Pilih cara otorisasi akses ke data blob dalam portal Microsoft Azure

  • Artikel

Saat Anda mengakses data antrean menggunakan portal Microsoft Azure, portal membuat permintaan ke Azure Storage secara diam-diam. Permintaan ke Azure Storage ini dapat diautentikasi dan diotorisasi menggunakan akun Microsoft Entra atau kunci akses akun penyimpanan Anda. Portal menunjukkan metode mana yang Anda gunakan, dan memungkinkan Anda beralih di antara keduanya jika Anda memiliki izin yang sesuai.

Anda juga dapat menentukan cara mengotorisasi operasi pengunggahan blob individu di portal Microsoft Azure. Secara default portal menggunakan metode apa pun yang sudah Anda gunakan untuk mengotorisasi operasi pengunggahan blob, tetapi Anda memiliki opsi untuk mengubah pengaturan ini saat Anda mengunggah blob.

Izin diperlukan untuk mengakses data blob

Bergantung pada cara Anda mengotorisasi akses ke data antrean di portal Microsoft Azure, Anda akan memerlukan izin tertentu. Dalam kebanyakan kasus, izin ini disediakan melalui kontrol akses berbasis peran Azure (Azure RBAC). Untuk informasi selengkapnya tentang Azure RBAC, lihat Apa itu kontrol akses berbasis peran Azure (Azure RBAC)?.

Gunakan kunci akses akun

Untuk mengakses data blob dengan kunci akses akun, Anda harus menetapkan peran Azure yang menyertakan tindakan Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Peran Azure ini mungkin merupakan peran bawaan atau kustom. Peran bawaan yang mendukung Microsoft.Storage/storageAccounts/listkeys/action mencakup berikut ini, dalam urutan izin dari yang terkecil hingga terbesar:

Saat mencoba mengakses data blob di portal Microsoft Azure, portal pertama memeriksa apakah Anda telah diberi peran dalam Microsoft.Storage/storageAccounts/listkeys/action. Jika Anda telah diberi peran dengan tindakan ini, maka portal menggunakan kunci akun untuk mengakses data blob. Jika Anda belum diberi peran dengan tindakan ini, portal mencoba mengakses data menggunakan akun Microsoft Entra Anda.

Penting

Saat akun penyimpanan dikunci dengan kunci Baca Saja Azure Resource Manager, operasi Daftar Kunci tidak diizinkan untuk akun penyimpanan tersebut. Daftar Kunci adalah operasi POST, dan semua operasi POST dicegah ketika kunci Baca Saja dikonfigurasi untuk akun tersebut. Untuk alasan ini, ketika akun dikunci dengan kunci ReadOnly , pengguna harus menggunakan kredensial Microsoft Entra untuk mengakses data blob di portal. Untuk informasi tentang mengakses data blob di portal dengan ID Microsoft Entra, lihat Menggunakan akun Microsoft Entra Anda.

Catatan

Peran administrator langganan klasik Administrator Layanan dan Administrator Bersama mencakup peran Pemilik Azure Resource Manager yang setara. Peran Pemilik mencakup semua tindakan, termasuk Microsoft.Storage/storageAccounts/listkeys/action, sehingga pengguna dengan salah satu peran administratif ini juga dapat mengakses data blob dengan kunci akun. Untuk informasi selengkapnya, lihat Peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik.

Menggunakan akun Microsoft Entra Anda

Untuk mengakses data blob dari portal Azure menggunakan akun Microsoft Entra Anda, kedua pernyataan berikut harus benar untuk Anda:

  • Anda telah diberi peran bawaan atau kustom yang menyediakan akses ke data blob.
  • Anda telah diberi peran Pembaca Azure Resource Manager, yang minimal, tercakup ke tingkat akun penyimpanan atau yang lebih tinggi. Peran Pembaca memberi izin yang paling terbatas, tetapi peran Azure Resource Manager lain yang memberi akses ke sumber daya manajemen akun penyimpanan juga dapat diterima.

Peran Pembaca Azure Resource Manager memungkinkan pengguna untuk menampilkan sumber daya akun penyimpanan, tapi tidak untuk mengubahnya. Peran ini tidak menyediakan izin baca ke data di Azure Storage, tetapi hanya untuk sumber daya manajemen akun. Peran Pembaca diperlukan agar pengguna dapat menavigasi ke kontainer blob di portal Microsoft Azure.

Untuk informasi tentang peran bawaan yang mendukung akses ke data blob, lihat Mengotorisasi akses ke blob menggunakan ID Microsoft Entra.

Peran kustom dapat mendukung kombinasi yang berbeda dari izin yang sama yang disediakan oleh peran bawaan. Untuk informasi selengkapnya tentang membuat peran kustom Azure, lihat Peran kustom Azure dan Pahami definisi peran untuk sumber daya Azure.

Untuk melihat data antrean di portal, navigasikan ke Gambaran Umum untuk akun penyimpanan Anda, dan klik tautan Blob. Atau Anda dapat bernavigasi ke bagian Kontainer di menu.

