Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A kapcsolati sztring tartalmazzák azokat az engedélyezési információkat, amelyekre az alkalmazásnak szüksége van ahhoz, hogy futtatókörnyezetben, megosztott kulcsos hitelesítéssel hozzáférjen az Azure Storage-fiók adataihoz. A kapcsolati sztringek a következőkre konfigurálhatóak:
- Csatlakozzon az Azurite Storage emulátorhoz.
- Tárfiók elérése az Azure-ban.
- A megadott erőforrások elérése az Azure-ban egy közös hozzáférésű jogosultságkódon (SAS) keresztül.
A fiókelérési kulcsok megtekintéséről és a kapcsolati sztring másolásáról a Tárfiók hozzáférési kulcsok kezelése című témakörben olvashat.
Fontos
Az optimális biztonság érdekében a Microsoft azt javasolja, hogy a Microsoft Entra ID-t felügyelt identitásokkal használva engedélyezze a blob-, üzenetsor- és táblaadatokra vonatkozó kéréseket, amikor csak lehetséges. A Microsoft Entra-azonosítóval és felügyelt identitásokkal való engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. A felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál. Ha egy .NET-alkalmazáshoz szeretne felügyelt identitást engedélyezni és használni, tekintse meg az Azure-ban üzemeltetett alkalmazások azure-erőforrásokhoz való hitelesítését a .NET-tel.
Az Azure-on kívül üzemeltetett erőforrások, például a helyszíni alkalmazások esetében felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon az Azure Arc-kompatibilis kiszolgálókon.
Olyan esetekben, amikor közös hozzáférésű jogosultságkódokat (SAS) használnak, a Microsoft egy felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett a Microsoft Entra hitelesítő adatai védik. A közös hozzáférésű jogosultságkódokkal kapcsolatos további információkért lásd : Korlátozott hozzáférés biztosítása közös hozzáférésű jogosultságkódokkal rendelkező adatokhoz. A felhasználói delegálási SAS .NET-sel való létrehozását és használatát ismertető példa: Felhasználói delegálási SAS létrehozása egy .NET-blobhoz.
A hozzáférési kulcsok védelme
A tárfiók hozzáférési kulcsai teljes hozzáférést biztosítanak a tárfiók adataihoz, valamint sas-jogkivonatok létrehozásához. Mindig ügyeljen a hozzáférési kulcsok védelmére. Az Azure Key Vault használatával biztonságosan kezelheti és elforgathatja a kulcsokat. A megosztott kulcshoz való hozzáférés teljes hozzáférést biztosít a felhasználónak a tárfiók adataihoz. A megosztott kulcsokhoz való hozzáférést gondosan korlátozni és figyelni kell. Használjon korlátozott hozzáférési hatókörű felhasználói delegálási SAS-jogkivonatokat olyan esetekben, amikor a Microsoft Entra ID-alapú hitelesítés nem használható. Kerülje a hozzáférési kulcsok kódolását vagy mentését bárhol, egyszerű, mások számára elérhető szövegben. Forgassa el a kulcsokat, ha úgy véli, hogy feltörték őket.
Fontos
Ha meg szeretné akadályozni, hogy a felhasználók megosztott kulccsal férhessenek hozzá a tárfiók adataihoz, letilthatja a tárfiók megosztott kulcsának engedélyezését. A minimálisan szükséges jogosultságokkal való részletes adat-hozzáférés ajánlott mint biztonsági legjobb gyakorlat. A Microsoft Entra ID-alapú hitelesítést felügyelt identitásokkal kell használni az OAuth-t támogató forgatókönyvekhez. Kerberost vagy SMTP-t kell használni az Azure Fileshoz SMB-en keresztül. A REST-en keresztüli Azure Files esetében SAS-jogkivonatok használhatók. A megosztott kulcs hozzáférését le kell tiltani, ha nincs szükség a véletlen használat megakadályozására. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.
Az Azure Storage-fiók Microsoft Entra feltételes hozzáférési szabályzatokkal való védelméhez le kell tiltania a tárfiók megosztott kulcsának engedélyezését.
Ha letiltotta a megosztott kulcshoz való hozzáférést, és a diagnosztikai naplókban a megosztott kulcs engedélyezését látja, az azt jelzi, hogy a rendszer megbízható hozzáférést használ a tárterület eléréséhez. További részletekért tekintse meg a Microsoft Entra-bérlőben regisztrált erőforrások megbízható hozzáférését.
