Condividi tramite

Scegliere come autorizzare l'accesso ai dati BLOB nel portale di Azure

  • Articolo

Quando si accede ai dati BLOB usando il portale di Azure, il portale invia richieste nascoste ad Archiviazione di Azure. Una richiesta ad Archiviazione di Azure può essere autorizzata usando l'account Microsoft Entra o la chiave di accesso dell'account di archiviazione. Il portale indica il metodo in uso e consente di passare da uno all'altro se si dispone delle autorizzazioni appropriate.

È anche possibile specificare come autorizzare una singola operazione di caricamento BLOB nel portale di Azure. Per impostazione predefinita, il portale usa qualsiasi metodo già in uso per autorizzare un'operazione di caricamento BLOB, ma è possibile modificare questa impostazione quando si carica un BLOB.

Autorizzazioni necessarie per accedere ai dati del BLOB

A seconda di come si vuole autorizzare l'accesso ai dati BLOB nel portale di Azure, sono necessarie autorizzazioni specifiche. Nella maggior parte dei casi, queste autorizzazioni vengono fornite tramite il controllo degli accessi in base al ruolo di Azure. Per ulteriori informazioni sul controllo degli accessi in base al ruolo di Azure, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?.

Usare la chiave di accesso dell'account

Per accedere ai dati BLOB con la chiave di accesso dell'account, è necessario avere un ruolo di Azure assegnato all'utente che include l'azione di controllo degli accessi in base al ruolo di Azure Microsoft.Storage/storageAccounts/listkeys/action. Questo ruolo di Azure può essere un ruolo predefinito o personalizzato. I ruoli predefiniti che supportano Microsoft.Storage/storageAccounts/listkeys/action includono quanto segue, in ordine crescente di autorizzazioni associate al ruolo:

Quando si tenta di accedere ai dati BLOB nel portale di Azure, prima il portale controlla se gli è stato assegnato un ruolo con Microsoft.Storage/storageAccounts/listkeys/action. Se è stato assegnato un ruolo con questa azione, il portale usa la chiave dell'account per accedere ai dati BLOB. In caso contrario, il portale di Azure tenta di accedere ai dati tramite l'account Microsoft Entra.

Importante

Quando a un account di archiviazione è applicato un blocco ReadOnly di Azure Resource Manager, l'operazione Elenca chiavi non è consentita per tale account di archiviazione. Elenca chiavi è un'operazione POST e tutte le operazioni POST vengono impedite quando viene configurato un blocco ReadOnly per l'account. Per questo motivo, quando l'account è bloccato con un blocco ReadOnly, gli utenti devono usare le credenziali di Microsoft Entra per accedere ai dati BLOB nel portale. Per informazioni sull'accesso ai dati BLOB nel portale con Microsoft Entra ID, vedere Usare l'account Microsoft Entra.

Nota

I ruoli di amministratore della sottoscrizione classica Amministratore del servizio e Coamministratore includono l'equivalente del ruolo di Proprietario di Azure Resource Manager. Il ruoloproprietario include tutte le azioni, tra cui Microsoft.Storage/storageAccounts/listkeys/action, pertanto un utente con uno di questi ruoli amministrativi può anche accedere ai dati BLOB con la chiave dell'account. Per altre informazioni, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.

Usare l'account Microsoft Entra

Per accedere ai dati BLOB dal portale di Azure usando l'account Microsoft Entra, è necessario che entrambe le istruzioni seguenti siano vere:

  • Viene assegnato un ruolo predefinito o personalizzato che fornisce l'accesso ai dati BLOB.
  • Al ruolo lettore di Azure Resource Manager viene assegnato almeno l'ambito al livello dell'account di archiviazione o superiore. Il ruolo Lettore concede le autorizzazioni più limitate, ma è accettabile anche un altro ruolo di Azure Resource Manager che conceda l'accesso alle risorse di gestione degli account di archiviazione.

Il ruolo di Lettore di Azure Resource Manager è un ruolo che consente agli utenti di visualizzare le risorse dell'account di archiviazione, ma non di modificarle. Non fornisce autorizzazioni di lettura per i dati in Archiviazione di Azure, ma solo per le risorse di gestione degli account. Il ruolo di Lettore è necessario in modo che gli utenti possano passare ai contenitori BLOB nel portale di Azure.

Per informazioni sui ruoli predefiniti che supportano l'accesso ai dati BLOB, vedere Autorizzare l'accesso ai BLOB usando Microsoft Entra ID.

I ruoli personalizzati possono supportare combinazioni diverse delle stesse autorizzazioni fornite dai ruoli predefiniti. Per altre informazioni sulla creazione di ruoli personalizzati di Azure, vedere Ruoli personalizzati di Azure e Informazioni sulle definizioni dei ruoli per le risorse di Azure.

Per visualizzare i dati BLOB nel portale, passare a Panoramica per l'account di archiviazione e selezionare i collegamenti per BLOB. In alternativa, è possibile passare alla sezione Contenitori nel menu.

