Wybieranie sposobu autoryzowania dostępu do danych w kolejce w witrynie Azure Portal

Gdy uzyskujesz dostęp do danych kolejki przy użyciu witryny Azure Portal, portal wysyła żądania do usługi Azure Storage w ramach tych elementów. Żądanie do usługi Azure Storage może być autoryzowane przy użyciu konta usługi Microsoft Entra lub klucza dostępu do konta magazynu. Portal wskazuje używaną metodę i umożliwia przełączanie się między nimi, jeśli masz odpowiednie uprawnienia.

Uprawnienia wymagane do uzyskiwania dostępu do danych kolejki

W zależności od tego, jak chcesz autoryzować dostęp do danych w kolejce w witrynie Azure Portal, musisz mieć określone uprawnienia. W większości przypadków te uprawnienia są udostępniane za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure. Aby uzyskać więcej informacji na temat kontroli dostępu na podstawie ról platformy Azure, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?.

Korzystanie z klucza dostępu do konta

Aby uzyskać dostęp do danych kolejki przy użyciu klucza dostępu do konta, musisz mieć przypisaną rolę platformy Azure obejmującą akcję RBAC platformy Azure Microsoft.Storage/storageAccounts/listkeys/action. Ta rola platformy Azure może być wbudowaną lub niestandardową rolą. Wbudowane role, które obsługują funkcję Microsoft.Storage/storageAccounts/listkeys/action, obejmują następujące elementy w kolejności od najmniejszych do największych uprawnień:

• Rola Czytelnik i Dostęp do danych
• Rola Współautor konta magazynu
• Rola Współautor usługi Azure Resource Manager
• Rola właściciela usługi Azure Resource Manager

Podczas próby uzyskania dostępu do danych kolejki w witrynie Azure Portal portal najpierw sprawdza, czy przypisano ci rolę za pomocą polecenia Microsoft.Storage/storageAccounts/listkeys/action. Jeśli przypisano rolę za pomocą tej akcji, portal używa klucza konta do uzyskiwania dostępu do danych kolejki. Jeśli nie masz przypisanej roli z tą akcją, portal próbuje uzyskać dostęp do danych przy użyciu konta Microsoft Entra.

Ważne

Gdy konto magazynu jest zablokowane za pomocą blokady readOnly usługi Azure Resource Manager, operacja Wyświetlanie kluczy listy nie jest dozwolona dla tego konta magazynu. Klucze listy to operacja POST, a wszystkie operacje POST są blokowane, gdy dla konta skonfigurowano blokadę ReadOnly . Z tego powodu, gdy konto jest zablokowane za pomocą blokady ReadOnly , użytkownicy muszą używać poświadczeń firmy Microsoft Entra w celu uzyskania dostępu do danych kolejki w portalu. Aby uzyskać informacje na temat uzyskiwania dostępu do danych kolejki w portalu przy użyciu identyfikatora Entra firmy Microsoft, zobacz Use your Microsoft Entra account (Korzystanie z konta Microsoft Entra).

Uwaga

Role klasycznego administratora subskrypcji Service Administracja istrator i Współ-Administracja istrator obejmują odpowiednik roli usługi Azure Resource ManagerOwner. Rola Właściciel zawiera wszystkie akcje, w tym Microsoft.Storage/storageAccounts/listkeys/action, więc użytkownik z jedną z tych ról administracyjnych może również uzyskać dostęp do danych kolejki przy użyciu klucza konta. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Korzystanie z konta Microsoft Entra

Aby uzyskać dostęp do danych kolejki z witryny Azure Portal przy użyciu konta Microsoft Entra, oba poniższe instrukcje muszą być prawdziwe:

• Przypisano ci wbudowaną lub niestandardową rolę, która zapewnia dostęp do danych w kolejce.
• Masz przypisaną rolę Czytelnik usługi Azure Resource Manager w zakresie co najmniej do poziomu konta magazynu lub wyższego. Rola Czytelnik przyznaje najbardziej ograniczone uprawnienia, ale inna rola Azure Resource Manager, która przyznaje dostęp do zasobów zarządzania kontami magazynu, jest również akceptowalna.

Rola Czytelnik usługi Azure Resource Manager umożliwia użytkownikom wyświetlanie zasobów konta magazynu, ale nie ich modyfikowanie. Nie zapewnia uprawnień do odczytu danych w usłudze Azure Storage, ale tylko do zasobów zarządzania kontami. Rola Czytelnik jest niezbędna, aby użytkownicy mogli przechodzić do kolejek w witrynie Azure Portal.