Kapcsolati sztring tárolása
Az alkalmazásnak futtatás közben kell hozzáférnie a kapcsolati sztringhez, hogy engedélyezni tudja az Azure Storage felé tett kéréseket. Számos lehetősége van a fiók hozzáférési kulcsainak vagy kapcsolati sztring tárolására:
- A fiókkulcsokat biztonságosan tárolhatja az Azure Key Vaultban. További információ: Az Azure Key Vault által felügyelt tárfiókkulcsok ismertetése.
- A kapcsolati sztringet Ön tárolhatja egy környezeti változóban.
- Egy alkalmazás tárolhatja a kapcsolati sztringet egy app.config vagy web.config fájlban. Adja hozzá az kapcsolati karakterláncot a fájlok AppSettings szakaszába.
Figyelmeztetés
A fiók hozzáférési kulcsainak vagy kapcsolati sztring tiszta szövegben való tárolása biztonsági kockázatot jelent, ezért nem ajánlott. Tárolja a fiókkulcsokat titkosított formátumban, vagy migrálja az alkalmazásokat a Microsoft Entra-hitelesítés használatára a tárfiókhoz való hozzáféréshez.
Kapcsolati sztring konfigurálása az Azurite-hoz
Az emulátor egyetlen rögzített fiókot és egy jól ismert hitelesítési kulcsot támogat a megosztott kulcsú hitelesítéshez. Ez a fiók és kulcs az egyetlen közös kulcsú hitelesítő adat, amely az emulátorhoz használható. Ezek a következők:
Account name: devstoreaccount1
Account key: Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==
Megjegyzés
Az emulátor által támogatott hitelesítési kulcs csak az ügyfél-hitelesítési kód funkcióinak tesztelésére szolgál. Nem szolgál semmilyen biztonsági célt. Az éles tárfiókát és kulcsát nem használhatja az emulátorral. Ne használja a fejlesztési fiókot éles adatokat tartalmazva.
Az emulátor csak HTTP-en keresztül támogatja a kapcsolatot. Azonban a HTTPS az ajánlott protokoll egy éles Azure-tárfiók erőforrásainak eléréséhez.
Csatlakozás az emulátorfiókhoz a parancsikon használatával
Az emulátorhoz az alkalmazásból a legegyszerűbben úgy csatlakozhat, ha konfigurál egy kapcsolati sztring az alkalmazás konfigurációs fájljában, amely a parancsikonra hivatkozikUseDevelopmentStorage=true. A parancsikon egyenértékű az emulátor teljes kapcsolati stringjével, amely tartalmazza a fiók nevét, a fiókkulcsot és az emulátorvégpontokat az egyes Azure Storage-szolgáltatásokhoz.
DefaultEndpointsProtocol=http;AccountName=devstoreaccount1;
AccountKey=Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==;
BlobEndpoint=http://127.0.0.1:10000/devstoreaccount1;
QueueEndpoint=http://127.0.0.1:10001/devstoreaccount1;
TableEndpoint=http://127.0.0.1:10002/devstoreaccount1;
Az alábbi .NET-kódrészlet bemutatja, hogyan használhatja a parancsikont egy olyan metódusból, amely kapcsolati láncot vesz át. Például a BlobContainerClient(String, String) konstruktor egy kapcsolati sztringet vesz igénybe.
BlobContainerClient blobContainerClient = new BlobContainerClient("UseDevelopmentStorage=true", "sample-container");
blobContainerClient.CreateIfNotExists();
Győződjön meg arról, hogy az emulátor fut, mielőtt meghívja a kódot a kódrészletben.
Az Azurite-ról további információt az Azurite emulátor használata a helyi Azure Storage-fejlesztéshez című témakörben talál.