Screenshot che mostra come passare ai dati BLOB nel portale di Azure

Determinare il metodo di autenticazione corrente

Quando si passa a un contenitore, il portale di Azure indica se si sta usando la chiave di accesso dell'account o l'account Microsoft Entra per l'autenticazione.

Eseguire l'autenticazione con la chiave di accesso dell'account

Se si esegue l'autenticazione usando la chiave di accesso dell'account, viene visualizzata la chiave di accesso specificata come metodo di autenticazione nel portale:

Screenshot che mostra l'utente che attualmente accede ai contenitori con la chiave dell'account

Per passare all'uso dell'account Microsoft Entra, selezionare il collegamento evidenziato nell'immagine. Se si dispone delle autorizzazioni appropriate tramite i ruoli di Azure assegnati all'utente, è possibile procedere. Tuttavia, se non si dispone delle autorizzazioni appropriate, viene visualizzato un messaggio di errore simile al seguente:

Errore visualizzato se l'account Microsoft Entra non supporta l'accesso

Si noti che nell'elenco non vengono visualizzati BLOB se l'account Microsoft Entra non dispone delle autorizzazioni per visualizzarle. Selezionare di nuovo il collegamento Passa alla chiave di accesso per usare di nuovo la chiave di accesso per l'autenticazione.

Eseguire l'autenticazione con l'account Microsoft Entra

Se si esegue l'autenticazione con l'account Microsoft Entra, viene visualizzato l'account utente Microsoft Entra specificato come metodo di autenticazione nel portale:

Screenshot che mostra l'utente che attualmente accede ai contenitori con l'account Microsoft Entra

Per passare all'uso della chiave di accesso dell'account, selezionare il collegamento evidenziato nell'immagine. Se si ha accesso alla chiave dell'account, è possibile procedere. Tuttavia, se non si ha accesso alla chiave dell'account, viene visualizzato un messaggio di errore simile al seguente:

Errore visualizzato se non si ha accesso alla chiave dell'account

Si noti che nell'elenco non vengono visualizzati BLOB se non si ha accesso alle chiavi dell'account. Selezionare il collegamento Passa all'account utente di Microsoft Entra per usare di nuovo l'account Microsoft Entra per l'autenticazione.

Specificare come autorizzare un'operazione di caricamento BLOB

Quando si carica un BLOB dal portale di Azure, è possibile specificare se autenticare e autorizzare l'operazione con la chiave di accesso dell'account o con le credenziali di Microsoft Entra. Per impostazione predefinita, il portale usa il metodo di autenticazione corrente, come illustrato in Determinare il metodo di autenticazione corrente.

Per specificare come autorizzare un'operazione di caricamento BLOB, seguire questa procedura:

  1. Nel portale di Azure passare al contenitore in cui si vuole caricare un BLOB.

  2. Seleziona il pulsante Carica.

  3. Espandere la sezione Avanzate per visualizzare le proprietà avanzate per il BLOB.

  4. Nel campo Tipo di autenticazione indicare se si vuole autorizzare l'operazione di caricamento usando l'account Microsoft Entra o con la chiave di accesso dell'account, come illustrato nell'immagine seguente:

    Screenshot che mostra come modificare il metodo di autorizzazione nel caricamento blob

Impostare l'autenticazione Microsoft Entra come predefinita nel portale di Azure

Quando si crea un nuovo account di archiviazione, è possibile specificare che per impostazione predefinita l'autorizzazione dell'portale di Azure con Microsoft Entra ID quando un utente passa ai dati BLOB. Inoltre è possibile configurare questa impostazione per un account di archiviazione esistente. Questa impostazione specifica solo il metodo di autorizzazione predefinito, pertanto tenere presente che un utente può eseguire l'override di questa impostazione e scegliere di autorizzare l'accesso ai dati con la chiave dell'account.

Per specificare che il portale deve usare l'autorizzazione di Microsoft Entra per impostazione predefinita per l'accesso ai dati quando si crea un account di archiviazione, seguire questa procedura:

  1. Creare un nuovo account di archiviazione seguendo le istruzioni riportate in Creare un account di archiviazione.

  2. Nella scheda Avanzate, nella sezione Sicurezza selezionare la casella accanto a Impostare come predefinita l'autorizzazione Microsoft Entra nel portale Azure.

    Screenshot che mostra come configurare l'autorizzazione predefinita di Microsoft Entra in portale di Azure per il nuovo account

  3. Selezionare il pulsante Rivedi e crea per eseguire la convalida e creare l'account.

Per aggiornare questa impostazione per un account di archiviazione esistente, seguire questa procedura:

  1. Passare alla panoramica dell'account nel portale di Azure.

  2. In Impostazioni selezionare Configurazione.

  3. Impostare l'opzione Impostare come predefinita l'autorizzazione Microsoft Entra nel portale Azure su Abilitato.

    Screenshot che mostra come configurare l'autorizzazione predefinita di Microsoft Entra in portale di Azure per l'account esistente

La proprietà defaultToOAuthAuthentication di un account di archiviazione non è impostata per impostazione predefinita e non restituisce un valore finché non viene impostata in modo esplicito.

Passaggi successivi