Toegang tot Azure Storage goedkeuren
Telkens wanneer u toegang krijgt tot gegevens in uw opslagaccount, doet uw clienttoepassing een aanvraag via HTTP/HTTPS naar Azure Storage. Standaard wordt elke resource in Azure Storage beveiligd en moet elke aanvraag voor een beveiligde resource worden geautoriseerd. Autorisatie zorgt ervoor dat de clienttoepassing over de juiste machtigingen beschikt om toegang te krijgen tot een bepaalde resource in uw opslagaccount.
Belangrijk
Voor optimale beveiliging raadt Microsoft aan om Microsoft Entra ID met beheerde identiteiten te gebruiken om aanvragen te autoriseren voor blob-, wachtrij- en tabelgegevens, indien mogelijk. Autorisatie met Microsoft Entra ID en beheerde identiteiten biedt superieure beveiliging en gebruiksgemak ten opzichte van autorisatie van gedeelde sleutels. Zie Wat zijn beheerde identiteiten voor Azure-resources voor meer informatie over beheerde identiteiten. Voor een voorbeeld van het inschakelen en gebruiken van een beheerde identiteit voor een .NET-toepassing raadpleegt u Verificatie van door Azure gehoste apps naar Azure-resources met .NET.
Voor resources die buiten Azure worden gehost, zoals on-premises toepassingen, kunt u beheerde identiteiten gebruiken via Azure Arc. Apps die worden uitgevoerd op servers met Azure Arc kunnen bijvoorbeeld beheerde identiteiten gebruiken om verbinding te maken met Azure-services. Zie Verifiëren bij Azure-resources met servers met Azure Arc voor meer informatie.
Voor scenario's waarin SHARED Access Signatures (SAS) worden gebruikt, raadt Microsoft aan een SAS voor gebruikersdelegering te gebruiken. Een SAS voor gebruikersdelegering wordt beveiligd met Microsoft Entra-referenties in plaats van de accountsleutel. Zie Beperkte toegang verlenen tot gegevens met handtekeningen voor gedeelde toegang voor meer informatie over handtekeningen voor gedeelde toegang. Zie Een SAS voor gebruikersdelegering maken en gebruiken met .NET voor een voorbeeld van het maken en gebruiken van een SAS voor gebruikersdelegatie voor een blob met .NET.
Autorisatie voor gegevensbewerkingen
In de volgende sectie worden autorisatieondersteuning en aanbevelingen voor elke Azure Storage-service beschreven.
De volgende tabel bevat informatie over ondersteunde autorisatieopties voor blobs:
Autorisatieoptie | Richtlijn | Aanbeveling |
---|---|---|
Microsoft Entra ID | Toegang tot Azure Storage-gegevens autoriseren met Microsoft Entra-id | Microsoft raadt het gebruik van Microsoft Entra-id met beheerde identiteiten aan om aanvragen voor blob-resources te autoriseren. |
Gedeelde sleutel (opslagaccountsleutel) | Autoriseren met gedeelde sleutel | Microsoft raadt u aan gedeelde sleutelautorisatie voor uw opslagaccounts niet toe te laten. |
Shared Access Signature (SAS) | Shared Access Signatures (SAS) gebruiken | Wanneer SAS-autorisatie nodig is, raadt Microsoft aan om SAS voor gebruikersdelegatie te gebruiken voor beperkte gedelegeerde toegang tot blob-resources. |
Anonieme leestoegang | Overzicht: anonieme leestoegang herstellen voor blobgegevens | Microsoft raadt u aan anonieme toegang voor al uw opslagaccounts uit te schakelen. |
Lokale opslaggebruikers | Alleen ondersteund voor SFTP. Zie Toegang tot Blob Storage autoriseren voor een SFTP-client voor meer informatie | Zie de richtlijnen voor opties. |
In de volgende sectie worden de autorisatieopties voor Azure Storage kort beschreven:
Autorisatie van gedeelde sleutels: van toepassing op blobs, bestanden, wachtrijen en tabellen. Een client die gedeelde sleutel gebruikt, geeft een header door aan elke aanvraag die is ondertekend met behulp van de toegangssleutel voor het opslagaccount. Zie Autoriseren met gedeelde sleutel voor meer informatie.
De toegangssleutel van het opslagaccount moet voorzichtig worden gebruikt. Iedereen met de toegangssleutel kan aanvragen voor het opslagaccount autoriseren en heeft effectief toegang tot alle gegevens. Microsoft raadt u aan gedeelde sleutelautorisatie voor uw opslagaccount niet toe te laten. Wanneer autorisatie van gedeelde sleutels niet is toegestaan, moeten clients Microsoft Entra-id of een SAS voor gebruikersdelegatie gebruiken om aanvragen voor gegevens in dat opslagaccount te autoriseren. Zie Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account voor meer informatie.
Handtekeningen voor gedeelde toegang voor blobs, bestanden, wachtrijen en tabellen. Shared Access Signatures (SAS) bieden beperkte gedelegeerde toegang tot resources in een opslagaccount via een ondertekende URL. De ondertekende URL geeft de machtigingen op die zijn verleend aan de resource en het interval waarvoor de handtekening geldig is. Een SERVICE-SAS of account-SAS is ondertekend met de accountsleutel, terwijl de SAS voor gebruikersdelegering is ondertekend met Microsoft Entra-referenties en alleen van toepassing is op blobs. Zie Shared Access Signatures (SAS) gebruiken voor meer informatie.
