Udostępnij za pośrednictwem

Wybieranie sposobu autoryzowania dostępu do danych obiektów blob w witrynie Azure Portal

  • Artykuł

Gdy uzyskujesz dostęp do danych obiektów blob przy użyciu witryny Azure Portal, portal wysyła żądania do usługi Azure Storage w ramach tych elementów. Żądanie do usługi Azure Storage może być autoryzowane przy użyciu konta usługi Microsoft Entra lub klucza dostępu do konta magazynu. Portal wskazuje używaną metodę i umożliwia przełączanie się między nimi, jeśli masz odpowiednie uprawnienia.

Możesz również określić, jak autoryzować pojedynczą operację przekazywania obiektów blob w witrynie Azure Portal. Domyślnie portal używa dowolnej metody, której już używasz do autoryzowania operacji przekazywania obiektów blob, ale istnieje możliwość zmiany tego ustawienia podczas przekazywania obiektu blob.

Uprawnienia wymagane do uzyskiwania dostępu do danych obiektów blob

W zależności od tego, jak chcesz autoryzować dostęp do danych obiektów blob w witrynie Azure Portal, potrzebne są określone uprawnienia. W większości przypadków te uprawnienia są udostępniane za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure. Aby uzyskać więcej informacji na temat kontroli dostępu na podstawie ról platformy Azure, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (Azure RBAC)?.

Korzystanie z klucza dostępu do konta

Aby uzyskać dostęp do danych obiektów blob przy użyciu klucza dostępu do konta, musisz mieć przypisaną rolę platformy Azure obejmującą akcję RBAC platformy Azure Microsoft.Storage/storageAccounts/listkeys/action. Ta rola platformy Azure może być wbudowaną lub niestandardową rolą. Wbudowane role, które obsługują funkcję Microsoft.Storage/storageAccounts/listkeys/action, obejmują następujące elementy w kolejności od najmniejszych do największych uprawnień:

Podczas próby uzyskania dostępu do danych obiektów blob w witrynie Azure Portal portal najpierw sprawdza, czy przypisano ci rolę za pomocą polecenia Microsoft.Storage/storageAccounts/listkeys/action. Jeśli przypisano ci rolę z tą akcją, portal używa klucza konta do uzyskiwania dostępu do danych obiektów blob. Jeśli nie przypisano ci roli z tą akcją, portal próbuje uzyskać dostęp do danych przy użyciu konta Microsoft Entra.

Ważne

Gdy konto magazynu jest zablokowane za pomocą blokady readOnly usługi Azure Resource Manager, operacja Wyświetlanie kluczy listy nie jest dozwolona dla tego konta magazynu. Klucze listy to operacja POST, a wszystkie operacje POST są blokowane, gdy dla konta skonfigurowano blokadę ReadOnly . Z tego powodu, gdy konto jest zablokowane za pomocą blokady ReadOnly , użytkownicy muszą używać poświadczeń firmy Microsoft Entra w celu uzyskania dostępu do danych obiektów blob w portalu. Aby uzyskać informacje na temat uzyskiwania dostępu do danych obiektów blob w portalu przy użyciu identyfikatora Entra firmy Microsoft, zobacz Use your Microsoft Entra account (Korzystanie z konta Microsoft Entra).

Uwaga

Role klasycznego administratora subskrypcji Administrator usługi i Współadministrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel obejmuje wszystkie akcje, w tym Microsoft.Storage/storageAccounts/listkeys/action, dzięki czemu użytkownik z jedną z tych ról administracyjnych może również uzyskiwać dostęp do danych obiektów blob przy użyciu klucza konta. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Korzystanie z konta Microsoft Entra

Aby uzyskać dostęp do danych obiektów blob z witryny Azure Portal przy użyciu konta microsoft Entra, oba poniższe instrukcje muszą być prawdziwe:

  • Masz przypisaną wbudowaną lub niestandardową rolę, która zapewnia dostęp do danych obiektów blob.
  • Przypisano rolę Czytelnik usługi Azure Resource Manager w zakresie co najmniej do poziomu konta magazynu lub wyższego. Rola Czytelnik przyznaje najbardziej ograniczone uprawnienia, ale inna rola Azure Resource Manager, która przyznaje dostęp do zasobów zarządzania kontami magazynu, jest również akceptowalna.

Rola Czytelnik usługi Azure Resource Manager umożliwia użytkownikom wyświetlanie zasobów konta magazynu, ale nie ich modyfikowanie. Nie zapewnia uprawnień do odczytu danych w usłudze Azure Storage, ale tylko do zasobów zarządzania kontami. Rola Czytelnik jest niezbędna, aby użytkownicy mogli przechodzić do kontenerów obiektów blob w witrynie Azure Portal.

Aby uzyskać informacje na temat wbudowanych ról, które obsługują dostęp do danych obiektów blob, zobacz Autoryzowanie dostępu do obiektów blob przy użyciu identyfikatora Entra firmy Microsoft.

Role niestandardowe mogą obsługiwać różne kombinacje tych samych uprawnień udostępnianych przez wbudowane role. Aby uzyskać więcej informacji na temat tworzenia ról niestandardowych platformy Azure, zobacz Role niestandardowe platformy Azure i Omówienie definicji ról dla zasobów platformy Azure.

Aby wyświetlić dane obiektów blob w portalu, przejdź do obszaru Przegląd konta magazynu i wybierz linki dla obiektów blob. Alternatywnie możesz przejść do sekcji Kontenery w menu.

Zrzut ekranu przedstawiający sposób przechodzenia do danych obiektów blob w witrynie Azure Portal

Określanie bieżącej metody uwierzytelniania

Po przejściu do kontenera witryna Azure Portal wskazuje, czy obecnie używasz klucza dostępu do konta, czy konta Microsoft Entra do uwierzytelniania.

