Kérések engedélyezése az Azure Storage-nak
A Blob, a File, a Queue vagy a Table szolgáltatásban lévő biztonságos erőforrásra irányuló minden kérést engedélyezni kell. Az engedélyezés biztosítja, hogy a tárfiók erőforrásai csak akkor legyenek elérhetők, ha ön szeretné őket, és csak azoknak a felhasználóknak vagy alkalmazásoknak, akiknek hozzáférést ad.
Az alábbi táblázat azokat a lehetőségeket ismerteti, amelyeket az Azure Storage kínál az erőforrásokhoz való hozzáférés engedélyezéséhez:
| Azure-összetevő | Megosztott kulcs (tárfiókkulcs) | Közös hozzáférésű jogosultságkód (SAS) | Microsoft Entra ID | Helyszíni Active Directory tartományi szolgáltatások | Névtelen nyilvános olvasási hozzáférés |
|---|---|---|---|---|---|
| Azure Blobs | Támogatott | Támogatott | Támogatott | Nem támogatott | Támogatott |
| Azure Files (SMB) | Támogatott | Nem támogatott | A Kerberos Microsoft Entra tartományi szolgáltatások vagy Microsoft Entra támogatott | Támogatott, a hitelesítő adatokat szinkronizálni kell a Microsoft Entra ID | Nem támogatott |
| Azure Files (REST) | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott |
| Azure Queues | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott |
| Azure-táblák | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott |
Az alábbiakban röviden ismertetjük az egyes engedélyezési lehetőségeket:
Microsoft Entra ID:Microsoft Entra a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása. Microsoft Entra ID integráció elérhető a Blob, a File, a Queue és a Table szolgáltatásokhoz. A Microsoft Entra ID szerepköralapú hozzáférés-vezérléssel (RBAC) finomított hozzáférést rendelhet felhasználókhoz, csoportokhoz vagy alkalmazásokhoz. Az Azure Storage-ral való Microsoft Entra ID-integrációval kapcsolatos információkért lásd: Engedélyezés Microsoft Entra ID.
Microsoft Entra tartományi szolgáltatások Azure Files engedélyezése. Azure Files támogatja az identitásalapú engedélyezést a kiszolgálói üzenetblokkon (SMB) keresztül Microsoft Entra tartományi szolgáltatások keresztül. Az RBAC használatával részletesen szabályozhatja, hogy az ügyfél hozzáfér-e Azure Files erőforrásokhoz egy tárfiókban. A tartományi szolgáltatások használatával végzett Azure Files hitelesítéssel kapcsolatos további információkért lásd: Azure Files identitásalapú hitelesítés.
Active Directory- (AD-) engedélyezés Azure Files. Azure Files támogatja az identitásalapú hitelesítést az SMB-en keresztül az AD-en keresztül. Az AD tartományi szolgáltatás helyszíni gépeken vagy Azure-beli virtuális gépeken üzemeltethető. A fájlokhoz való SMB-hozzáférés AD-hitelesítő adatokkal támogatott a tartományhoz csatlakoztatott gépekről, akár a helyszínen, akár az Azure-ban. Az RBAC-t használhatja a megosztási szintű hozzáférés-vezérléshez, valamint NTFS DACLs-eket a címtár- és fájlszintű engedélyek kikényszerítéséhez. A tartományi szolgáltatások használatával végzett Azure Files hitelesítéssel kapcsolatos további információkért lásd: Azure Files identitásalapú hitelesítés.
Megosztott kulcs: A megosztott kulcs engedélyezése a fiók hozzáférési kulcsaira és más paraméterekre támaszkodva hoz létre egy titkosított aláírási sztringet, amelyet a rendszer átad a kérelemnek az Engedélyezés fejlécben. További információ a megosztott kulcs engedélyezéséről: Engedélyezés megosztott kulccsal.
Közös hozzáférésű jogosultságkódok: A közös hozzáférésű jogosultságkódok (SAS) meghatározott engedélyekkel és meghatározott időintervallumban delegálják a hozzáférést a fiók egy adott erőforrásához. További információ az SAS-ről: Hozzáférés delegálása közös hozzáférésű jogosultságkóddal.
Névtelen hozzáférés tárolókhoz és blobokhoz: A bloberőforrásokat igény szerint nyilvánossá teheti a tároló vagy a blob szintjén. A nyilvános tárolók vagy blobok bármely felhasználó számára elérhetők névtelen olvasási hozzáférés céljából. A nyilvános tárolókra és blobokra irányuló olvasási kérések nem igényelnek engedélyezést. További információ: Nyilvános olvasási hozzáférés engedélyezése tárolókhoz és blobokhoz az Azure Blob Storage-ban.
Tipp
A blob-, fájl-, üzenetsor- és táblaadatokhoz való hozzáférés hitelesítése és engedélyezése Microsoft Entra ID kiváló biztonságot és egyszerű használatot biztosít más engedélyezési lehetőségekhez képest. A Microsoft Entra ID használatával például nem kell a kóddal tárolnia a fiók hozzáférési kulcsát, ahogyan a megosztott kulcs engedélyezésével tenné. Bár továbbra is használhatja a megosztott kulcsos hitelesítést a blob- és üzenetsor-alkalmazásokkal, a Microsoft azt javasolja, hogy lehetőség szerint lépjen Microsoft Entra ID.
Hasonlóképpen, továbbra is használhat közös hozzáférésű jogosultságkódokat (SAS) a tárfiók erőforrásaihoz való részletesebb hozzáférés biztosításához, de Microsoft Entra ID hasonló képességeket kínál anélkül, hogy kezelnie kellene az SAS-jogkivonatokat, vagy aggódnia kellene a feltört SAS visszavonása miatt.
Az Azure Storage Microsoft Entra ID integrációjával kapcsolatos további információkért lásd: Azure-blobokhoz és üzenetsorokhoz való hozzáférés engedélyezése Microsoft Entra ID használatával.