Kérések engedélyezése az Azure Storage-ba
A Blob, a Fájl, a Várólista vagy a Tábla szolgáltatásban lévő biztonságos erőforrással kapcsolatos minden kérést engedélyezni kell. Az engedélyezés biztosítja, hogy a tárfiókban lévő erőforrások csak akkor legyenek elérhetők, ha azt szeretné, és csak azoknak a felhasználóknak vagy alkalmazásoknak, akiknek hozzáférést ad.
Fontos
Az optimális biztonság érdekében a Microsoft a Microsoft Entra ID felügyelt identitásokkal való használatát javasolja a blob-, üzenetsor- és táblaadatokkal kapcsolatos kérések engedélyezéséhez, amikor csak lehetséges. A Microsoft Entra ID és felügyelt identitásokkal történő engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezéséhez. További információ: Engedélyezés Microsoft Entra ID. A felügyelt identitásokkal kapcsolatos további információkért lásd : Mik azok az Azure-erőforrások felügyelt identitásai.
Az Azure-on kívül üzemeltetett erőforrásokhoz, például a helyszíni alkalmazásokhoz felügyelt identitásokat használhat az Azure Arcon keresztül. Az Azure Arc-kompatibilis kiszolgálókon futó alkalmazások például felügyelt identitásokkal csatlakozhatnak az Azure-szolgáltatásokhoz. További információ: Hitelesítés Azure-erőforrásokon azure Arc-kompatibilis kiszolgálókkal.
Olyan esetekben, amikor közös hozzáférésű jogosultságkódokat (SAS) használnak, a Microsoft egy felhasználói delegálási SAS használatát javasolja. A felhasználói delegálási SAS-t a fiókkulcs helyett Microsoft Entra hitelesítő adatok védik. A közös hozzáférésű jogosultságkódokról a felhasználói delegálási SAS Létrehozás című témakörben olvashat.
Az alábbi táblázat azokat a lehetőségeket ismerteti, amelyeket az Azure Storage kínál az erőforrásokhoz való hozzáférés engedélyezéséhez:
Azure-összetevő | Megosztott kulcs (tárfiókkulcs) | Közös hozzáférésű jogosultságkód (SAS) | Microsoft Entra ID | Helyszíni Active Directory tartományi szolgáltatások | Névtelen nyilvános olvasási hozzáférés |
---|---|---|---|---|---|
Azure Blobs | Támogatott | Támogatott | Támogatott | Nem támogatott | Támogatott |
Azure Files (SMB) | Támogatott | Nem támogatott | A Kerberos Microsoft Entra tartományi szolgáltatások vagy Microsoft Entra támogatott | Támogatott, a hitelesítő adatokat szinkronizálni kell a Microsoft Entra ID | Nem támogatott |
Azure Files (REST) | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott |
Azure Queues | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott |
Azure-táblák | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott |
Az alábbiakban röviden ismertetjük az egyes engedélyezési lehetőségeket:
Microsoft Entra ID:Microsoft Entra a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása. Microsoft Entra ID integráció elérhető a Blob, a File, a Queue és a Table szolgáltatásokhoz. A Microsoft Entra ID segítségével részletes hozzáférést rendelhet felhasználókhoz, csoportokhoz vagy alkalmazásokhoz szerepköralapú hozzáférés-vezérléssel (RBAC). Az Azure Storage-ral való Microsoft Entra ID integrációról az Engedélyezés Microsoft Entra ID című témakörben olvashat.
Microsoft Entra tartományi szolgáltatások Azure Files engedélyezése. Azure Files támogatja az identitásalapú engedélyezést a kiszolgálói üzenetblokkon (SMB) keresztül Microsoft Entra tartományi szolgáltatások keresztül. Az RBAC használatával részletesen szabályozhatja, hogy az ügyfél hozzáfér-e Azure Files tárfiók erőforrásaihoz. A tartományi szolgáltatások használatával történő Azure Files hitelesítéssel kapcsolatos további információkért lásd: Azure Files identitásalapú engedélyezés.
Active Directory- (AD-) engedélyezés Azure Files. Azure Files támogatja az identitásalapú engedélyezést az SMB-en keresztül az AD-en keresztül. Az AD tartományi szolgáltatás helyszíni gépeken vagy Azure-beli virtuális gépeken üzemeltethető. A fájlokhoz való SMB-hozzáférés AD-hitelesítő adatokkal támogatott a tartományhoz csatlakoztatott gépekről, akár a helyszínen, akár az Azure-ban. A címtár- és fájlszintű engedélyérvényesítéshez használhatja az RBAC-t a megosztási szintű hozzáférés-vezérléshez és az NTFS DACL-eket. A tartományi szolgáltatások használatával történő Azure Files hitelesítéssel kapcsolatos további információkért lásd: Azure Files identitásalapú engedélyezés.
Megosztott kulcs: A megosztott kulcs engedélyezése a fiók hozzáférési kulcsaira és más paraméterekre támaszkodik, hogy létrehoz egy titkosított aláírási sztringet, amelyet a rendszer átad a kérésnek az Engedélyezési fejlécben. A megosztott kulcs engedélyezésével kapcsolatos további információkért lásd: Engedélyezés megosztott kulccsal.
Közös hozzáférésű jogosultságkódok: A közös hozzáférésű jogosultságkódok (SAS) meghatározott engedélyekkel és meghatározott időtartamon keresztül delegálják a hozzáférést a fiók egy adott erőforrásához. További információ az SAS-ről: Hozzáférés delegálása közös hozzáférésű jogosultságkóddal.
Névtelen hozzáférés tárolókhoz és blobokhoz: A bloberőforrásokat opcionálisan nyilvánossá teheti a tároló vagy a blob szintjén. A nyilvános tárolók vagy blobok minden felhasználó számára elérhetők névtelen olvasási hozzáférés céljából. A nyilvános tárolókra és blobokra irányuló olvasási kérelmekhez nincs szükség engedélyezésre. További információ: Nyilvános olvasási hozzáférés engedélyezése tárolókhoz és blobokhoz az Azure Blob Storage-ban.
Tipp
A blob-, fájl-, üzenetsor- és táblaadatokhoz való hozzáférés hitelesítése és engedélyezése a Microsoft Entra ID kiváló biztonságot és egyszerű használatot biztosít más engedélyezési lehetőségekhez képest. A Microsoft Entra ID használatával például nem kell a kóddal tárolnia a fiók hozzáférési kulcsát, ahogy a megosztott kulcs engedélyezése esetén is. Bár továbbra is használhatja a megosztott kulcs engedélyezését a blob- és üzenetsor-alkalmazásokkal, a Microsoft azt javasolja, hogy lehetőség szerint lépjen Microsoft Entra ID.
Hasonlóképpen továbbra is használhatja a közös hozzáférésű jogosultságkódokat (SAS) a tárfiók erőforrásaihoz való részletes hozzáférés biztosításához, de Microsoft Entra ID hasonló képességeket kínál anélkül, hogy kezelnie kellene az SAS-jogkivonatokat, vagy aggódnia kellene a feltört SAS visszavonása miatt.
Az Azure Storage Microsoft Entra ID integrációjáról további információt az Azure-blobokhoz és -üzenetsorokhoz való hozzáférés engedélyezése Microsoft Entra ID használatával című témakörben talál.