Aanvragen autoriseren voor Azure Storage
Elke aanvraag die wordt gedaan voor een beveiligde resource in de Blob-, File-, Queue- of Table-service, moet worden geautoriseerd. Autorisatie zorgt ervoor dat resources in uw opslagaccount alleen toegankelijk zijn wanneer u dat wilt, en alleen voor gebruikers of toepassingen aan wie u toegang verleent.
Belangrijk
Voor optimale beveiliging raadt Microsoft het gebruik van Microsoft Entra ID met beheerde identiteiten aan om waar mogelijk aanvragen te autoriseren voor blob-, wachtrij- en tabelgegevens. Autorisatie met Microsoft Entra ID en beheerde identiteiten biedt superieure beveiliging en gebruiksgemak ten opzichte van autorisatie met gedeelde sleutels. Zie Autoriseren met Microsoft Entra ID voor meer informatie. Zie Wat zijn beheerde identiteiten voor Azure-resources voor meer informatie over beheerde identiteiten.
Voor resources die buiten Azure worden gehost, zoals on-premises toepassingen, kunt u beheerde identiteiten gebruiken via Azure Arc. Apps die worden uitgevoerd op servers met Azure Arc kunnen bijvoorbeeld beheerde identiteiten gebruiken om verbinding te maken met Azure-services. Zie Verifiëren met Azure-resources met servers met Azure Arc voor meer informatie.
Voor scenario's waarin SAS (Shared Access Signatures) worden gebruikt, raadt Microsoft aan een SAS voor gebruikersdelegatie te gebruiken. Een SAS voor gebruikersdelegatie wordt beveiligd met Microsoft Entra referenties in plaats van de accountsleutel. Zie een SAS voor gebruikersdelegering Creatie voor meer informatie over handtekeningen voor gedeelde toegang.
In de volgende tabel worden de opties beschreven die Azure Storage biedt voor het autoriseren van toegang tot resources:
| Azure-artefact | Gedeelde sleutel (opslagaccountsleutel) | Shared Access Signature (SAS) | Microsoft Entra ID | On-premises Active Directory Domain Services | Anonieme openbare leestoegang |
|---|---|---|---|---|---|
| Azure-blobs | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Ondersteund |
| Azure Files (SMB) | Ondersteund | Niet ondersteund | Ondersteund met Microsoft Entra Domeinservices of Microsoft Entra Kerberos | Referenties worden ondersteund en moeten worden gesynchroniseerd met Microsoft Entra ID | Niet ondersteund |
| Azure Files (REST) | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund |
| Azure-wachtrijen | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund |
| Azure-tabellen | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund |
Elke autorisatieoptie wordt hieronder kort beschreven:
Microsoft Entra ID:Microsoft Entra is de cloudservice voor identiteits- en toegangsbeheer van Microsoft. Microsoft Entra ID integratie is beschikbaar voor de services Blob, File, Queue en Table. Met Microsoft Entra ID kunt u verfijnde toegang toewijzen aan gebruikers, groepen of toepassingen via op rollen gebaseerd toegangsbeheer (RBAC). Zie Autoriseren met Microsoft Entra ID voor meer informatie over Microsoft Entra ID-integratie met Azure Storage.
Microsoft Entra Domeinservices autorisatie voor Azure Files. Azure Files ondersteunt autorisatie op basis van identiteit via Server Message Block (SMB) via Microsoft Entra Domeinservices. U kunt RBAC gebruiken voor nauwkeurige controle over de toegang van een client tot Azure Files resources in een opslagaccount. Zie autorisatie op basis van identiteit Azure Files voor meer informatie over Azure Files verificatie met behulp van domeinservices.
Active Directory-autorisatie (AD) voor Azure Files. Azure Files ondersteunt autorisatie op basis van identiteit via SMB via AD. Uw AD-domeinservice kan worden gehost op on-premises machines of in Azure-VM's. SMB-toegang tot Bestanden wordt ondersteund met behulp van AD-referenties van computers die lid zijn van een domein, on-premises of in Azure. U kunt RBAC gebruiken voor toegangsbeheer op shareniveau en NTFS-DACLs voor het afdwingen van machtigingen op map- en bestandsniveau. Zie autorisatie op basis van identiteit Azure Files voor meer informatie over Azure Files verificatie met behulp van domeinservices.
Gedeelde sleutel: Autorisatie van gedeelde sleutels is afhankelijk van uw accounttoegangssleutels en andere parameters voor het produceren van een versleutelde handtekeningtekenreeks die wordt doorgegeven op de aanvraag in de autorisatieheader . Zie Autoriseren met gedeelde sleutel voor meer informatie over autorisatie van gedeelde sleutels.
Handtekeningen voor gedeelde toegang: Sas (Shared Access Signatures) delegeren toegang tot een bepaalde resource in uw account met opgegeven machtigingen en gedurende een opgegeven tijdsinterval. Zie Toegang delegeren met een shared access signature voor meer informatie over SAS.
Anonieme toegang tot containers en blobs: U kunt blob-resources desgewenst openbaar maken op container- of blobniveau. Een openbare container of blob is toegankelijk voor elke gebruiker voor anonieme leestoegang. Voor leesaanvragen voor openbare containers en blobs is geen autorisatie vereist. Zie Openbare leestoegang inschakelen voor containers en blobs in Azure Blob Storage voor meer informatie.
Tip
Het verifiëren en autoriseren van toegang tot blob-, bestands-, wachtrij- en tabelgegevens met Microsoft Entra ID biedt superieure beveiliging en gebruiksgemak ten opzichte van andere autorisatieopties. Als u bijvoorbeeld Microsoft Entra ID gebruikt, voorkomt u dat u de toegangssleutel van uw account met uw code moet opslaan, zoals bij autorisatie van gedeelde sleutels. Hoewel u gedeelde sleutelautorisatie kunt blijven gebruiken met uw blob- en wachtrijtoepassingen, raadt Microsoft aan om waar mogelijk over te stappen op Microsoft Entra ID.
Op dezelfde manier kunt u Sas (Shared Access Signatures) blijven gebruiken om verfijnde toegang te verlenen tot resources in uw opslagaccount, maar Microsoft Entra ID biedt vergelijkbare mogelijkheden zonder SAS-tokens te hoeven beheren of u zorgen te hoeven maken over het intrekken van een gecompromitteerde SAS.
Zie Toegang tot Azure-blobs en -wachtrijen autoriseren met behulp van Microsoft Entra ID voor meer informatie over Microsoft Entra ID-integratie in Azure Storage.