Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Resource Manager to usługa wdrażania i zarządzania dla platformy Azure. Dostawca zasobów usługi Azure Storage to usługa oparta na usłudze Azure Resource Manager i zapewniająca dostęp do zasobów zarządzania dla usługi Azure Storage. Za pomocą dostawcy zasobów usługi Azure Storage można tworzyć, aktualizować, zarządzać i usuwać zasoby, takie jak konta magazynu, prywatne punkty końcowe i klucze dostępu do konta. Aby uzyskać więcej informacji na temat usługi Azure Resource Manager, zobacz Omówienie usługi Azure Resource Manager.
Za pomocą dostawcy zasobów usługi Azure Storage można wykonywać akcje, takie jak tworzenie lub usuwanie konta magazynu lub pobieranie listy kont magazynu w ramach subskrypcji. Aby autoryzować żądania względem dostawcy zasobów usługi Azure Storage, użyj identyfikatora Entra firmy Microsoft. W tym artykule opisano sposób przypisywania uprawnień do zasobów zarządzania oraz wskazuje przykłady pokazujące, jak wysyłać żądania do dostawcy zasobów usługi Azure Storage.
Zarządzanie zasobami a zasobami danych
Firma Microsoft udostępnia dwa interfejsy API REST do pracy z zasobami usługi Azure Storage. Te interfejsy API stanowią podstawę wszystkich akcji, które można wykonać w usłudze Azure Storage. RESTful API usługi Azure Storage umożliwia pracę z danymi w koncie przechowywania, w tym z danymi obiektów blob, kolejki, plików i tabel. Interfejs API REST dostawcy zasobów Azure Storage umożliwia pracę z kontem przechowywania i powiązanymi zasobami.
Żądanie odczytujące lub zapisujące dane obiektu blob wymaga innych uprawnień niż żądanie, które wykonuje operację zarządzania. Kontrola dostępu oparta na rolach platformy Azure (Azure RBAC) zapewnia szczegółową kontrolę nad uprawnieniami do obu typów zasobów. Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń upewnij się, że rozumiesz, jakie uprawnienia zostaną przyznane podmiotowi zabezpieczeń. Aby uzyskać szczegółowe informacje opisujące akcje skojarzone z każdą wbudowaną rolą platformy Azure, zobacz Wbudowane role platformy Azure.
Usługa Azure Storage obsługuje używanie identyfikatora Entra firmy Microsoft do autoryzowania żądań względem obiektów blob i usługi Queue Storage. Aby uzyskać informacje o rolach platformy Azure na potrzeby operacji na danych obiektów blob i kolejek, zobacz Autoryzowanie dostępu do obiektów blob i kolejek przy użyciu usługi Active Directory.
Przypisywanie uprawnień do zarządzania przy użyciu kontroli dostępu opartej na rolach platformy Azure (Azure RBAC)
Każda subskrypcja platformy Azure ma skojarzony identyfikator Entra firmy Microsoft, który zarządza użytkownikami, grupami i aplikacjami. Użytkownik, grupa lub aplikacja jest również określany jako podmiot zabezpieczeń w kontekście Platforma tożsamości Microsoft. Dostęp do zasobów w subskrypcji można przyznać jednostce zabezpieczeń zdefiniowanej w usłudze Active Directory, korzystając z Azure Role-Based Access Control (Azure RBAC).
Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń należy również wskazać zakres, w którym obowiązują uprawnienia przyznane przez rolę. W przypadku operacji zarządzania można przypisać rolę na poziomie subskrypcji, grupy zasobów lub konta magazynu. Rolę platformy Azure można przypisać do podmiotu zabezpieczeń przy użyciu witryny Azure Portal, klasycznego interfejsu wiersza polecenia platformy Azure, programu PowerShell lub interfejsu API REST dostawcy zasobów usługi Azure Storage.
Aby uzyskać więcej informacji, zobacz Co to jest kontrola dostępu oparta na rolach platformy Azure (RBAC)? i role platformy Azure, role firmy Microsoft Entra i klasyczne role administratora subskrypcji.
Wbudowane funkcje dla operacji zarządzania
Platforma Azure udostępnia wbudowane role, które udzielają uprawnień do wywoływania operacji zarządzania. Usługa Azure Storage udostępnia również wbudowane role przeznaczone specjalnie do użycia z dostawcą zasobów usługi Azure Storage.
Wbudowane role, które udzielają uprawnień do wywoływania operacji zarządzania magazynem, obejmują role opisane w poniższej tabeli:
| Rola na platformie Azure | opis | Obejmuje dostęp do kluczy kont? |
|---|---|---|
| Właściciel | Może zarządzać wszystkimi zasobami magazynu i dostępem do zasobów. | Tak, zapewnia uprawnienia do wyświetlania i ponownego generowania kluczy do konta magazynowego. |
| Współautor | Może zarządzać wszystkimi zasobami magazynu, ale nie może zarządzać dostępem do zasobów. | Tak, zapewnia uprawnienia do wyświetlania i ponownego generowania kluczy do konta magazynowego. |
| Czytelnik | Może wyświetlać informacje o koncie przechowywania, ale nie może wyświetlać kluczy do tego konta. | Nr |
| Współautor konta magazynu | Może zarządzać kontem magazynu danych, uzyskiwać informacje o grupach zasobów i zasobach subskrypcji oraz tworzyć i zarządzać wdrożeniami grup zasobów subskrypcji. | Tak, zapewnia uprawnienia do wyświetlania i ponownego generowania kluczy do konta magazynowego. |
| Administrator dostępu użytkowników | Może zarządzać dostępem do konta magazynowego. | Tak, zezwala podmiotowi zabezpieczeń na przypisywanie wszelkich uprawnień sobie i innym. |
| Współtwórca maszyny wirtualnej | Może zarządzać maszynami wirtualnymi, ale nie kontem magazynu, z którym są połączone. | Tak, zapewnia uprawnienia do wyświetlania i ponownego generowania kluczy do konta magazynowego. |
Trzecia kolumna w tabeli wskazuje, czy wbudowana rola obsługuje akcję Microsoft.Storage/storageAccounts/listkeys/action. Ta akcja udziela uprawnień do odczytu i ponownego generowania kluczy do konta magazynu. Uprawnienia dostępu do zasobów zarządzania usługi Azure Storage nie obejmują również uprawnień dostępu do danych. Kontrola dostępu oparta na rolach platformy Azure udostępnia oddzielne wbudowane role umożliwiające autoryzowanie dostępu do danych. Jeśli jednak użytkownik ma dostęp do kluczy konta, może użyć kluczy konta, aby uzyskać dostęp do danych usługi Azure Storage za pośrednictwem autoryzacji klucza współdzielonego.
Role niestandardowe dla operacji zarządzania
Platforma Azure obsługuje również definiowanie ról niestandardowych platformy Azure na potrzeby dostępu do zasobów zarządzania. Aby uzyskać więcej informacji na temat ról niestandardowych, zobacz Role niestandardowe platformy Azure.
Przykłady kodu
Przykłady kodu pokazujące sposób autoryzacji i wywoływania operacji zarządzania z bibliotek zarządzania usługi Azure Storage można znaleźć w następujących przykładach:
Następne kroki
- Omówienie usługi Azure Resource Manager
- Co to jest kontrola dostępu oparta na rolach na platformie Azure (Azure RBAC)?
- Cele skalowalności dostawcy zasobów usługi Azure Storage