Screenshot showing how to navigate to blob data in the Azure portal

Tentukan metode autentikasi saat ini

Saat Anda menavigasi ke kontainer, portal Azure menunjukkan apakah Anda saat ini menggunakan kunci akses akun atau akun Microsoft Entra Anda untuk mengautentikasi.

Autentikasi dengan kunci akses akun

Jika Anda mengautentikasi menggunakan kunci akses akun, Anda akan melihat Kunci Akses yang ditentukan sebagai metode autentikasi di portal:

Screenshot showing user currently accessing containers with the account key

Untuk beralih menggunakan akun Microsoft Entra, klik tautan yang disorot dalam gambar. Jika Anda memiliki izin yang sesuai melalui peran Azure yang ditetapkan untuk Anda, Anda akan dapat melanjutkan. Namun, jika Anda tidak memiliki izin yang tepat, Anda akan melihat pesan kesalahan seperti berikut ini:

Error shown if Microsoft Entra account does not support access

Perhatikan bahwa tidak ada blob yang muncul dalam daftar jika akun Microsoft Entra Anda tidak memiliki izin untuk melihatnya. Klik tautan Beralih ke kunci akses untuk menggunakan kunci akses untuk autentikasi lagi.

Mengautentikasi dengan akun Microsoft Entra Anda

Jika Mengautentikasi menggunakan akun Microsoft Entra, Anda akan melihat Akun pengguna Microsoft Entra yang ditentukan sebagai metode autentikasi di portal:

Screenshot showing user currently accessing containers with Microsoft Entra account

Untuk beralih menggunakan kunci akses akun, klik link yang disorot dalam gambar. Jika Anda memiliki akses ke kunci akun, maka Anda akan dapat melanjutkan. Namun, jika Anda tidak memiliki akses ke kunci akun, Anda akan melihat pesan kesalahan seperti yang berikut:

Error shown if you do not have access to account key

Perhatikan bahwa tidak ada blob yang muncul dalam daftar jika Anda tidak memiliki akses ke kunci akun. Klik tautan Beralih ke Akun pengguna Microsoft Entra untuk menggunakan akun Microsoft Entra Anda untuk autentikasi lagi.

Menentukan cara otorisasi operasi pengunggahan blob

Saat mengunggah blob dari portal Azure, Anda dapat menentukan apakah akan mengautentikasi dan mengotorisasi operasi tersebut dengan kunci akses akun atau dengan kredensial Microsoft Entra Anda. Secara default, portal menggunakan metode autentikasi saat ini, seperti yang ditunjukkan dalam Menentukan metode autentikasi saat ini.

Untuk menentukan cara mengotorisasi operasi pengunggahan blob, ikuti langkah-langkah berikut:

  1. Di portal Microsoft Azure, navigasi ke kontainer tempat Anda ingin mengunggah blob.

  2. Pilih tombol Unggah.

  3. Perluas bagian Lanjutan untuk menampilkan properti blob tingkat lanjut.

  4. Di bidang Jenis Autentikasi, tunjukkan apakah Anda ingin mengotorisasi operasi unggahan dengan menggunakan akun Microsoft Entra Anda atau dengan kunci akses akun, seperti yang ditunjukkan pada gambar berikut:

    Screenshot showing how to change authorization method on blob upload

Default ke otorisasi Microsoft Entra di portal Azure

Saat membuat akun penyimpanan baru, Anda dapat menentukan bahwa portal Azure akan default ke otorisasi dengan ID Microsoft Entra saat pengguna menavigasi ke data blob. Anda juga dapat mengonfigurasi pengaturan ini untuk akun penyimpanan yang ada. Pengaturan ini hanya menetapkan metode otorisasi default, jadi ingatlah bahwa pengguna dapat mengambil alih pengaturan ini dan memilih untuk mengotorisasi akses data dengan kunci akun.

Untuk menentukan bahwa portal akan menggunakan otorisasi Microsoft Entra secara default untuk akses data saat Anda membuat akun penyimpanan, ikuti langkah-langkah berikut:

  1. Buat akun penyimpanan baru, dengan mengikuti instruksi di Membuat akun penyimpanan.

  2. Pada tab Tingkat Lanjut, di bagian Keamanan, centang kotak di samping Default ke otorisasi Microsoft Entra di portal Azure.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account

  3. Pilih tombol Tinjau + buat untuk menjalankan validasi dan membuat akun.

Guna memperbarui pengaturan ini untuk akun penyimpanan yang ada, ikuti langkah-langkah berikut:

  1. Navigasikan ke ringkasan akun di portal Microsoft Azure.

  2. Di bawah Pengaturan, pilih Konfigurasi.

  3. Atur Default ke otorisasi Microsoft Entra di portal Azure ke Diaktifkan.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account

Properti defaultToOAuthAuthAuthentication dari akun penyimpanan tidak diatur secara default dan tidak mengembalikan nilai hingga Anda secara eksplisit mengaturnya.

Langkah berikutnya