Mengotorisasi akses ke tabel menggunakan ID Microsoft Entra

Azure Storage mendukung penggunaan ID Microsoft Entra untuk mengotorisasi permintaan ke data tabel. Dengan MICROSOFT Entra ID, Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberikan izin kepada prinsip keamanan, yang mungkin merupakan pengguna, grup, atau perwakilan layanan aplikasi. Prinsip keamanan diautentikasi oleh MICROSOFT Entra ID untuk mengembalikan token OAuth 2.0. Token kemudian dapat digunakan untuk mengotorisasi permintaan terhadap layanan Tabel.

Mengotorisasi permintaan terhadap Azure Storage dengan MICROSOFT Entra ID memberikan keamanan yang unggul dan kemudahan penggunaan melalui otorisasi Kunci Bersama. Microsoft merekomendasikan penggunaan otorisasi Microsoft Entra dengan aplikasi tabel Anda jika memungkinkan untuk memastikan akses dengan hak istimewa minimum yang diperlukan.

Otorisasi dengan ID Microsoft Entra tersedia untuk semua tujuan umum di semua wilayah publik dan cloud nasional. Hanya akun penyimpanan yang dibuat dengan model penyebaran Azure Resource Manager yang mendukung otorisasi Microsoft Entra.

Gambaran umum ID Microsoft Entra untuk tabel

Ketika keamanan utama (pengguna, grup, atau aplikasi) mencoba mengakses sumber daya tabel, permintaan harus diotorisasi. Dengan ID Microsoft Entra, akses ke sumber daya adalah proses dua langkah. Pertama, identitas prinsipal keamanan diautentikasi, dan token OAuth 2.0 dikembalikan. Selanjutnya, token akan diteruskan sebagai bagian dari permintaan ke layanan Tabel dan digunakan oleh layanan untuk mengotorisasi akses ke sumber daya yang ditentukan.

Langkah autentikasi mengharuskan permintaan aplikasi berisi token akses OAuth 2.0 pada saat runtime. Jika aplikasi dijalankan dari dalam entitas Azure seperti mesin virtual Azure, set skala mesin virtual, atau aplikasi Azure Functions, aplikasi dapat menggunakan identitas terkelola untuk mengakses tabel.

Langkah otorisasi mengharuskan satu atau beberapa peran Azure ditetapkan ke perwakilan keamanan. Azure Storage menyediakan peran Azure yang mencakup set izin umum untuk data tabel. Peran yang ditetapkan ke prinsip keamanan menentukan izin yang akan dimiliki prinsipal. Untuk mempelajari selengkapnya tentang menetapkan peran Azure untuk akses tabel, lihat Menetapkan peran Azure untuk akses ke data tabel.

Tabel berikut menunjuk ke informasi tambahan untuk mengotorisasi akses ke data dalam berbagai skenario:

Bahasa	.NET	Java	JavaScript	Python	Go
Gambaran umum autentikasi dengan MICROSOFT Entra ID	Cara mengautentikasi aplikasi .NET dengan layanan Azure	Autentikasi Azure dengan Java dan Azure Identity	Mengautentikasi aplikasi JavaScript ke Azure menggunakan Azure SDK	Mengautentikasi aplikasi Python ke Azure menggunakan Azure SDK
Autentikasi menggunakan perwakilan layanan pengembang	Mengautentikasi aplikasi .NET ke layanan Azure selama pengembangan lokal menggunakan perwakilan layanan	Autentikasi Azure dengan perwakilan layanan	Aplikasi JS autentikasi ke layanan Azure dengan perwakilan layanan	Mengautentikasi aplikasi Python ke layanan Azure selama pengembangan lokal menggunakan perwakilan layanan	Autentikasi Azure SDK for Go dengan perwakilan layanan
Autentikasi menggunakan akun pengembang atau pengguna	Mengautentikasi aplikasi .NET ke layanan Azure selama pengembangan lokal menggunakan akun pengembang	Autentikasi Azure dengan kredensial pengguna	Aplikasi JS autentikasi ke layanan Azure dengan akun dev	Mengautentikasi aplikasi Python ke layanan Azure selama pengembangan lokal menggunakan akun pengembang	Autentikasi Azure dengan Azure SDK for Go
Autentikasi dari aplikasi yang dihosting Azure	Mengautentikasi aplikasi yang dihosting Azure ke sumber daya Azure dengan Azure SDK untuk .NET	Mengautentikasi aplikasi Java yang dihosting Azure	Mengautentikasi aplikasi JavaScript yang dihosting Azure ke sumber daya Azure dengan Azure SDK for JavaScript	Mengautentikasi aplikasi yang dihosting Azure ke sumber daya Azure dengan Azure SDK for Python	Autentikasi dengan Azure SDK for Go menggunakan identitas terkelola
Autentikasi dari aplikasi lokal	Mengautentikasi ke sumber daya Azure dari aplikasi .NET yang dihosting secara lokal		Mengautentikasi aplikasi JavaScript lokal ke sumber daya Azure	Mengautentikasi ke sumber daya Azure dari aplikasi Python yang dihosting secara lokal
Gambaran umum pustaka klien identitas	Pustaka klien Azure Identity untuk .NET	Pustaka klien Azure Identity untuk Java	Pustaka klien Azure Identity untuk JavaScript	Pustaka klien Azure Identity untuk Python	Pustaka klien Azure Identity untuk Go

