattuk lévő erőforrások öröklik.

Az Azure-táblaerőforrásokhoz való hozzáférést a következő szinteken, a legszűkebb hatókörtől kezdve használhatja:

• Egy különálló tábla. Ebben a hatókörben a szerepkör-hozzárendelés a megadott táblára vonatkozik.
• A tárfiók. Ebben a hatókörben a szerepkör-hozzárendelés a fiók összes táblájára vonatkozik.
• Az erőforráscsoport. Ebben a hatókörben a szerepkör-hozzárendelés az erőforráscsoport összes tárfiókjának összes táblájára vonatkozik.
• Az előfizetés. Ebben a hatókörben a szerepkör-hozzárendelés az előfizetés összes erőforráscsoportjának összes tárfiókjában lévő összes táblára vonatkozik.
• Egy felügyeleti csoport. Ebben a hatókörben a szerepkör-hozzárendelés a felügyeleti csoport összes előfizetésében lévő összes erőforráscsoport összes tárfiókjának összes táblájára vonatkozik.

További információ az Azure RBAC-szerepkör-hozzárendelések hatóköréről: Az Azure RBAC hatókörének ismertetése.

Azure beépített szerepkörök táblákhoz

Az Azure RBAC beépített szerepköröket biztosít a táblaadatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID és az OAuth használatával. Az Azure Storage-táblákhoz engedélyeket biztosító beépített szerepkörök a következők:

• Storage Table Data Közreműködő: Olvasási/írási/törlési engedélyek megadására használható a Table Storage-erőforrások számára.
• Storage Table Data Reader: Írásvédett engedélyeket adhat a Table Storage-erőforrásokhoz.

Ha tudni szeretné, hogyan rendelhet azure-beli beépített szerepkört egy biztonsági taghoz, olvassa el az Azure-szerepkör hozzárendelése a táblaadatokhoz való hozzáféréshez című témakört. Az Azure RBAC-szerepkörök és azok engedélyeinek listázásához tekintse meg az Azure-szerepkördefiníciók listáját.

A beépített szerepkörök Azure Storage-hoz való definiálásáról további információt a szerepkördefiníciók ismertetése című témakörben talál. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörökben talál.

Csak az adathozzáféréshez explicit módon definiált szerepkörök teszik lehetővé, hogy a biztonsági tagok hozzáférjenek a táblaadatokhoz. A beépített szerepkörök, például a Tulajdonos, a Közreműködő és a Tárfiók közreműködője lehetővé teszik a biztonsági tagok számára a tárfiókok kezelését, de nem biztosítanak hozzáférést a fiók táblaadataihoz a Microsoft Entra-azonosítón keresztül. Ha azonban egy szerepkör tartalmazza a Microsoft.Storage/storageAccounts/listKeys/action függvényt, akkor a szerepkörrel rendelkező felhasználók a fiók hozzáférési kulcsaival megosztott kulcsok engedélyezésével férhetnek hozzá a tárfiók adataihoz.

Az Azure Storage beépített Azure-szerepköreiről az adatszolgáltatásokhoz és a felügyeleti szolgáltatáshoz készült Azure-beli beépített szerepkörökről az Azure RBAC beépített Azure-szerepköreinek Storage szakaszában olvashat. Emellett az Azure-ban engedélyeket biztosító szerepkörök különböző típusaival kapcsolatos információkért tekintse meg az Azure-szerepköröket, a Microsoft Entra szerepköröket és a klasszikus előfizetés-rendszergazdai szerepköröket.

Fontos

Az Azure-szerepkör-hozzárendelések propagálása akár 30 percet is igénybe vehet.

Hozzáférési engedélyek adatműveletekhez

Az adott Table Service-műveletek meghívásához szükséges engedélyekről az adatműveletek meghívására vonatkozó engedélyek című témakörben olvashat.

Következő lépések

• Hozzáférés engedélyezése az Azure Storage-beli adatokhoz
• Azure-szerepkör hozzárendelése táblaadatokhoz való hozzáféréshez