Toegang tot Azure Storage goedkeuren
Telkens wanneer u toegang krijgt tot gegevens in uw opslagaccount, doet uw clienttoepassing een aanvraag via HTTP/HTTPS naar Azure Storage. Standaard wordt elke resource in Azure Storage beveiligd en moet elke aanvraag voor een beveiligde resource worden geautoriseerd. Autorisatie zorgt ervoor dat de clienttoepassing over de juiste machtigingen beschikt om toegang te krijgen tot een bepaalde resource in uw opslagaccount.
Inzicht in autorisatie voor gegevensbewerkingen
In de volgende tabel worden de opties beschreven die Azure Storage biedt voor het autoriseren van toegang tot gegevens:
| Azure-artefact | Gedeelde sleutel (opslagaccountsleutel) | Handtekening voor gedeelde toegang | Microsoft Entra ID | On-premises Active Directory-domein Services | anonieme leestoegang | Lokale opslaggebruikers |
|---|---|---|---|---|---|---|
| Azure-blobs | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Ondersteund, maar niet aanbevolen | Ondersteund, alleen voor SFTP |
| Azure Files (SMB) | Ondersteund | Niet ondersteund | Ondersteund, alleen met Microsoft Entra Domain Services voor alleen cloud of Microsoft Entra Kerberos voor hybride identiteiten | Ondersteund, referenties moeten worden gesynchroniseerd met Microsoft Entra-id | Niet ondersteund | Niet ondersteund |
| Azure Files (REST) | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund |
| Azure-wachtrijen | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund |
| Azure-tabellen | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund |
Elke autorisatieoptie wordt hieronder kort beschreven:
Autorisatie van gedeelde sleutels voor blobs, bestanden, wachtrijen en tabellen. Een client die gedeelde sleutel gebruikt, geeft een header door aan elke aanvraag die is ondertekend met behulp van de toegangssleutel voor het opslagaccount. Zie Autoriseren met gedeelde sleutel voor meer informatie.
Microsoft raadt u aan gedeelde sleutelautorisatie voor uw opslagaccount niet toe te laten. Wanneer autorisatie van gedeelde sleutels niet is toegestaan, moeten clients Microsoft Entra-id of een SAS voor gebruikersdelegatie gebruiken om aanvragen voor gegevens in dat opslagaccount te autoriseren. Zie Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account voor meer informatie.
Handtekeningen voor gedeelde toegang voor blobs, bestanden, wachtrijen en tabellen. Shared Access Signatures (SAS) bieden beperkte gedelegeerde toegang tot resources in een opslagaccount via een ondertekende URL. De ondertekende URL geeft de machtigingen op die zijn verleend aan de resource en het interval waarvoor de handtekening geldig is. Een SERVICE-SAS of account-SAS is ondertekend met de accountsleutel, terwijl de SAS voor gebruikersdelegering is ondertekend met Microsoft Entra-referenties en alleen van toepassing is op blobs. Zie Shared Access Signatures (SAS) gebruiken voor meer informatie.
Microsoft Entra-integratie voor het autoriseren van aanvragen voor blob-, wachtrij- en tabelresources. Microsoft raadt aan microsoft Entra-referenties te gebruiken om aanvragen voor gegevens zo mogelijk te autoriseren voor optimale beveiliging en gebruiksgemak. Zie de artikelen voor blob-, wachtrij- of tabelresources voor meer informatie over Microsoft Entra-integratie.
U kunt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om de machtigingen van een beveiligingsprincipaal te beheren voor blob-, wachtrij- en tabelbronnen in een opslagaccount. U kunt ook op kenmerken gebaseerd toegangsbeheer (ABAC) van Azure gebruiken om voorwaarden toe te voegen aan Azure-roltoewijzingen voor blob-resources.
Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)? voor meer informatie over RBAC.
Zie voor meer informatie over ABAC en de bijbehorende functiestatus:
Wat is op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC)?
Microsoft Entra Domain Services-verificatie voor Azure Files. Azure Files ondersteunt autorisatie op basis van identiteit via Server Message Block (SMB) via Microsoft Entra Domain Services. U kunt Azure RBAC gebruiken voor gedetailleerde controle over de toegang van een client tot Azure Files-resources in een opslagaccount. Zie het overzicht voor meer informatie over Azure Files-verificatie met behulp van domeinservices.
