Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Firma Microsoft zaleca zablokowanie wszystkich kont magazynu za pomocą blokady usługi Azure Resource Manager, aby zapobiec przypadkowemu lub złośliwemu usunięciu konta magazynu. Istnieją dwa typy blokad zasobów usługi Azure Resource Manager:
- Blokada CannotDelete uniemożliwia użytkownikom usunięcie konta magazynu, ale zezwala na odczytywanie i modyfikowanie jego konfiguracji.
- Blokada ReadOnly uniemożliwia użytkownikom usunięcie konta magazynu lub zmodyfikowanie jego konfiguracji, ale zezwala na odczytywanie konfiguracji.
Aby uzyskać więcej informacji na temat blokad usługi Azure Resource Manager, zobacz Blokowanie zasobów w celu zapobiegania zmianom.
Ostrożność
Blokowanie konta magazynu nie chroni kontenerów ani obiektów blob w ramach tego konta przed usunięciem lub zastąpieniem. Aby uzyskać więcej informacji na temat ochrony danych typu blob, zobacz Omówienie ochrony danych.
Konfigurowanie blokady usługi Azure Resource Manager
Aby skonfigurować blokadę na koncie magazynowym w Azure Portal, wykonaj następujące kroki:
W portalu Azure przejdź do konta magazynowego.
W sekcji Ustawienia wybierz pozycję Blokady.
Wybierz Dodaj.
Podaj nazwę blokady zasobu i określ typ blokady. W razie potrzeby dodaj notatkę dotyczącą blokady.
Autoryzowanie operacji danych, gdy blokada ReadOnly jest w mocy
Po zastosowaniu blokady ReadOnly do konta magazynu operacja Lista kluczy jest blokowana dla tego konta magazynu. Operacja Klucze listy jest operacją HTTPS POST, a wszystkie operacje POST są blokowane, gdy dla konta skonfigurowano blokadę ReadOnly . Operacja Wyświetlanie kluczy zwraca klucze dostępu konta, których następnie można użyć do odczytu i zapisu danych w koncie magazynowym.
Jeśli klient jest w posiadaniu kluczy dostępu do konta w momencie nałożenia blokady na konto magazynu, może nadal używać tych kluczy do uzyskiwania dostępu do danych. Jednak klienci, którzy nie mają dostępu do kluczy, muszą używać poświadczeń Microsoft Entra do uzyskiwania dostępu do danych obiektów blob lub kolejek w koncie magazynowym.
Użytkownicy portalu Azure mogą być dotknięci, gdy zostanie zastosowana blokada ReadOnly, jeśli wcześniej uzyskiwali dostęp do danych obiektów blob lub kolejki w portalu za pomocą kluczy dostępu do konta. Po zastosowaniu blokady użytkownicy portalu będą musieli używać poświadczeń Microsoft Entra, aby uzyskać dostęp do danych obiektów blob lub kolejek w portalu. W tym celu użytkownik musi mieć przypisane co najmniej dwie role RBAC: minimalnie rolę Czytelnik usługi Azure Resource Manager, oraz jedną z ról dostępu do danych usługi Azure Storage. Aby uzyskać więcej informacji, zobacz jeden z następujących artykułów:
- Wybieranie sposobu autoryzacji dostępu do danych blob w witrynie Azure Portal
- Wybieranie sposobu autoryzowania dostępu do danych w kolejce w witrynie Azure Portal
Dane w usłudze Azure Files lub table service mogą stać się niedostępne dla klientów, którzy wcześniej uzyskiwali do nich dostęp za pomocą kluczy konta. Jeśli musisz zastosować blokadę ReadOnly na koncie magazynu, najlepszym rozwiązaniem jest przeniesienie obciążeń usługi Azure Files i Table Service do innego konta magazynu, które nie jest zablokowane za pomocą blokady ReadOnly.