Mengotorisasi permintaan ke Azure Storage
Setiap permintaan yang dibuat terhadap sumber daya yang diamankan di layanan Blob, File, Queue, atau Table harus diotorisasi. Otorisasi memastikan bahwa sumber daya di akun penyimpanan Anda hanya dapat diakses saat Anda menginginkannya, dan hanya untuk pengguna atau aplikasi yang Anda beri akses.
Penting
Untuk keamanan optimal, Microsoft merekomendasikan penggunaan Microsoft Entra ID dengan identitas terkelola untuk mengotorisasi permintaan terhadap data blob, antrean, dan tabel, jika memungkinkan. Otorisasi dengan Microsoft Entra ID dan identitas terkelola memberikan keamanan yang unggul dan kemudahan penggunaan melalui otorisasi Kunci Bersama. Untuk mempelajari selengkapnya, lihat Mengotorisasi dengan Microsoft Entra ID. Untuk mempelajari selengkapnya tentang identitas terkelola, lihat Apa itu identitas terkelola untuk sumber daya Azure.
Untuk sumber daya yang dihosting di luar Azure, seperti aplikasi lokal, Anda dapat menggunakan identitas terkelola melalui Azure Arc. Misalnya, aplikasi yang berjalan di server dengan dukungan Azure Arc dapat menggunakan identitas terkelola untuk menyambungkan ke layanan Azure. Untuk mempelajari selengkapnya, lihat Mengautentikasi terhadap sumber daya Azure dengan server yang didukung Azure Arc.
Untuk skenario di mana tanda tangan akses bersama (SAS) digunakan, Microsoft merekomendasikan penggunaan SAS delegasi pengguna. SAS delegasi pengguna diamankan dengan kredensial Microsoft Entra alih-alih kunci akun. Untuk mempelajari tentang tanda tangan akses bersama, lihat Create SAS delegasi pengguna.
Tabel berikut ini menjelaskan opsi yang ditawarkan Microsoft Azure Storage untuk mengotorisasi akses ke sumber daya:
| Artefak Azure | Kunci Bersama (kunci akun penyimpanan) | Tanda tangan akses bersama (SAS) | Microsoft Entra ID | Active Directory Domain Services (AD DS) lokal | Akses baca publik anonim |
|---|---|---|---|---|---|
| Azure Blobs | Didukung | Didukung | Didukung | Tidak didukung | Didukung |
| Azure Files (SMB) | Didukung | Tidak didukung | Didukung dengan Microsoft Entra Domain Services atau Microsoft Entra Kerberos | Didukung, kredensial harus disinkronkan ke Microsoft Entra ID | Tidak didukung |
| File Azure (REST) | Didukung | Didukung | Didukung | Tidak didukung | Tidak didukung |
| Antrean Azure | Didukung | Didukung | Didukung | Tidak Didukung | Tidak didukung |
| Azure Tables | Didukung | Didukung | Didukung | Tidak didukung | Tidak didukung |
Setiap opsi otorisasi dijelaskan secara singkat di bawah ini:
Microsoft Entra ID:Microsoft Entra adalah layanan manajemen identitas dan akses berbasis cloud Microsoft. Microsoft Entra ID tersedia untuk layanan Blob, File, Antrean, dan Tabel. Dengan Microsoft Entra ID, Anda dapat menetapkan akses terperinci ke pengguna, grup, atau aplikasi melalui kontrol akses berbasis peran (RBAC). Untuk informasi tentang integrasi Microsoft Entra ID dengan Azure Storage, lihat Mengotorisasi dengan Microsoft Entra ID.
Microsoft Entra Domain Services otorisasi untuk Azure Files. Azure Files mendukung otorisasi berbasis identitas melalui Server Message Block (SMB) melalui Microsoft Entra Domain Services. Anda dapat menggunakan RBAC untuk kontrol halus atas akses klien ke sumber daya Azure Files di akun penyimpanan. Untuk informasi selengkapnya mengenai autentikasi Azure Files menggunakan layanan domain, lihat Azure Files otorisasi berbasis identitas.
Otorisasi Direktori Aktif (AD) untuk Azure Files. Azure Files mendukung otorisasi berbasis identitas melalui SMB melalui AD. Layanan domain AD Anda dapat dihosting di komputer lokal atau di Azure VM. Akses SMB ke File didukung menggunakan kredensial AD dari komputer yang bergabung dengan domain, baik lokal atau di Azure. Anda dapat menggunakan RBAC untuk kontrol akses tingkat berbagi dan DACL NTFS untuk penegakan izin tingkat direktori dan file. Untuk informasi selengkapnya mengenai autentikasi Azure Files menggunakan layanan domain, lihat Azure Files otorisasi berbasis identitas.
Kunci Bersama: Otorisasi Kunci Bersama bergantung pada kunci akses akun Anda dan parameter lain untuk menghasilkan string tanda tangan terenkripsi yang diteruskan pada permintaan di header Otorisasi . Untuk informasi selengkapnya tentang otorisasi Kunci Bersama, lihat Mengotorisasi dengan Kunci Bersama.
Tanda tangan akses bersama: Tanda tangan akses bersama (SAS) mendelegasikan akses ke sumber daya tertentu di akun Anda dengan izin tertentu dan selama interval waktu tertentu. Untuk informasi selengkapnya tentang SAS, lihat Mendelegasikan akses dengan tanda tangan akses bersama.
Akses anonim ke kontainer dan blob: Anda dapat secara opsional membuat sumber daya blob menjadi publik di tingkat kontainer atau blob. Kontainer atau blob publik dapat diakses oleh semua pengguna untuk akses baca anonim. Permintaan baca ke kontainer dan blob publik tidak memerlukan otorisasi. Untuk informasi selengkapnya, lihat Mengaktifkan akses baca publik untuk kontainer dan blob di penyimpanan Azure Blob.
Tip
Mengautentikasi dan mengotorisasi akses ke data blob, file, antrean, dan tabel dengan Microsoft Entra ID memberikan keamanan yang unggul dan kemudahan penggunaan melalui opsi otorisasi lainnya. Misalnya, dengan menggunakan Microsoft Entra ID, Anda menghindari harus menyimpan kunci akses akun dengan kode Anda, seperti yang Anda lakukan dengan otorisasi Kunci Bersama. Meskipun Anda dapat terus menggunakan otorisasi Kunci Bersama dengan aplikasi blob dan antrean Anda, Microsoft merekomendasikan untuk pindah ke Microsoft Entra ID jika memungkinkan.
Demikian pula, Anda dapat terus menggunakan tanda tangan akses bersama (SAS) untuk memberikan akses menenangkan ke sumber daya di akun penyimpanan Anda, tetapi Microsoft Entra ID menawarkan kemampuan serupa tanpa perlu mengelola token SAS atau khawatir mencabut SAS yang disusupi.
Untuk informasi selengkapnya tentang integrasi Microsoft Entra ID di Azure Storage, lihat Mengotorisasi akses ke blob dan antrean Azure menggunakan Microsoft Entra ID.