Stosowanie blokady usługi Azure Resource Manager do konta magazynu
Firma Microsoft zaleca zablokowanie wszystkich kont magazynu za pomocą blokady usługi Azure Resource Manager, aby zapobiec przypadkowemu lub złośliwemu usunięciu konta magazynu. Istnieją dwa typy blokad zasobów usługi Azure Resource Manager:
- Blokada CannotDelete uniemożliwia użytkownikom usunięcie konta magazynu, ale zezwala na odczytywanie i modyfikowanie jego konfiguracji.
- Blokada ReadOnly uniemożliwia użytkownikom usunięcie konta magazynu lub zmodyfikowanie jego konfiguracji, ale zezwala na odczytywanie konfiguracji.
Aby uzyskać więcej informacji na temat blokad usługi Azure Resource Manager, zobacz Blokowanie zasobów w celu zapobiegania zmianom.
Uwaga
Blokowanie konta magazynu nie chroni kontenerów ani obiektów blob w ramach tego konta przed usunięciem lub zastąpieniem. Aby uzyskać więcej informacji na temat ochrony danych obiektów blob, zobacz Omówienie ochrony danych.
Konfigurowanie blokady usługi Azure Resource Manager
Aby skonfigurować blokadę na koncie magazynu w witrynie Azure Portal, wykonaj następujące kroki:
W witrynie Azure Portal przejdź do swojego konta magazynu.
W sekcji Ustawienia wybierz pozycję Blokady.
Wybierz pozycję Dodaj.
Podaj nazwę blokady zasobu i określ typ blokady. W razie potrzeby dodaj notatkę dotyczącą blokady.
Autoryzowanie operacji danych, gdy blokada ReadOnly jest w mocy
Po zastosowaniu blokady ReadOnly do konta magazynu operacja Klucze listy jest blokowana dla tego konta magazynu. Operacja Klucze listy jest operacją HTTPS POST, a wszystkie operacje POST są blokowane, gdy dla konta skonfigurowano blokadę ReadOnly. Operacja Wyświetlanie kluczy zwraca klucze dostępu do konta, których następnie można użyć do odczytu i zapisu danych na koncie magazynu.
Jeśli klient jest w posiadaniu kluczy dostępu do konta w momencie zastosowania blokady do konta magazynu, klient może nadal używać kluczy dostępu do danych. Jednak klienci, którzy nie mają dostępu do kluczy, muszą używać poświadczeń firmy Microsoft Entra do uzyskiwania dostępu do danych obiektów blob lub kolejek na koncie magazynu.
Użytkownicy witryny Azure Portal mogą mieć wpływ na zastosowanie blokady ReadOnly , jeśli wcześniej uzyskiwali dostęp do danych obiektu blob lub kolejki w portalu przy użyciu kluczy dostępu do konta. Po zastosowaniu blokady użytkownicy portalu będą musieli używać poświadczeń firmy Microsoft w celu uzyskania dostępu do danych obiektów blob lub kolejek w portalu. W tym celu użytkownik musi mieć przypisane co najmniej dwie role RBAC: rolę Czytelnik usługi Azure Resource Manager i jedną z ról dostępu do danych usługi Azure Storage. Aby uzyskać więcej informacji, zobacz jeden z następujących artykułów:
- Wybieranie sposobu autoryzowania dostępu do danych obiektów blob w witrynie Azure Portal
- Wybieranie sposobu autoryzowania dostępu do danych w kolejce w witrynie Azure Portal
Dane w usłudze Azure Files lub table service mogą stać się niedostępne dla klientów, którzy wcześniej uzyskiwali do nich dostęp za pomocą kluczy konta. Najlepszym rozwiązaniem jest zastosowanie blokady ReadOnly na koncie magazynu, a następnie przeniesienie obciążeń usługi Azure Files i Table Service do konta magazynu, które nie jest zablokowane za pomocą blokady ReadOnly .