Azure-tárolófiók karakterláncának konfigurálása
Ha kapcsolati sztring szeretne létrehozni az Azure Storage-fiókjához, használja az alábbi formátumot. Adja meg, hogy https (ajánlott) vagy HTTP használatával szeretne-e csatlakozni a tárfiókhoz, cserélje le myAccountName a tárfiók nevére, és cserélje le myAccountKey a fiók hozzáférési kulcsára:
DefaultEndpointsProtocol=[http|https];AccountName=myAccountName;AccountKey=myAccountKey
A kapcsolati karakterlánc például ilyen lehet:
DefaultEndpointsProtocol=https;AccountName=storagesample;AccountKey=<account-key>
Bár az Azure Storage a HTTP-t és a HTTPS-t is támogatja egy kapcsolati sztring, a HTTPS használata erősen ajánlott.
Tipp.
A tárfiókod kapcsolati láncai az Azure portálon találhatóak. A tárfiók beállításai között keresse meg a Biztonság + hálózatkezelés>hozzáférési kulcsokat, és tekintse meg az elsődleges és a másodlagos hozzáférési kulcsok kapcsolati karakterláncait.
Kapcsolati sztring létrehozása közös hozzáférésű jogosultságkód használatával
Ha rendelkezik egy megosztott hozzáférési aláírás (SAS) URL-címével, amely hozzáférést biztosít egy tárfiókhoz tartozó erőforrásokhoz, az SAS-t használhatja egy kapcsolati sztringben. Mivel az SAS tartalmazza a kérelem hitelesítéséhez szükséges információkat, egy SAS-vel rendelkező kapcsolati sztring biztosítja a protokollt, a szolgáltatásvégpontot és az erőforrás eléréséhez szükséges hitelesítő adatokat.
Ha közös hozzáférésű jogosultságkódot tartalmazó kapcsolati sztring szeretne létrehozni, adja meg a sztringet a következő formátumban:
BlobEndpoint=myBlobEndpoint;
QueueEndpoint=myQueueEndpoint;
TableEndpoint=myTableEndpoint;
FileEndpoint=myFileEndpoint;
SharedAccessSignature=sasToken
Az egyes szolgáltatásvégpontok megadása nem kötelező, bár a kapcsolati sztring legalább egyet tartalmaznia kell.
Megjegyzés
A HTTPS használata egy SAS-szal ajánlott, mint a legjobb módszer.
Ha megad egy SAS-t egy konfigurációs fájl kapcsolati sztringben, előfordulhat, hogy speciális karaktereket kell kódolnia az URL-címben.
SAS szolgáltatás példa
Íme egy példa egy kapcsolati karakterláncra, amely tartalmaz egy szolgáltatás SAS-t a Blob-tárolóhoz.
BlobEndpoint=https://storagesample.blob.core.windows.net;
SharedAccessSignature=sv=2015-04-05&sr=b&si=tutorial-policy-635959936145100803&sig=9aCzs76n0E7y5BpEi2GvsSv433BZa22leDOZXX%2BXXIU%3D
Íme egy példa ugyanarra a kapcsolati sztringre URL-kódolással:
BlobEndpoint=https://storagesample.blob.core.windows.net;
SharedAccessSignature=sv=2015-04-05&sr=b&si=tutorial-policy-635959936145100803&sig=9aCzs76n0E7y5BpEi2GvsSv433BZa22leDOZXX%2BXXIU%3D
Példa a fiók SAS-ra
Íme egy példa egy kapcsolati karakterláncra, amely tartalmaz egy fiók SAS-t a Blob- és Fájltárolóhoz. Vegye figyelembe, hogy mindkét szolgáltatás végpontjai meg vannak adva:
BlobEndpoint=https://storagesample.blob.core.windows.net;
FileEndpoint=https://storagesample.file.core.windows.net;
SharedAccessSignature=sv=2015-07-08&sig=iCvQmdZngZNW%2F4vw43j6%2BVz6fndHF5LI639QJba4r8o%3D&spr=https&st=2016-04-12T03%3A24%3A31Z&se=2016-04-13T03%3A29%3A31Z&srt=s&ss=bf&sp=rwl
Íme egy példa ugyanarra a kapcsolati sztringre URL-kódolással:
BlobEndpoint=https://storagesample.blob.core.windows.net;
FileEndpoint=https://storagesample.file.core.windows.net;
SharedAccessSignature=sv=2015-07-08&sig=iCvQmdZngZNW%2F4vw43j6%2BVz6fndHF5LI639QJba4r8o%3D&spr=https&st=2016-04-12T03%3A24%3A31Z&se=2016-04-13T03%3A29%3A31Z&srt=s&ss=bf&sp=rwl
Kapcsolati sztring létrehozása explicit tárolási végponthoz
Az alapértelmezett végpontok helyett explicit szolgáltatásvégpontokat is megadhat a kapcsolati láncban. Explicit végpontot meghatározó kapcsolati sztring létrehozásához adja meg az egyes szolgáltatások teljes szolgáltatásvégpontjait, beleértve a protokoll specifikációját (HTTPS (ajánlott) vagy HTTP-t is, a következő formátumban:
DefaultEndpointsProtocol=[http|https];
BlobEndpoint=myBlobEndpoint;
FileEndpoint=myFileEndpoint;
QueueEndpoint=myQueueEndpoint;
TableEndpoint=myTableEndpoint;
AccountName=myAccountName;
AccountKey=myAccountKey
Az egyik eset, amikor explicit végpontot szeretne megadni, az az, amikor a Blob Storage-végpontot egy egyéni tartományhoz képezte le. Ebben az esetben megadhatja a Blob Storage kapcsolati karakterláncában a saját végpontját. Ha az alkalmazás használja őket, megadhatja a többi szolgáltatás alapértelmezett végpontjait.
