Gunakan penyedia sumber daya Azure Storage untuk mengakses sumber daya manajemen
Azure Resource Manager adalah layanan penyebaran dan manajemen untuk Azure. Penyedia sumber daya Azure Storage adalah layanan berdasarkan Azure Resource Manager dan menyediakan akses ke sumber daya manajemen untuk Azure Storage. Anda dapat menggunakan penyedia sumber daya Azure Storage untuk membuat, memperbarui, mengelola, dan menghapus sumber daya seperti akun penyimpanan, titik akhir privat, dan kunci akses akun. Untuk informasi selengkapnya tentang Azure Resource Manager, lihat Gambaran umum Azure Resource Manager.
Anda bisa menggunakan penyedia sumber daya Azure Storage untuk melakukan tindakan seperti membuat atau menghapus akun penyimpanan atau mendapatkan daftar akun penyimpanan dalam langganan. Untuk mengotorisasi permintaan terhadap penyedia sumber daya Azure Storage, gunakan ID Microsoft Entra. Artikel ini menjelaskan cara menetapkan izin ke sumber daya manajemen, dan menunjuk ke contoh cara membuat permintaan terhadap penyedia sumber daya Azure Storage.
Sumber daya manajemen versus sumber daya data
Microsoft menyediakan dua REST API untuk bekerja dengan sumber daya Azure Storage. API ini merupakan dasar dari semua tindakan yang dapat Anda lakukan terhadap Azure Storage. Azure Storage REST API memungkinkan Anda bekerja dengan data di akun penyimpanan Anda, termasuk data blob, antrean, file, dan tabel. REST API penyedia sumber daya Azure Storage memungkinkan Anda untuk bekerja dengan akun penyimpanan dan sumber daya terkait.
Permintaan yang membaca atau menulis data blob memerlukan izin yang berbeda dari permintaan yang melakukan operasi manajemen. Azure RBAC menyediakan kontrol terperinci atas izin untuk kedua jenis sumber daya. Saat Anda menetapkan peran Azure ke prinsipal keamanan, pastikan Anda memahami izin apa yang akan diberikan oleh prinsipal tersebut. Untuk referensi mendetail yang menjelaskan tindakan mana yang terkait dengan setiap peran bawaan Azure, lihat Peran bawaan Azure.
Azure Storage mendukung penggunaan ID Microsoft Entra untuk mengotorisasi permintaan terhadap penyimpanan Blob dan Antrean. Untuk informasi tentang peran Azure untuk operasi data blob dan antrean, lihat Mengotorisasi akses ke blob dan antrean menggunakan Direktori Aktif.
Tetapkan izin manajemen dengan kontrol akses berbasis peran Azure (Azure RBAC)
Setiap langganan Azure memiliki ID Microsoft Entra terkait yang mengelola pengguna, grup, dan aplikasi. Pengguna, grup, atau aplikasi juga disebut sebagai prinsipal keamanan dalam konteks platform identitas Microsoft. Anda dapat memberikan akses ke sumber daya dalam langganan ke prinsipal keamanan yang ditentukan dalam Direktori Aktif dengan menggunakan kontrol akses berbasis peran Azure (Azure RBAC).
Saat Anda menetapkan peran Azure ke prinsipal keamanan, Anda juga menunjukkan lingkup izin peran tersebut berlaku. Untuk operasi manajemen, Anda dapat menetapkan peran di tingkat langganan, grup sumber daya, atau akun penyimpanan. Anda dapat menetapkan peran Azure pada prinsipal keamanan dengan menggunakan portal Microsoft Azure, CLI klasik Azure, PowerShell, atau REST API penyedia sumber daya Azure Storage.
Untuk informasi selengkapnya, lihat Apa itu kontrol akses berbasis peran Azure (Azure RBAC)? dan peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik.
Peran bawaan untuk operasi manajemen
Azure menyediakan peran bawaan yang memberikan izin untuk memanggil operasi manajemen. Azure Storage juga menyediakan peran bawaan khusus untuk digunakan dengan penyedia sumber daya Azure Storage.
Peran bawaan yang memberikan izin untuk memanggil operasi manajemen penyimpanan mencakup peran yang dijelaskan dalam tabel berikut:
| Peran Azure | Deskripsi | Termasuk akses ke kunci akun? |
|---|---|---|
| Pemilik | Dapat mengelola semua sumber daya penyimpanan dan akses ke sumber daya. | Ya, menyediakan izin untuk melihat dan meregenerasi kunci akun penyimpanan. |
| Kontributor | Dapat mengelola semua sumber daya penyimpanan, tetapi tidak dapat mengelola akses ke sumber daya. | Ya, menyediakan izin untuk melihat dan meregenerasi kunci akun penyimpanan. |
| Pembaca | Dapat melihat informasi tentang akun penyimpanan, tetapi tidak dapat melihat kunci akun. | Nomor. |
| Kontributor Akun Storage | Dapat mengelola akun penyimpanan, mendapatkan informasi tentang grup sumber daya dan sumber daya langganan, serta membuat dan mengelola penyebaran grup sumber daya langganan. | Ya, menyediakan izin untuk melihat dan meregenerasi kunci akun penyimpanan. |
| Administrator Akses Pengguna | Dapat mengelola akses ke akun penyimpanan. | Ya, mengizinkan prinsipal keamanan untuk memberikan izin kepada diri sendiri dan orang lain. |
| Kontributor Komputer Virtual | Dapat mengelola mesin virtual, tetapi bukan akun penyimpanan yang terhubung dengannya. | Ya, menyediakan izin untuk melihat dan meregenerasi kunci akun penyimpanan. |
Kolom ketiga dalam tabel menunjukkan apakah peran bawaan mendukung Microsoft.Storage/storageAccounts/listkeys/action. Tindakan ini memberi izin untuk membaca dan meregenerasi kunci akun penyimpanan. Izin untuk mengakses sumber daya manajemen Azure Storage tidak juga menyertakan izin untuk mengakses data. Namun, jika pengguna memiliki akses ke kunci akun, maka mereka dapat menggunakan kunci akun untuk mengakses data Azure Storage melalui otorisasi Kunci Bersama.
Peran kustom untuk operasi manajemen
Azure juga mendukung definisi peran kustom Azure untuk akses ke sumber daya manajemen. Untuk informasi selengkapnya tentang peran kustom, lihat Peran kustom Azure.
Sampel kode
Untuk contoh kode yang menunjukkan cara mengotorisasi dan memanggil operasi manajemen dari pustaka manajemen Azure Storage, lihat sampel berikut ini:
Azure Resource Manager versus penyebaran klasik
Model penyebaran Resource Manager dan klasik mewakili dua cara berbeda dalam menyebarkan dan mengelola solusi Azure Anda. Microsoft menyarankan penggunaan model penyebaran Azure Resource Manager saat Anda membuat akun penyimpanan baru. Jika mungkin, Microsoft juga menyarankan agar Anda membuat ulang akun penyimpanan klasik yang ada dengan model Resource Manager. Meski Anda dapat membuat akun penyimpanan menggunakan model penyebaran klasik, model klasik kurang fleksibel dan akhirnya tidak akan digunakan lagi.
Untuk informasi selengkapnya tentang model penyebaran Azure, lihat Resource Manager dan penerapan klasik.