PowerShell-opdrachten uitvoeren met Microsoft Entra-referenties voor toegang tot wachtrijgegevens

Azure Storage biedt extensies voor PowerShell waarmee u zich kunt aanmelden en scriptopdrachten kunt uitvoeren met Microsoft Entra-referenties. Wanneer u zich met Microsoft Entra-referenties aanmeldt bij PowerShell, wordt er een OAuth 2.0-toegangstoken geretourneerd. Dit token wordt automatisch door PowerShell gebruikt om volgende gegevensbewerkingen te autoriseren voor Queue Storage. Voor ondersteunde bewerkingen hoeft u geen accountsleutel of SAS-token meer door te geven met de opdracht.

U kunt machtigingen toewijzen aan een Microsoft Entra-beveiligingsprincipaal via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Zie Toegangsrechten voor Azure Storage-gegevens beheren met Azure RBAC voor meer informatie over Azure-rollen in Azure Storage.

Ondersteunde bewerkingen

De Azure Storage-extensies worden ondersteund voor bewerkingen op wachtrijgegevens. Welke bewerkingen u kunt aanroepen, is afhankelijk van de machtigingen die zijn verleend aan de Microsoft Entra-beveiligingsprincipaal waarmee u zich aanmeldt bij PowerShell. Machtigingen voor wachtrijen worden toegewezen via Azure RBAC. Als u bijvoorbeeld de rol Wachtrijgegevenslezer hebt toegewezen, kunt u scriptopdrachten uitvoeren waarmee gegevens uit een wachtrij worden gelezen. Als u de rol Inzender voor wachtrijgegevens hebt toegewezen, kunt u scriptopdrachten uitvoeren die een wachtrij lezen, schrijven of verwijderen of de gegevens die ze bevatten.

Zie Opslagbewerkingen aanroepen met OAuth-tokens voor meer informatie over de machtigingen die vereist zijn voor elke Azure Storage-bewerking in een wachtrij.

Belangrijk

Wanneer een opslagaccount is vergrendeld met een Azure Resource Manager ReadOnly-vergrendeling , is de bewerking Lijstsleutels niet toegestaan voor dat opslagaccount. Lijstsleutels is een POST-bewerking en alle POST-bewerkingen worden voorkomen wanneer een ReadOnly-vergrendeling is geconfigureerd voor het account. Als het account daarom is vergrendeld met een ReadOnly-vergrendeling , moeten gebruikers die nog niet beschikken over de accountsleutels Microsoft Entra-referenties gebruiken om toegang te krijgen tot wachtrijgegevens. Neem in PowerShell de -UseConnectedAccount parameter op om een AzureStorageContext-object te maken met uw Microsoft Entra-referenties.

PowerShell-opdrachten aanroepen met behulp van Microsoft Entra-referenties

Notitie

Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.

Als u Azure PowerShell wilt gebruiken om u aan te melden en volgende bewerkingen uit te voeren voor Azure Storage met behulp van Microsoft Entra-referenties, maakt u een opslagcontext om te verwijzen naar het opslagaccount en neemt u de -UseConnectedAccount parameter op.

In het volgende voorbeeld ziet u hoe u een wachtrij maakt in een nieuw opslagaccount vanuit Azure PowerShell met behulp van uw Microsoft Entra-referenties. Vergeet niet om de waarden van de tijdelijke aanduidingen tussen de punthaken te vervangen door uw eigen waarden:

1. Meld u aan bij uw Azure-account met de opdracht Verbinding maken-AzAccount:

   Connect-AzAccount
   

   Zie Aanmelden met Azure PowerShell voor meer informatie over aanmelden bij Azure met PowerShell.

2. Maak een Azure-resourcegroep door New-AzResourceGroup aan te roepen.

   $resourceGroup = "sample-resource-group-ps"
   $location = "eastus"
   New-AzResourceGroup -Name $resourceGroup -Location $location
   

3. Maak een opslagaccount door New-AzStorageAccount aan te roepen.

   $storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
     -Name "<storage-account>" `
     -SkuName Standard_LRS `
     -Location $location `
   

4. Haal de context van het opslagaccount op waarmee het nieuwe opslagaccount wordt opgegeven door New-AzStorageContext aan te roepen. Wanneer u op een opslagaccount werkt, kunt u verwijzen naar de context in plaats van herhaaldelijk de referenties door te geven. Neem de -UseConnectedAccount parameter op om eventuele volgende gegevensbewerkingen aan te roepen met behulp van uw Microsoft Entra-referenties:

   $ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccount
   

5. Voordat u de wachtrij maakt, wijst u de rol Inzender voor opslagwachtrijgegevens aan uzelf toe . Hoewel u de accounteigenaar bent, hebt u expliciete machtigingen nodig om gegevensbewerkingen uit te voeren voor het opslagaccount. Zie Een Azure-rol toewijzen voor toegang tot wachtrijgegevens voor meer informatie over het toewijzen van Azure-rollen.

   Belangrijk

   Het kan enkele minuten duren voordat Azure-roltoewijzingen worden doorgegeven.

6. Maak een wachtrij door New-AzStorageQueue aan te roepen. Omdat deze aanroep gebruikmaakt van de context die in de vorige stappen is gemaakt, wordt de wachtrij gemaakt met behulp van uw Microsoft Entra-referenties.

   $queueName = "sample-queue"
   New-AzStorageQueue -Name $queueName -Context $ctx
   

Volgende stappen

• Een Azure-rol toewijzen voor toegang tot wachtrijgegevens
• Toegang tot Azure Storage goedkeuren