Íme egy példa egy kapcsolati sztring, amely explicit végpontot határoz meg a Blob szolgáltatáshoz:
# Blob endpoint only
DefaultEndpointsProtocol=https;
BlobEndpoint=http://www.mydomain.com;
AccountName=storagesample;
AccountKey=<account-key>
Ez a példa az összes szolgáltatás explicit végpontjait határozza meg, beleértve a Blob szolgáltatás egyéni tartományát is:
# All service endpoints
DefaultEndpointsProtocol=https;
BlobEndpoint=http://www.mydomain.com;
FileEndpoint=https://myaccount.file.core.windows.net;
QueueEndpoint=https://myaccount.queue.core.windows.net;
TableEndpoint=https://myaccount.table.core.windows.net;
AccountName=storagesample;
AccountKey=<account-key>
A kapcsolati sztring végpontértékei a kérelem URI-jainak a tárolási szolgáltatásokhoz való létrehozására szolgálnak, és a kódhoz visszaadott URI-k formáját diktálják.
Ha egy tárvégpontot egy egyéni tartományhoz képezett le, és kihagyja azt a végpontot a kapcsolati sztringből, akkor nem fogja tudni használni azt a kapcsolati sztringet a kódból a szolgáltatás adatainak eléréséhez.
Az egyéni tartomány Azure Storage-beli konfigurálásáról további információt az Egyéni tartomány leképezése Azure Blob Storage-végpontra című témakörben talál.
Fontos
A szolgáltatás végpontok kapcsolati karakterláncok értékeinek megfelelően formázott URI-knak kell lenniük, beleértve a https:// értéket (ajánlott) vagy a http://.
Kapcsolati karaktersor létrehozása végponti utótaggal
Ha kapcsolatot kíván létesíteni egy tárolási szolgáltatással olyan régiókban vagy példányokban, amelyek eltérő végponti utótagokkal rendelkeznek, például a 21Vianet által üzemeltetett Microsoft Azure vagy az Azure Government esetében, használja az alábbi formátumot. Adja meg, hogy HTTPS-n vagy HTTP-n keresztül szeretne-e csatlakozni a tárfiókhoz, cserélje le myAccountName a tárfiók nevére, cserélje le myAccountKey a fiók hozzáférési kulcsára, és cserélje le mySuffix az URI utótagot:
DefaultEndpointsProtocol=[http|https];
AccountName=myAccountName;
AccountKey=myAccountKey;
EndpointSuffix=mySuffix;
Íme egy példa a 21Vianet által üzemeltetett Azure-beli tárolási szolgáltatások kapcsolati lánc:
DefaultEndpointsProtocol=https;
AccountName=storagesample;
AccountKey=<account-key>;
EndpointSuffix=core.chinacloudapi.cn;
Hozzáférés engedélyezése megosztott kulccsal
Az Azure Storage-hoz való hozzáférés fiókkulccsal vagy kapcsolati karakterlánccal történő engedélyezéséről az alábbi cikkek egyikéből tud meg:
- Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz a .NET-tel
- Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz Java használatával
- Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz JavaScript használatával
- Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz a Pythonnal