Sambungkan ke akun penyimpanan Azure Anda

  • 10 menit

Anda telah menambahkan pustaka klien yang diperlukan ke aplikasi dan siap untuk terhubung ke akun penyimpanan Azure Anda.

Untuk bekerja dengan data di akun penyimpanan, aplikasi Anda membutuhkan dua bagian data:

  • Kunci akses
  • Titik akhir REST API

Kunci akses keamanan

Setiap akun penyimpanan memiliki dua kunci akses unik yang digunakan untuk mengamankan akun penyimpanan. Jika aplikasi harus terhubung ke beberapa akun penyimpanan, aplikasi Anda akan memerlukan kunci akses untuk setiap akun penyimpanan.

An illustration showing an application connected to two different storage accounts in the cloud. Each storage account is accessible with a unique key.

Titik akhir REST API

Selain kunci akses untuk autentikasi ke akun penyimpanan, aplikasi Anda perlu mengetahui titik akhir layanan penyimpanan untuk mengeluarkan permintaan REST.

Titik akhir REST adalah kombinasi nama akun penyimpanan Anda, jenis data, dan domain yang dikenal. Contohnya:

Jenis data Contoh titik akhir
Blobs https://[name].blob.core.windows.net/
Antrean https://[name].queue.core.windows.net/
Table https://[name].table.core.windows.net/
File https://[name].file.core.windows.net/

Jika Anda memiliki domain kustom yang terkait dengan Azure, maka Anda juga dapat membuat URL domain kustom untuk titik akhir.

String koneksi

Cara paling sederhana untuk menangani kunci akses dan URL titik akhir dalam aplikasi adalah dengan menggunakan string koneksi akun penyimpanan. String koneksi menyediakan semua informasi konektivitas yang diperlukan dalam string teks tunggal.

String koneksi Azure Storage terlihat mirip dengan contoh berikut, tetapi dengan kunci akses dan nama akun dari akun penyimpanan khusus Anda:

DefaultEndpointsProtocol=https;AccountName={your-storage};
   AccountKey={your-access-key};
   EndpointSuffix=core.windows.net

Keamanan

Kunci akses sangat penting untuk menyediakan akses ke akun penyimpanan Anda, dan sebagai hasilnya, Anda tidak boleh memberikannya kepada sistem atau orang mana pun yang tidak ingin Anda akses ke akun penyimpanan Anda. Kunci akses setara dengan nama pengguna dan kata sandi untuk mengakses komputer Anda.

Biasanya, informasi konektivitas akun penyimpanan disimpan dalam variabel lingkungan, database, atau file konfigurasi.

Penting

Menyimpan informasi ini dalam file konfigurasi bisa berbahaya jika Anda memasukkan file tersebut dalam kontrol sumber dan menyimpannya di repositori publik. Ini adalah kesalahan umum, dan berarti siapa pun dapat menelusuri kode sumber Anda di repositori publik dan melihat informasi koneksi akun penyimpanan Anda.

Setiap akun penyimpanan memiliki dua kunci akses. Hal ini untuk memungkinkan kunci diputar (diregenerasi) secara berkala sebagai bagian dari praktik terbaik keamanan dalam menjaga keamanan akun penyimpanan Anda. Anda dapat melakukan ini dari portal Azure atau alat baris perintah Azure CLI/PowerShell.

Memutar kunci akan segera membatalkan nilai kunci asli dan mencabut akses ke siapa pun yang mendapatkan kunci secara tidak pantas. Dengan dukungan untuk dua kunci, Anda dapat memutar tombol tanpa menyebabkan waktu henti di aplikasi Anda yang menggunakannya. Aplikasi Anda dapat beralih menggunakan kunci akses alternatif saat kunci lainnya diregenerasi. Jika Anda memiliki beberapa aplikasi menggunakan akun penyimpanan ini, semuanya harus menggunakan kunci yang sama untuk mendukung teknik ini. Berikut ide dasarnya:

  1. Perbarui string koneksi dalam kode aplikasi Anda untuk mereferensikan kunci akses sekunder akun penyimpanan.
  2. Regenerasi kunci akses utama akun penyimpanan Anda menggunakan alat portal Azure atau baris perintah.
  3. Perbarui string koneksi dalam kode Anda untuk mereferensikan kunci akses utama baru.
  4. Meregenerasi kunci akses sekunder dengan cara yang sama.

Tip

Kami sangat menyarankan Anda memutar kunci akses secara berkala untuk memastikan kunci tersebut tetap privat, seperti mengubah kata sandi Anda. Jika Anda menggunakan kunci dalam aplikasi server, Anda dapat menggunakan Azure Key Vault untuk menyimpan kunci akses untuk Anda. Key Vault menyertakan dukungan untuk disinkronkan langsung ke Storage Account dan secara otomatis memutar kunci secara berkala. Menggunakan Key Vault menyediakan lapisan keamanan tambahan, sehingga aplikasi Anda tidak perlu bekerja langsung dengan kunci akses.

Tanda tangan akses bersama (SAS)

Kunci akses adalah pendekatan termudah untuk mengautentikasi akses ke akun penyimpanan. Namun, mereka menyediakan akses penuh ke apa pun di akun penyimpanan, mirip dengan kata sandi root di komputer.

Akun penyimpanan menawarkan mekanisme autentikasi terpisah yang disebut tanda tangan akses bersama yang mendukung kedaluwarsa dan izin terbatas untuk skenario di mana Anda perlu memberikan akses terbatas. Anda harus menggunakan pendekatan ini ketika mengizinkan pengguna lain membaca dan menulis data ke akun penyimpanan. Anda akan menemukan tautan ke dokumentasi kami tentang topik lanjutan ini di akhir modul.