PowerShell-opdrachten uitvoeren met Microsoft Entra-aanmeldingsgegevens voor toegang tot blobgegevens

Azure Storage biedt extensies voor PowerShell waarmee u zich kunt aanmelden en scriptopdrachten kunt uitvoeren met Microsoft Entra-referenties. Wanneer u zich met Microsoft Entra-referenties aanmeldt bij PowerShell, wordt er een OAuth 2.0-toegangstoken geretourneerd. Dit token wordt automatisch door PowerShell gebruikt om volgende gegevensbewerkingen voor Blob Storage te autoriseren. Voor ondersteunde bewerkingen hoeft u geen accountsleutel of SAS-token meer door te geven met de opdracht.

U kunt machtigingen toewijzen aan blobgegevens aan een Microsoft Entra-beveiligingsprincipaal via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Zie Een Azure-rol toewijzen voor toegang tot blobgegevens voor meer informatie over Azure-rollen in Azure Storage.

Ondersteunde bewerkingen

De Azure Storage-extensies worden ondersteund voor bewerkingen op blobgegevens. Welke bewerkingen u kunt aanroepen, is afhankelijk van de machtigingen die zijn verleend aan de Microsoft Entra-beveiligingsprincipaal waarmee u zich aanmeldt bij PowerShell. Machtigingen voor Azure Storage-containers worden toegewezen via Azure RBAC. Als u bijvoorbeeld de rol Blob-gegevenslezer hebt toegewezen, kunt u scriptopdrachten uitvoeren waarmee gegevens uit een container worden gelezen. Als u de rol Inzender voor blobgegevens hebt toegewezen, kunt u scriptopdrachten uitvoeren waarmee een container of de gegevens die ze bevatten, lezen, schrijven of verwijderen.

Zie Opslagbewerkingen aanroepen met OAuth-tokens voor meer informatie over de machtigingen die vereist zijn voor elke Azure Storage-bewerking in een container.

Belangrijk

Wanneer een opslagaccount is vergrendeld met een Azure Resource Manager ReadOnly-vergrendeling , is de bewerking Lijstsleutels niet toegestaan voor dat opslagaccount. Lijstsleutels is een POST-bewerking en alle POST-bewerkingen worden voorkomen wanneer een ReadOnly-vergrendeling is geconfigureerd voor het account. Daarom moeten gebruikers die nog niet beschikken over de accountsleutels microsoft Entra-referenties gebruiken om toegang te krijgen tot blobgegevens wanneer het account is vergrendeld met een ReadOnly-vergrendeling . Neem in PowerShell de -UseConnectedAccount parameter op om een AzureStorageContext-object te maken met uw Microsoft Entra-referenties.

PowerShell-opdrachten aanroepen met behulp van Microsoft Entra-referenties

Als u Azure PowerShell wilt gebruiken om u aan te melden en volgende bewerkingen uit te voeren voor Azure Storage met behulp van Microsoft Entra-referenties, maakt u een opslagcontext om te verwijzen naar het opslagaccount en neemt u de -UseConnectedAccount parameter op.

In het volgende voorbeeld ziet u hoe u een container maakt in een nieuw opslagaccount vanuit Azure PowerShell met behulp van uw Microsoft Entra-referenties. Vergeet niet om de waarden van de tijdelijke aanduidingen tussen de punthaken te vervangen door uw eigen waarden:

1. Meld u aan bij uw Azure-account met de opdracht Verbinding maken-AzAccount:

   Connect-AzAccount
   

   Zie Aanmelden met Azure PowerShell voor meer informatie over aanmelden bij Azure met PowerShell.

2. Maak een Azure-resourcegroep door New-AzResourceGroup aan te roepen.

   $resourceGroup = "sample-resource-group-ps"
   $location = "eastus"
   New-AzResourceGroup -Name $resourceGroup -Location $location
   

3. Maak een opslagaccount door New-AzStorageAccount aan te roepen.

   $storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
     -Name "<storage-account>" `
     -SkuName Standard_LRS `
     -Location $location `
     -AllowBlobPublicAccess $false
   

4. Haal de context van het opslagaccount op waarmee het nieuwe opslagaccount wordt opgegeven door New-AzStorageContext aan te roepen. Wanneer u op een opslagaccount werkt, kunt u verwijzen naar de context in plaats van herhaaldelijk de referenties door te geven. Neem de -UseConnectedAccount parameter op om eventuele volgende gegevensbewerkingen aan te roepen met behulp van uw Microsoft Entra-referenties:

   $ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccount
   

5. Voordat u de container maakt, moet u de rol Storage Blob Data Contributor aan uzelf toewijzen. Hoewel u de accounteigenaar bent, hebt u expliciete machtigingen nodig om gegevensbewerkingen uit te voeren voor het opslagaccount. Zie Een Azure-rol toewijzen voor toegang tot blobgegevens voor meer informatie over het toewijzen van Azure-rollen.

   Belangrijk

   Het kan enkele minuten duren voordat Azure-roltoewijzingen worden doorgegeven.

6. Maak een container door New-AzStorageContainer aan te roepen. Omdat deze aanroep gebruikmaakt van de context die in de vorige stappen is gemaakt, wordt de container gemaakt met behulp van uw Microsoft Entra-referenties.

   $containerName = "sample-container"
   New-AzStorageContainer -Name $containerName -Context $ctx
   

Volgende stappen

• Een Azure-rol toewijzen voor toegang tot blobgegevens
• Toegang tot Azure Storage goedkeuren