Aby uzyskać informacje o wbudowanych rolach, które obsługują dostęp do danych kolejki, zobacz Autoryzowanie dostępu do kolejek przy użyciu identyfikatora Entra firmy Microsoft.

Role niestandardowe mogą obsługiwać różne kombinacje tych samych uprawnień udostępnianych przez wbudowane role. Aby uzyskać więcej informacji na temat tworzenia ról niestandardowych platformy Azure, zobacz Role niestandardowe platformy Azure i Omówienie definicji ról dla zasobów platformy Azure.

Przechodzenie do kolejek w witrynie Azure Portal

Aby wyświetlić dane kolejki w portalu, przejdź do obszaru Przegląd konta magazynu i kliknij linki dla kolejek. Alternatywnie możesz przejść do sekcji Usługa kolejkowania w menu.

Określanie bieżącej metody uwierzytelniania

Po przejściu do kolejki witryna Azure Portal wskazuje, czy obecnie używasz klucza dostępu do konta, czy konta Microsoft Entra do uwierzytelniania.

Uwierzytelnianie przy użyciu klucza dostępu do konta

Jeśli uwierzytelniasz się przy użyciu klucza dostępu do konta, zobaczysz klucz dostępu określony jako metoda uwierzytelniania w portalu:

Aby przełączyć się na korzystanie z konta Microsoft Entra, kliknij link wyróżniony na obrazie. Jeśli masz odpowiednie uprawnienia za pośrednictwem przypisanych do Ciebie ról platformy Azure, możesz kontynuować. Jeśli jednak brakuje odpowiednich uprawnień, zostanie wyświetlony komunikat o błędzie podobny do następującego:

Zwróć uwagę, że na liście nie są wyświetlane żadne kolejki, jeśli twoje konto Microsoft Entra nie ma uprawnień do ich wyświetlania. Kliknij link Przełącz, aby uzyskać klucz dostępu, aby ponownie użyć klucza dostępu do uwierzytelniania.

Uwierzytelnianie przy użyciu konta Microsoft Entra

Jeśli uwierzytelniasz się przy użyciu konta Microsoft Entra, zobaczysz konto użytkownika Microsoft Entra określone jako metoda uwierzytelniania w portalu:

Aby przełączyć się na użycie klucza dostępu do konta, kliknij link wyróżniony na obrazie. Jeśli masz dostęp do klucza konta, możesz kontynuować. Jeśli jednak nie masz dostępu do klucza konta, w witrynie Azure Portal zostanie wyświetlony komunikat o błędzie.

Kolejki nie są wyświetlane w portalu, jeśli nie masz dostępu do kluczy konta. Kliknij link Przełącz na konto użytkownika Microsoft Entra, aby ponownie użyć konta Microsoft Entra na potrzeby uwierzytelniania.

Domyślna wartość autoryzacji microsoft Entra w witrynie Azure Portal

Podczas tworzenia nowego konta magazynu można określić, że w witrynie Azure Portal będzie domyślnie autoryzacja przy użyciu identyfikatora Entra firmy Microsoft, gdy użytkownik przejdzie do danych w kolejce. To ustawienie można również skonfigurować dla istniejącego konta magazynu. To ustawienie określa tylko domyślną metodę autoryzacji, dlatego należy pamiętać, że użytkownik może zastąpić to ustawienie i wybrać autoryzowanie dostępu do danych przy użyciu klucza konta.

Aby określić, że portal będzie domyślnie używać autoryzacji firmy Microsoft Entra do uzyskiwania dostępu do danych podczas tworzenia konta magazynu, wykonaj następujące kroki:

1. Utwórz nowe konto magazynu, postępując zgodnie z instrukcjami w temacie Tworzenie konta magazynu.

2. Na karcie Zaawansowane w sekcji Zabezpieczenia zaznacz pole wyboru obok pozycji Domyślne do autoryzacji Microsoft Entra w witrynie Azure Portal.

   

3. Wybierz przycisk Przejrzyj i utwórz, aby uruchomić walidację i utworzyć konto.

Aby zaktualizować to ustawienie dla istniejącego konta magazynu, wykonaj następujące kroki:

1. Przejdź do przeglądu konta w witrynie Azure Portal.

2. W obszarze Ustawienia wybierz pozycję Konfiguracja.

3. Ustaw wartość Domyślna na wartość Autoryzacja entra firmy Microsoft w witrynie Azure Portal na wartość Włączone.

   

Następne kroki

• Autoryzacja dostępu do danych w usłudze Azure Storage
• Przypisywanie roli platformy Azure w celu uzyskania dostępu do danych w kolejce