Kiezen hoe u toegang tot blobgegevens autoriseert in Azure Portal

  • Artikel

Wanneer u blobgegevens opent met behulp van Azure Portal, doet de portal aanvragen naar Azure Storage onder de dekking. Een aanvraag voor Azure Storage kan worden goedgekeurd met behulp van uw Microsoft Entra-account of de toegangssleutel voor het opslagaccount. In de portal wordt aangegeven welke methode u gebruikt en kunt u schakelen tussen de twee methoden als u de juiste machtigingen hebt.

U kunt ook opgeven hoe u een afzonderlijke blobuploadbewerking autoriseert in Azure Portal. De portal gebruikt standaard de methode die u al gebruikt om een blob-uploadbewerking te autoriseren, maar u hebt de mogelijkheid om deze instelling te wijzigen wanneer u een blob uploadt.

Machtigingen die nodig zijn voor toegang tot blobgegevens

Afhankelijk van hoe u toegang tot blobgegevens in Azure Portal wilt autoriseren, hebt u specifieke machtigingen nodig. In de meeste gevallen worden deze machtigingen geleverd via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)? voor meer informatie over Azure RBAC.

De toegangssleutel voor het account gebruiken

Als u toegang wilt krijgen tot blobgegevens met de toegangssleutel voor het account, moet aan u een Azure-rol zijn toegewezen die de Azure RBAC-actie Microsoft.Storage/storageAccounts/listkeys/action bevat. Deze Azure-rol kan een ingebouwde of aangepaste rol zijn. Ingebouwde rollen die ondersteuning bieden voor Microsoft.Storage/storageAccounts/listkeys/action zijn onder andere het volgende, in volgorde van minst tot grootste machtigingen:

Wanneer u probeert toegang te krijgen tot blobgegevens in Azure Portal, controleert de portal eerst of u een rol hebt toegewezen aan Microsoft.Storage/storageAccounts/listkeys/action. Als u met deze actie een rol hebt toegewezen, gebruikt de portal de accountsleutel voor toegang tot blobgegevens. Als u met deze actie geen rol hebt toegewezen, probeert de portal toegang te krijgen tot gegevens met behulp van uw Microsoft Entra-account.

Belangrijk

Wanneer een opslagaccount is vergrendeld met een Azure Resource Manager ReadOnly-vergrendeling , is de bewerking Lijstsleutels niet toegestaan voor dat opslagaccount. Lijstsleutels is een POST-bewerking en alle POST-bewerkingen worden voorkomen wanneer een ReadOnly-vergrendeling is geconfigureerd voor het account. Daarom moeten gebruikers, wanneer het account is vergrendeld met een ReadOnly-vergrendeling , Microsoft Entra-referenties gebruiken om toegang te krijgen tot blobgegevens in de portal. Zie Uw Microsoft Entra-account gebruiken voor informatie over het openen van blobgegevens in de portal met Microsoft Entra-id.

Notitie

De klassieke abonnementsbeheerdersrollen Service Beheer istrator en Co-Beheer istrator bevatten het equivalent van de azure Resource Manager-eigenaarrol. De rol Eigenaar bevat alle acties, waaronder Microsoft.Storage /storageAccounts/listkeys/action, zodat een gebruiker met een van deze beheerdersrollen ook toegang heeft tot blobgegevens met de accountsleutel. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.

Uw Microsoft Entra-account gebruiken

Als u toegang wilt krijgen tot blobgegevens vanuit Azure Portal met uw Microsoft Entra-account, moeten beide van de volgende instructies waar voor u zijn:

  • U hebt een ingebouwde of aangepaste rol toegewezen die toegang biedt tot blobgegevens.
  • U hebt de rol Lezer van Azure Resource Manager, minimaal, toegewezen aan het niveau van het opslagaccount of hoger. De rol Lezer verleent de meest beperkte machtigingen, maar een andere Azure Resource Manager-rol die toegang verleent tot resources voor het beheren van opslagaccounts is ook acceptabel.

Met de rol Lezer van Azure Resource Manager kunnen gebruikers opslagaccountresources weergeven, maar niet wijzigen. Het biedt geen leesmachtigingen voor gegevens in Azure Storage, maar alleen voor accountbeheerbronnen. De rol Lezer is nodig, zodat gebruikers kunnen navigeren naar blobcontainers in Azure Portal.

Zie Toegang tot blobs autoriseren met behulp van Microsoft Entra ID voor informatie over de ingebouwde rollen die ondersteuning bieden voor toegang tot blobgegevens.

Aangepaste rollen kunnen verschillende combinaties van dezelfde machtigingen ondersteunen die worden geboden door de ingebouwde rollen. Zie Aangepaste Azure-rollen en meer informatie over het maken van aangepaste Azure-rollen en Meer informatie over roldefinities voor Azure-resources.