Microsoft Entra-integratie: van toepassing op blob-, wachtrij- en tabelbronnen. Microsoft raadt aan microsoft Entra-referenties te gebruiken met beheerde identiteiten om aanvragen voor gegevens te autoriseren, indien mogelijk voor optimale beveiliging en gebruiksgemak. Zie de artikelen voor blob-, wachtrij- of tabelresources voor meer informatie over Microsoft Entra-integratie.
U kunt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om de machtigingen van een beveiligingsprincipaal te beheren voor blob-, wachtrij- en tabelbronnen in een opslagaccount. U kunt ook op kenmerken gebaseerd toegangsbeheer (ABAC) van Azure gebruiken om voorwaarden toe te voegen aan Azure-roltoewijzingen voor blob-resources.
Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)? voor meer informatie over RBAC.
Zie Wat is op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC)? voor meer informatie over ABAC. Zie Status van ABAC-voorwaardefuncties in Azure Storage voor meer informatie over de status van ABAC-functies.
Microsoft Entra Domain Services-verificatie: van toepassing op Azure Files. Azure Files ondersteunt autorisatie op basis van identiteit via Server Message Block (SMB) via Microsoft Entra Domain Services. U kunt Azure RBAC gebruiken voor gedetailleerde controle over de toegang van een client tot Azure Files-resources in een opslagaccount. Zie Overzicht van verificatieopties op basis van azure Files voor SMB-toegang voor meer informatie over Azure Files-verificatie met behulp van domeinservices.
Verificatie van on-premises Active Directory-domein Services (AD DS of on-premises AD DS): van toepassing op Azure Files. Azure Files ondersteunt autorisatie op basis van identiteiten via SMB via AD DS. Uw AD DS-omgeving kan worden gehost op on-premises machines of in Azure-VM's. SMB-toegang tot Bestanden wordt ondersteund met AD DS-referenties van aan een domein gekoppelde computers, on-premises of in Azure. U kunt een combinatie van Azure RBAC gebruiken voor toegangsbeheer op shareniveau en NTFS-DACL's voor het afdwingen van machtigingen op map-/bestandsniveau. Zie het overzicht voor meer informatie over Azure Files-verificatie met behulp van domeinservices.
Anonieme leestoegang: van toepassing op blob-resources. Deze optie wordt niet aanbevolen. Wanneer anonieme toegang is geconfigureerd, kunnen clients blobgegevens lezen zonder autorisatie. U wordt aangeraden anonieme toegang voor al uw opslagaccounts uit te schakelen. Zie Overzicht: Anonieme leestoegang voor blobgegevens herstellen voor meer informatie.
Lokale opslaggebruikers: van toepassing op blobs met SFTP of bestanden met SMB. Lokale opslaggebruikers ondersteunen machtigingen op containerniveau voor autorisatie. Zie Verbinding maken met Azure Blob Storage met behulp van SSH File Transfer Protocol (SFTP) voor meer informatie over hoe lokale opslaggebruikers kunnen worden gebruikt met SFTP.
Uw toegangssleutels beveiligen
Toegangssleutels voor opslagaccounts bieden volledige toegang tot de opslagaccountgegevens en de mogelijkheid om SAS-tokens te genereren. Wees altijd voorzichtig met het beveiligen van uw toegangssleutels. Gebruik Azure Key Vault om uw sleutels veilig te beheren en te roteren. Toegang tot de gedeelde sleutel verleent een gebruiker volledige toegang tot de gegevens van een opslagaccount. De toegang tot gedeelde sleutels moet zorgvuldig worden beperkt en bewaakt. Gebruik SAS-tokens voor gebruikersdelegatie met een beperkt toegangsbereik in scenario's waarin autorisatie op basis van Microsoft Entra-id niet kan worden gebruikt. Vermijd hardcoderingstoegangssleutels of slaat ze ergens op in tekst zonder opmaak die toegankelijk is voor anderen. Draai uw sleutels als u denkt dat ze mogelijk zijn aangetast.
Belangrijk
Als u wilt voorkomen dat gebruikers toegang hebben tot gegevens in uw opslagaccount met gedeelde sleutel, kunt u autorisatie van gedeelde sleutels voor het opslagaccount niet toestaan. Gedetailleerde toegang tot gegevens met minimale bevoegdheden die nodig zijn, wordt aanbevolen als best practice voor beveiliging. Autorisatie op basis van Microsoft Entra-id's met beheerde identiteiten moet worden gebruikt voor scenario's die OAuth ondersteunen. Kerberos of SMTP moet worden gebruikt voor Azure Files via SMB. Voor Azure Files via REST kunnen SAS-tokens worden gebruikt. Gedeelde sleuteltoegang moet worden uitgeschakeld als dit niet nodig is om onbedoeld gebruik te voorkomen. Zie Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account voor meer informatie.
Als u een Azure Storage-account wilt beveiligen met beleid voor voorwaardelijke toegang van Microsoft Entra, moet u autorisatie van gedeelde sleutels voor het opslagaccount niet weigeren.
Als u de toegang tot gedeelde sleutels hebt uitgeschakeld en u de autorisatie voor gedeelde sleutels in de diagnostische logboeken ziet, geeft dit aan dat vertrouwde toegang wordt gebruikt voor toegang tot opslag. Zie Vertrouwde toegang voor resources die zijn geregistreerd in uw Microsoft Entra-tenant voor meer informatie.
Volgende stappen
- Toegang met Microsoft Entra-id autoriseren voor blob-, wachtrij- of tabelbronnen .
- Autoriseren met gedeelde sleutel
- Beperkte toegang verlenen tot Azure Storage-resources door middel van een SAS