Mengotorisasi akses ke tabel menggunakan Azure Active Directory

Azure Storage mendukung penggunaan Azure Active Directory (Azure AD) untuk mengotorisasi permintaan ke data tabel. Dengan Azure AD, Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan izin kepada keamanan utama, yang mungkin merupakan pengguna, grup, atau perwakilan layanan aplikasi. Prinsipal keamanan diautentikasi oleh Azure Active Directory untuk mengembalikan token OAuth 2.0. Token kemudian dapat digunakan untuk mengotorisasi permintaan terhadap layanan Tabel.

Mengotorisasi permintaan terhadap Azure Storage dengan Azure AD yang menyediakan keamanan unggul dan kemudahan penggunaan melalui otorisasi Kunci Bersama. Microsoft merekomendasikan penggunaan otorisasi Azure AD dengan aplikasi tabel Anda jika memungkinkan untuk memastikan akses dengan hak istimewa minimum yang diperlukan.

Otorisasi dengan Azure Active Directory tersedia untuk semua tujuan umum di semua wilayah publik dan cloud nasional. Hanya akun penyimpanan yang dibuat dengan model penyebaran Azure Resource Manager yang mendukung otorisasi Azure AD.

Ringkasan Azure Active Directory untuk tabel

Ketika keamanan utama (pengguna, grup, atau aplikasi) mencoba mengakses sumber daya tabel, permintaan harus diotorisasi. Dengan Azure Active Directory, akses ke sumber daya adalah proses dua langkah. Pertama, identitas prinsipal keamanan diautentikasi, dan token OAuth 2.0 dikembalikan. Selanjutnya, token akan diteruskan sebagai bagian dari permintaan ke layanan Tabel dan digunakan oleh layanan untuk mengotorisasi akses ke sumber daya yang ditentukan.

Langkah autentikasi mengharuskan permintaan aplikasi berisi token akses OAuth 2.0 pada saat runtime. Jika aplikasi dijalankan dari dalam entitas Azure seperti mesin virtual Azure, set skala mesin virtual, atau aplikasi Azure Functions, aplikasi dapat menggunakan identitas terkelola untuk mengakses tabel. Untuk mempelajari cara mengotorisasi permintaan yang dibuat oleh identitas terkelola, lihat Mengotorisasi akses ke data tabel dengan identitas terkelola untuk sumber daya Azure.

Langkah otorisasi mengharuskan satu atau beberapa peran Azure ditetapkan ke perwakilan keamanan. Azure Storage menyediakan peran Azure yang mencakup set izin umum untuk data tabel. Peran yang ditetapkan kepada keamanan utama akan menentukan izin yang akan dimilikinya. Untuk mempelajari selengkapnya tentang menetapkan peran Azure untuk akses tabel, lihat Menetapkan peran Azure untuk akses ke data tabel.

Aplikasi asli dan aplikasi web yang membuat permintaan ke layanan Tabel Azure juga dapat mengotorisasi akses dengan Azure Active Directory. Untuk mempelajari cara meminta token akses dan menggunakannya untuk mengotorisasi permintaan, lihat Mengotorisasi akses ke Azure Storage dengan Azure Active Directory dari aplikasi Azure Storage.

Menetapkan peran Azure untuk hak akses

Azure Active Directory (Azure AD) mengesahkan hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Storage mendefinisikan set peran bawaan Azure yang mencakup set izin umum yang digunakan untuk mengakses data tabel. Anda juga dapat mendefinisikan peran kustom untuk akses ke data tabel.

Saat peran Azure ditetapkan ke perwakilan keamanan Azure AD, Azure memberikan akses ke sumber daya tersebut untuk perwakilan keamanan tersebut. Perwakilan keamanan Azure AD dapat berupa pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.

Cakupan sumber daya

Sebelum Anda menetapkan peran Azure RBAC ke perwakilan keamanan, tentukan cakupan akses yang harus dimiliki perwakilan keamanan. Praktik terbaik memerintahkan bahwa yang terbaik selalu hanya memberikan cakupan sesempit mungkin. Peran Azure RBAC yang ditentukan pada cakupan yang lebih luas diwariskan oleh sumber daya di bawahnya.

Anda dapat mencakup akses ke sumber daya tabel Azure di tingkat berikut, dimulai dengan cakupan tersempit:

  • Tabel individu. Pada lingkup ini, penetapan peran berlaku untuk Azure IoT Hub.
  • Akun penyimpanan. Pada cakupan ini, penetapan peran berlaku untuk semua tabel dalam akun.
  • Grup sumber daya. Pada cakupan ini, penetapan peran berlaku untuk semua tabel di semua akun penyimpanan di grup sumber daya.
  • Langganan. Pada cakupan ini, penetapan peran berlaku untuk semua tabel di semua akun penyimpanan pada semua grup sumber daya dalam langganan.
  • Grup manajemen. Pada cakupan ini, penetapan peran berlaku untuk semua tabel di semua akun penyimpanan di semua grup sumber daya pada semua langganan di grup manajemen.

Untuk informasi selengkapnya tentang cakupan penetapan peran Azure RBAC, lihat Memahami cakupan untuk Azure RBAC.

Peran bawaan Azure untuk tabel

Azure RBAC menyediakan sejumlah peran bawaan untuk mengotorisasi akses ke data tabel menggunakan Azure Active Directory dan OAuth. Beberapa contoh peran yang menyediakan izin ke sumber daya data di Azure Storage meliputi:

Untuk mempelajari cara menetapkan peran bawaan Azure ke keamanan utama, lihat Menetapkan peran Azure untuk akses ke data tabel. Untuk mempelajari cara mencantumkan peran Azure RBAC dan izinnya, lihat Mencantumkan penentuan peran Azure.

Untuk informasi selengkapnya tentang penentuan peran bawaan Azure Storage, lihat Memahami definisi peran. Untuk informasi tentang membuat peran kustom Azure, lihat Peran kustom Azure.

Hanya peran yang secara eksplisit didefinisikan untuk akses data yang memungkinkan prinsipal keamanan untuk mengakses data tabel. Peran bawaan seperti Pemilik, Kontributor, dan Kontributor Akun Penyimpanan mengizinkan prinsipal keamanan untuk mengelola akun penyimpanan, tetapi tidak menyediakan akses ke data tabel dalam akun tersebut melalui Azure Active Directory. Namun, jika peran menyertakan Microsoft.Storage/storageAccounts/listKeys/action, pengguna yang perannya ditetapkan dapat mengakses data di akun penyimpanan melalui otorisasi Kunci Bersama dengan kunci akses akun.

Untuk informasi terperinci tentang peran bawaan Azure untuk Azure Storage untuk layanan data dan layanan pengelolaan, lihat bagian Penyimpanan di Peran bawaan Azure untuk Azure RBAC. Selain itu, untuk informasi tentang berbagai jenis peran yang memberikan izin di Azure, lihat Peran administrator langganan klasik, peran Azure, dan peran Azure AD.

Penting

Penetapan peran Azure mungkin membutuhkan waktu hingga 30 menit untuk disebarluaskan.

Izin akses untuk operasi data

Untuk detail tentang izin akses yang diperlukan untuk menghubungi operasi layanan Tabel tertentu, lihat Izin untuk memanggil operasi data.

Langkah berikutnya