Applicare un blocco di Azure Resource Manager a un account di archiviazione
Microsoft consiglia di bloccare tutti gli account di archiviazione con un blocco di Azure Resource Manager per impedire l'eliminazione accidentale o dannosa dell'account di archiviazione. Esistono due tipi di blocchi delle risorse di Azure Resource Manager:
- Un blocco CannotDelete impedisce agli utenti di eliminare un account di archiviazione, ma consente la lettura e la modifica della configurazione.
- Un blocco ReadOnly impedisce agli utenti di eliminare un account di archiviazione o di modificarne la configurazione, ma consente di leggere la configurazione.
Per altre informazioni sui blocchi di Azure Resource Manager, vedere Bloccare le risorse per evitare modifiche.
Attenzione
Il blocco di un account di archiviazione non protegge i contenitori o i BLOB all'interno di tale account dall'eliminazione o dalla sovrascrittura. Per altre informazioni su come proteggere i dati BLOB, vedere Panoramica della protezione dei dati.
Configurare un blocco di Azure Resource Manager
Per configurare un blocco in un account di archiviazione con il portale di Azure, seguire questa procedura:
Passare all'account di archiviazione nel portale di Azure.
Nella sezione Impostazioni selezionare Blocchi.
Seleziona Aggiungi.
Specificare un nome per il blocco della risorsa e specificare il tipo di blocco. Aggiungere una nota sul blocco, se necessario.
Autorizzazione delle operazioni sui dati quando è attivo un blocco ReadOnly
Quando viene applicato un blocco ReadOnly a un account di archiviazione, l'operazione List Keys viene bloccata per tale account di archiviazione. L'operazione List Keys è un'operazione HTTPS POST e tutte le operazioni POST vengono impedite quando viene configurato un blocco ReadOnly per l'account. L'operazione List Keys restituisce le chiavi di accesso dell'account, che possono quindi essere usate per leggere e scrivere in tutti i dati nell'account di archiviazione.
Se un client è in possesso delle chiavi di accesso dell'account al momento dell'applicazione del blocco all'account di archiviazione, tale client può continuare a usare le chiavi per accedere ai dati. Tuttavia, i client che non hanno accesso alle chiavi dovranno usare le credenziali di Microsoft Entra per accedere ai dati blob o code nell'account di archiviazione.
Gli utenti del portale di Azure possono essere interessati quando viene applicato un blocco ReadOnly, se hanno eseguito l'accesso ai dati blob o code in precedenza nel portale con le chiavi di accesso dell'account. Dopo aver applicato il blocco, gli utenti del portale dovranno usare le credenziali di Microsoft Entra per accedere ai dati blob o code nel portale. A tale scopo, a un utente devono essere assegnati almeno due ruoli di controllo degli accessi in base al ruolo: il ruolo lettore di Azure Resource Manager e uno dei ruoli di accesso ai dati Archiviazione di Azure. Per altre informazioni, vedere uno degli articoli seguenti:
- Scegliere come autorizzare l'accesso ai dati BLOB nel portale di Azure
- Scegliere come autorizzare l'accesso ai dati della coda nel portale di Azure
I dati in File di Azure o il servizio tabelle potrebbero non essere accessibili ai client che hanno precedentemente eseguito l'accesso con le chiavi dell'account. Come procedura consigliata, se è necessario applicare un blocco ReadOnly a un account di archiviazione, spostare i carichi di lavoro File di Azure e servizio tabelle in un account di archiviazione non bloccato con un blocco ReadOnly.