Menetapkan peran Azure untuk hak akses

Microsoft Entra mengotorisasi hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Storage mendefinisikan set peran bawaan Azure yang mencakup set izin umum yang digunakan untuk mengakses data tabel. Anda juga dapat mendefinisikan peran kustom untuk akses ke data tabel.

Saat peran Azure ditetapkan ke perwakilan keamanan Microsoft Entra, Azure memberikan akses ke sumber daya tersebut untuk prinsip keamanan tersebut. Perwakilan keamanan Microsoft Entra mungkin pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.

Cakupan sumber daya

Sebelum Anda menetapkan peran Azure RBAC ke perwakilan keamanan, tentukan cakupan akses yang harus dimiliki perwakilan keamanan. Praktik terbaik memerintahkan bahwa yang terbaik selalu hanya memberikan cakupan sesempit mungkin. Peran Azure RBAC yang ditentukan pada cakupan yang lebih luas diwariskan oleh sumber daya di bawahnya.

Anda dapat mencakup akses ke sumber daya tabel Azure di tingkat berikut, dimulai dengan cakupan tersempit:

• Tabel individu. Pada lingkup ini, penetapan peran berlaku untuk Azure IoT Hub.
• Akun penyimpanan. Pada cakupan ini, penetapan peran berlaku untuk semua tabel dalam akun.
• Grup sumber daya. Pada cakupan ini, penetapan peran berlaku untuk semua tabel di semua akun penyimpanan di grup sumber daya.
• Langganan. Pada cakupan ini, penetapan peran berlaku untuk semua tabel di semua akun penyimpanan pada semua grup sumber daya dalam langganan.
• Grup manajemen. Pada cakupan ini, penetapan peran berlaku untuk semua tabel di semua akun penyimpanan di semua grup sumber daya pada semua langganan di grup manajemen.

Untuk informasi selengkapnya tentang cakupan penetapan peran Azure RBAC, lihat Memahami cakupan untuk Azure RBAC.

Peran bawaan Azure untuk tabel

Azure RBAC menyediakan peran bawaan untuk mengotorisasi akses ke data tabel menggunakan ID Microsoft Entra dan OAuth. Beberapa contoh peran yang menyediakan izin ke sumber daya data di Azure Storage meliputi:

• Storage Table Data Contributor: Gunakan untuk memberikan izin baca/tulis/hapus ke sumber daya penyimpanan Blob.
• Storage Table Data Reader: Gunakan untuk memberikan izin baca-saja ke sumber daya penyimpanan Blob.

Untuk mempelajari cara menetapkan peran bawaan Azure ke keamanan utama, lihat Menetapkan peran Azure untuk akses ke data tabel. Untuk mempelajari cara mencantumkan peran RBAC Azure dan izinnya, lihat Definisi peran List Azure.

Untuk informasi selengkapnya tentang penentuan peran bawaan Azure Storage, lihat Memahami definisi peran. Untuk informasi tentang membuat peran kustom Azure, lihat Peran kustom Azure.

Hanya peran yang secara eksplisit didefinisikan untuk akses data yang memungkinkan prinsipal keamanan untuk mengakses data tabel. Peran bawaan seperti Pemilik, Kontributor, dan Kontributor Akun Penyimpanan mengizinkan prinsip keamanan untuk mengelola akun penyimpanan, tetapi tidak menyediakan akses ke data tabel dalam akun tersebut melalui ID Microsoft Entra. Namun, jika peran menyertakan Microsoft.Storage/storageAccounts/listKeys/action, maka pengguna yang perannya ditetapkan dapat mengakses data di akun penyimpanan melalui otorisasi Kunci Bersama dengan kunci akses akun.

Untuk informasi terperinci tentang peran bawaan Azure untuk Azure Storage untuk layanan data dan layanan manajemen, lihat bagian Penyimpanan di peran bawaan Azure untuk Azure RBAC. Selain itu, untuk informasi tentang berbagai jenis peran yang menyediakan izin di Azure, lihat Peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik.

Penting

Penetapan peran Azure mungkin membutuhkan waktu hingga 30 menit untuk disebarluaskan.

Izin akses untuk operasi data

Untuk detail tentang izin akses yang diperlukan untuk menghubungi operasi layanan Tabel tertentu, lihat Izin untuk memanggil operasi data.

Langkah berikutnya

• Otorisasi akses ke data di Azure Storage
• Menetapkan peran Azure untuk akses ke data antrean