Menjalankan perintah PowerShell dengan kredensial Microsoft Entra untuk mengakses data antrean
Azure Storage menyediakan ekstensi untuk PowerShell yang memungkinkan Anda masuk dan menjalankan perintah pembuatan skrip dengan kredensial Microsoft Entra. Saat Anda masuk ke PowerShell dengan kredensial Microsoft Entra, token akses OAuth 2.0 dikembalikan. Token tersebut secara otomatis digunakan oleh PowerShell untuk mengotorisasi operasi data berikutnya terhadap Queue Storage. Untuk operasi yang didukung, Anda tidak perlu lagi memberikan kunci akun atau token SAS dengan perintah.
Anda dapat menetapkan izin untuk mengantrekan data ke perwakilan keamanan Microsoft Entra melalui kontrol akses berbasis peran Azure (Azure RBAC). Untuk informasi selengkapnya tentang peran Azure di Azure Storage, lihat Mengelola hak akses ke data Azure Storage dengan Azure RBAC.
Operasi yang didukung
Ekstensi Azure Storage didukung untuk operasi pada data antrean. Operasi mana yang mungkin Anda panggil tergantung pada izin yang diberikan kepada perwakilan keamanan Microsoft Entra tempat Anda masuk ke PowerShell. Izin untuk antrean ditetapkan melalui Azure RBAC. Misalnya, jika Anda diberi peran Pembaca Data Antrean, maka Anda dapat menjalankan perintah pembuatan skrip yang membaca data dari antrean. Jika Anda diberi peran Kontributor Data Antrean, maka Anda dapat menjalankan perintah pembuatan skrip yang membaca, menulis, atau menghapus antrean atau data di dalamnya.
Untuk detail tentang izin yang diperlukan untuk setiap operasi Azure Storage pada antrean, lihat Memanggil operasi penyimpanan dengan token OAuth.
Penting
Saat akun penyimpanan dikunci dengan kunci Baca Saja Azure Resource Manager, operasi Daftar Kunci tidak diizinkan untuk akun penyimpanan tersebut. Daftar Kunci adalah operasi POST, dan semua operasi POST dicegah ketika kunci Baca Saja dikonfigurasi untuk akun tersebut. Untuk alasan ini, ketika akun dikunci dengan kunci ReadOnly , pengguna yang belum memiliki kunci akun harus menggunakan kredensial Microsoft Entra untuk mengakses data antrean. Di PowerShell, sertakan -UseConnectedAccount parameter untuk membuat objek AzureStorageContext dengan kredensial Microsoft Entra Anda.
Memanggil perintah PowerShell menggunakan kredensial Microsoft Entra
Catatan
Sebaiknya Anda menggunakan modul Azure Az PowerShell untuk berinteraksi dengan Azure. Untuk memulai, lihat Menginstal Azure PowerShell. Untuk mempelajari cara bermigrasi ke modul Az PowerShell, lihat Memigrasikan Azure PowerShell dari AzureRM ke Az.
Untuk menggunakan Azure PowerShell untuk masuk dan menjalankan operasi berikutnya terhadap Azure Storage menggunakan kredensial Microsoft Entra, buat konteks penyimpanan untuk mereferensikan akun penyimpanan, dan sertakan -UseConnectedAccount parameter .
Contoh berikut menunjukkan cara membuat antrean di akun penyimpanan baru dari Azure PowerShell menggunakan kredensial Microsoft Entra Anda. Ingatlah untuk mengganti nilai tempat penampung dalam tanda kurung sudut dengan nilai Anda sendiri:
Masuk ke akun Azure Anda dengan perintah Connect-AzAccount:
Connect-AzAccountUntuk informasi selengkapnya tentang proses masuk ke Azure dengan PowerShell, lihat Masuk dengan Azure PowerShell.
Buat grup sumber daya Azure dengan memanggil New-AzResourceGroup.
$resourceGroup = "sample-resource-group-ps" $location = "eastus" New-AzResourceGroup -Name $resourceGroup -Location $locationBuat akun penyimpanan dengan memanggil New-AzStorageAccount.
$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup ` -Name "<storage-account>" ` -SkuName Standard_LRS ` -Location $location `Dapatkan konteks akun penyimpanan yang menentukan akun penyimpanan baru dengan memanggil New-AzStorageContext. Saat bertindak di akun penyimpanan, Anda dapat mereferensikan konteks alih-alih berulang kali memberikan kredensial Anda. Sertakan
-UseConnectedAccountparameter untuk memanggil operasi data berikutnya menggunakan kredensial Microsoft Entra Anda:$ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccountSebelum Anda membuat antrean, tetapkan peran Kontributor Data Antrean Penyimpanan ke Anda sendiri. Meskipun Anda adalah pemilik akun, Anda memerlukan izin eksplisit untuk melakukan operasi data terhadap akun penyimpanan. Untuk informasi selengkapnya tentang penetapan peran Azure, lihat Menetapkan peran Azure untuk data antrean.
Penting
Penetapan peran Azure mungkin memerlukan waktu hingga lima menit untuk disebarluaskan.
Buat antrean dengan memanggil New-AzStorageQueue. Karena panggilan ini menggunakan konteks yang dibuat di langkah-langkah sebelumnya, antrean dibuat menggunakan kredensial Microsoft Entra Anda.
$queueName = "sample-queue" New-AzStorageQueue -Name $queueName -Context $ctx