Uwierzytelnianie przy użyciu klucza dostępu do konta

Jeśli uwierzytelniasz się przy użyciu klucza dostępu do konta, zobaczysz klucz dostępu określony jako metoda uwierzytelniania w portalu:

Zrzut ekranu przedstawiający użytkownika, który aktualnie uzyskuje dostęp do kontenerów przy użyciu klucza konta

Aby przełączyć się na korzystanie z konta Microsoft Entra, wybierz link wyróżniony na obrazie. Jeśli masz odpowiednie uprawnienia za pośrednictwem ról platformy Azure przypisanych do Ciebie, możesz kontynuować. Jeśli jednak brakuje odpowiednich uprawnień, zostanie wyświetlony komunikat o błędzie podobny do następującego:

Błąd wyświetlany, jeśli konto Microsoft Entra nie obsługuje dostępu

Zwróć uwagę, że na liście nie ma żadnych obiektów blob, jeśli twoje konto Microsoft Entra nie ma uprawnień do ich wyświetlania. Wybierz link Przełącz do klucza dostępu, aby ponownie użyć klucza dostępu do uwierzytelniania.

Uwierzytelnianie przy użyciu konta Microsoft Entra

Jeśli uwierzytelniasz się przy użyciu konta Microsoft Entra, zobaczysz konto użytkownika Microsoft Entra określone jako metoda uwierzytelniania w portalu:

Zrzut ekranu przedstawiający użytkownika, który aktualnie uzyskuje dostęp do kontenerów przy użyciu konta Microsoft Entra

Aby przełączyć się na użycie klucza dostępu do konta, wybierz link wyróżniony na obrazie. Jeśli masz dostęp do klucza konta, możesz kontynuować. Jeśli jednak nie masz dostępu do klucza konta, zostanie wyświetlony komunikat o błędzie podobny do następującego:

Błąd wyświetlany, jeśli nie masz dostępu do klucza konta

Zwróć uwagę, że na liście nie ma żadnych obiektów blob, jeśli nie masz dostępu do kluczy konta. Wybierz link Przełącz na konto użytkownika Microsoft Entra, aby ponownie użyć konta Microsoft Entra na potrzeby uwierzytelniania.

Określanie sposobu autoryzacji operacji przekazywania obiektów blob

Po przekazaniu obiektu blob z witryny Azure Portal możesz określić, czy chcesz uwierzytelnić i autoryzować tę operację przy użyciu klucza dostępu konta, czy przy użyciu poświadczeń usługi Microsoft Entra. Domyślnie portal używa bieżącej metody uwierzytelniania, jak pokazano w sekcji Określanie bieżącej metody uwierzytelniania.

Aby określić, jak autoryzować operację przekazywania obiektów blob, wykonaj następujące kroki:

  1. W witrynie Azure Portal przejdź do kontenera, w którym chcesz przekazać obiekt blob.

  2. Wybierz przycisk Przekaż.

  3. Rozwiń sekcję Zaawansowane , aby wyświetlić zaawansowane właściwości obiektu blob.

  4. W polu Typ uwierzytelniania wskaż, czy chcesz autoryzować operację przekazywania przy użyciu konta Microsoft Entra, czy klucza dostępu do konta, jak pokazano na poniższej ilustracji:

    Zrzut ekranu przedstawiający sposób zmiany metody autoryzacji podczas przekazywania obiektów blob

Domyślna wartość autoryzacji microsoft Entra w witrynie Azure Portal

Podczas tworzenia nowego konta magazynu można określić, że w witrynie Azure Portal domyślna jest autoryzacja przy użyciu identyfikatora Microsoft Entra ID, gdy użytkownik przechodzi do danych obiektów blob. To ustawienie można również skonfigurować dla istniejącego konta magazynu. To ustawienie określa tylko domyślną metodę autoryzacji, dlatego należy pamiętać, że użytkownik może zastąpić to ustawienie i wybrać autoryzowanie dostępu do danych przy użyciu klucza konta.

Aby określić, że portal powinien domyślnie używać autoryzacji firmy Microsoft Entra do uzyskiwania dostępu do danych podczas tworzenia konta magazynu, wykonaj następujące kroki:

  1. Utwórz nowe konto magazynu, postępując zgodnie z instrukcjami w temacie Tworzenie konta magazynu.

  2. Na karcie Zaawansowane w sekcji Zabezpieczenia zaznacz pole wyboru obok pozycji Domyślne do autoryzacji Microsoft Entra w witrynie Azure Portal.

    Zrzut ekranu przedstawiający sposób konfigurowania domyślnej autoryzacji microsoft Entra w witrynie Azure Portal dla nowego konta

  3. Wybierz przycisk Przejrzyj i utwórz, aby uruchomić walidację i utworzyć konto.

Aby zaktualizować to ustawienie dla istniejącego konta magazynu, wykonaj następujące kroki:

  1. Przejdź do przeglądu konta w witrynie Azure Portal.

  2. W obszarze Ustawienia wybierz pozycję Konfiguracja.

  3. Ustaw wartość Domyślna na wartość Autoryzacja entra firmy Microsoft w witrynie Azure Portal na wartość Włączone.

    Zrzut ekranu przedstawiający sposób konfigurowania domyślnej autoryzacji microsoft Entra w witrynie Azure Portal dla istniejącego konta

Właściwość defaultToOAuthentication konta magazynu nie jest ustawiona domyślnie i nie zwraca wartości, dopóki nie zostanie jawnie ustawiona.

Następne kroki