Als u blobgegevens in de portal wilt weergeven, gaat u naar het overzicht voor uw opslagaccount en klikt u op de koppelingen voor blobs. U kunt ook naar de sectie Containers in het menu navigeren.

Screenshot showing how to navigate to blob data in the Azure portal

De huidige verificatiemethode bepalen

Wanneer u naar een container navigeert, geeft Azure Portal aan of u momenteel de toegangssleutel van het account of uw Microsoft Entra-account gebruikt om te verifiëren.

Verifiëren met de accounttoegangssleutel

Als u verificatie uitvoert met behulp van de toegangssleutel voor het account, ziet u dat de toegangssleutel is opgegeven als verificatiemethode in de portal:

Screenshot showing user currently accessing containers with the account key

Als u wilt overschakelen naar het Microsoft Entra-account, klikt u op de koppeling die in de afbeelding is gemarkeerd. Als u over de juiste machtigingen beschikt via de Azure-rollen die aan u zijn toegewezen, kunt u doorgaan. Als u echter niet over de juiste machtigingen beschikt, ziet u een foutbericht zoals de volgende:

Error shown if Microsoft Entra account does not support access

U ziet dat er geen blobs worden weergegeven in de lijst als uw Microsoft Entra-account geen machtigingen heeft om ze weer te geven. Klik op de koppeling Naar toegangssleutel om de toegangssleutel opnieuw te gebruiken voor verificatie.

Verifiëren met uw Microsoft Entra-account

Als u verificatie uitvoert met uw Microsoft Entra-account, ziet u het Microsoft Entra-gebruikersaccount dat is opgegeven als verificatiemethode in de portal:

Screenshot showing user currently accessing containers with Microsoft Entra account

Als u wilt overschakelen naar het gebruik van de toegangssleutel voor het account, klikt u op de koppeling die in de afbeelding is gemarkeerd. Als u toegang hebt tot de accountsleutel, kunt u doorgaan. Als u echter geen toegang hebt tot de accountsleutel, ziet u een foutbericht zoals de volgende:

Error shown if you do not have access to account key

U ziet dat er geen blobs worden weergegeven in de lijst als u geen toegang hebt tot de accountsleutels. Klik op de koppeling Overschakelen naar Microsoft Entra-gebruikersaccount om uw Microsoft Entra-account opnieuw te gebruiken voor verificatie.

Opgeven hoe u een blobuploadbewerking autoriseert

Wanneer u een blob uploadt vanuit Azure Portal, kunt u opgeven of u die bewerking wilt verifiëren en autoriseren met de toegangssleutel van het account of met uw Microsoft Entra-referenties. De portal gebruikt standaard de huidige verificatiemethode, zoals wordt weergegeven in De huidige verificatiemethode bepalen.

Voer de volgende stappen uit om op te geven hoe u een blobuploadbewerking autoriseert:

  1. Navigeer in Azure Portal naar de container waar u een blob wilt uploaden.

  2. Selecteer de knop Uploaden.

  3. Vouw de sectie Geavanceerd uit om de geavanceerde eigenschappen voor de blob weer te geven.

  4. Geef in het veld Verificatietype aan of u de uploadbewerking wilt autoriseren met uw Microsoft Entra-account of met de toegangssleutel voor het account, zoals wordt weergegeven in de volgende afbeelding:

    Screenshot showing how to change authorization method on blob upload

Standaard naar Microsoft Entra-autorisatie in Azure Portal

Wanneer u een nieuw opslagaccount maakt, kunt u opgeven dat Azure Portal standaard wordt geautoriseerd met Microsoft Entra-id wanneer een gebruiker naar blobgegevens navigeert. U kunt deze instelling ook configureren voor een bestaand opslagaccount. Met deze instelling wordt alleen de standaardautorisatiemethode opgegeven. Houd er dus rekening mee dat een gebruiker deze instelling kan overschrijven en ervoor kan kiezen om toegang tot gegevens te autoriseren met de accountsleutel.

Voer de volgende stappen uit om op te geven dat microsoft Entra-autorisatie standaard wordt gebruikt voor gegevenstoegang wanneer u een opslagaccount maakt:

  1. Maak een nieuw opslagaccount met de instructies in Een opslagaccount maken.

  2. Schakel op het tabblad Geavanceerd in de sectie Beveiliging het selectievakje in naast Standaard naar Microsoft Entra-autorisatie in Azure Portal.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account

  3. Selecteer de knop Beoordelen en maken om validatie uit te voeren en het account te maken.

Voer de volgende stappen uit om deze instelling voor een bestaand opslagaccount bij te werken:

  1. Navigeer naar het accountoverzicht in Azure Portal.

  2. Selecteer onder Instellingen de optie Configuratie.

  3. Stel standaard in op Microsoft Entra-autorisatie in Azure Portal op Ingeschakeld.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account

De eigenschap defaultToOAuthAuthentication van een opslagaccount is niet standaard ingesteld en retourneert geen waarde totdat u deze expliciet hebt ingesteld.

Volgende stappen