On-premises Active Directory-domein Services -verificatie (AD DS of on-premises AD DS) voor Azure Files. Azure Files ondersteunt autorisatie op basis van identiteiten via SMB via AD DS. Uw AD DS-omgeving kan worden gehost op on-premises machines of in Azure-VM's. SMB-toegang tot Bestanden wordt ondersteund met AD DS-referenties van aan een domein gekoppelde computers, on-premises of in Azure. U kunt een combinatie van Azure RBAC gebruiken voor toegangsbeheer op shareniveau en NTFS-DACL's voor het afdwingen van machtigingen op map-/bestandsniveau. Zie het overzicht voor meer informatie over Azure Files-verificatie met behulp van domeinservices.
anonieme leestoegang voor blobgegevens wordt ondersteund, maar wordt niet aanbevolen. Wanneer anonieme toegang is geconfigureerd, kunnen clients blobgegevens lezen zonder autorisatie. U wordt aangeraden anonieme toegang voor al uw opslagaccounts uit te schakelen. Zie Overzicht: Anonieme leestoegang voor blobgegevens herstellen voor meer informatie.
Lokale opslaggebruikers kunnen worden gebruikt voor toegang tot blobs met SFTP of bestanden met SMB. Lokale opslaggebruikers ondersteunen machtigingen op containerniveau voor autorisatie. Zie Verbinding maken naar Azure Blob Storage met behulp van SSH File Transfer Protocol (SFTP) voor meer informatie over hoe lokale opslaggebruikers kunnen worden gebruikt met SFTP.
Uw toegangssleutels beveiligen
Toegangssleutels voor opslagaccounts bieden volledige toegang tot de configuratie van een opslagaccount, evenals de gegevens. Wees altijd voorzichtig met het beveiligen van uw toegangssleutels. Gebruik Azure Key Vault om uw sleutels veilig te beheren en te roteren. Toegang tot de gedeelde sleutel verleent een gebruiker volledige toegang tot de configuratie van een opslagaccount en de bijbehorende gegevens. De toegang tot gedeelde sleutels moet zorgvuldig worden beperkt en bewaakt. Gebruik SAS-tokens met een beperkt toegangsbereik in scenario's waarin autorisatie op basis van Microsoft Entra-id's niet kan worden gebruikt. Vermijd hardcoderingstoegangssleutels of slaat ze ergens op in tekst zonder opmaak die toegankelijk is voor anderen. Draai uw sleutels als u denkt dat ze mogelijk zijn aangetast.
Belangrijk
Microsoft raadt u aan om microsoft Entra ID te gebruiken om aanvragen te autoriseren voor blob-, wachtrij- en tabelgegevens, indien mogelijk, in plaats van de accountsleutels te gebruiken (autorisatie voor gedeelde sleutels). Autorisatie met Microsoft Entra ID biedt superieure beveiliging en gebruiksgemak ten opzichte van autorisatie van gedeelde sleutels. Zie .NET-toepassingen verifiëren met Azure-services voor meer informatie over het gebruik van Microsoft Entra-autorisatie vanuit uw toepassingen. Voor SMB Azure-bestandsshares raadt Microsoft aan om on-premises Active Directory-domein Services -integratie (AD DS) of Microsoft Entra Kerberos-verificatie te gebruiken.
Als u wilt voorkomen dat gebruikers toegang hebben tot gegevens in uw opslagaccount met gedeelde sleutel, kunt u autorisatie van gedeelde sleutels voor het opslagaccount niet toestaan. Gedetailleerde toegang tot gegevens met minimale bevoegdheden die nodig zijn, wordt aanbevolen als best practice voor beveiliging. Autorisatie op basis van Microsoft Entra-id moet worden gebruikt voor scenario's die OAuth ondersteunen. Kerberos of SMTP moet worden gebruikt voor Azure Files via SMB. Voor Azure Files via REST kunnen SAS-tokens worden gebruikt. Gedeelde sleuteltoegang moet worden uitgeschakeld als dit niet nodig is om onbedoeld gebruik te voorkomen. Zie Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account voor meer informatie.
Als u een Azure Storage-account wilt beveiligen met beleid voor voorwaardelijke toegang van Microsoft Entra, moet u autorisatie van gedeelde sleutels voor het opslagaccount niet weigeren.
Als u de toegang tot gedeelde sleutels hebt uitgeschakeld en u de autorisatie voor gedeelde sleutels in de diagnostische logboeken ziet, geeft dit aan dat vertrouwde toegang wordt gebruikt voor toegang tot opslag. Zie Vertrouwde toegang voor resources die zijn geregistreerd in uw abonnement voor meer informatie.
Volgende stappen
- Toegang met Microsoft Entra-id autoriseren voor blob-, wachtrij- of tabelbronnen .
- Autoriseren met gedeelde sleutel
- Beperkte toegang verlenen tot Azure Storage-resources door middel van een SAS