Autoryzowanie dostępu do tabel przy użyciu Azure Active Directory

Usługa Azure Storage obsługuje autoryzację żądań do danych tabeli przy użyciu Azure Active Directory (Azure AD). Za pomocą usługi Azure AD możesz użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby udzielić uprawnień jednostce zabezpieczeń, która może być użytkownikiem, grupą lub jednostką usługi aplikacji. Podmiot zabezpieczeń jest uwierzytelniany przez usługę Azure AD w celu zwrócenia tokenu OAuth 2.0. Token może następnie służyć do autoryzowania żądania względem usługi Table Service.

Autoryzowanie żądań względem usługi Azure Storage za pomocą usługi Azure AD zapewnia lepsze zabezpieczenia i łatwość użycia w przypadku autoryzacji klucza współużytkowanego. Firma Microsoft zaleca używanie autoryzacji usługi Azure AD z aplikacjami tabel, jeśli jest to możliwe, aby zapewnić dostęp z minimalnymi wymaganymi uprawnieniami.

Autoryzacja w usłudze Azure AD jest dostępna dla wszystkich celów ogólnych we wszystkich regionach publicznych i chmurach krajowych. Tylko konta magazynu utworzone przy użyciu modelu wdrażania usługi Azure Resource Manager obsługują autoryzację usługi Azure AD.

Omówienie usługi Azure AD dla tabel

Gdy podmiot zabezpieczeń (użytkownik, grupa lub aplikacja) próbuje uzyskać dostęp do zasobu tabeli, żądanie musi być autoryzowane. W usłudze Azure AD dostęp do zasobu jest procesem dwuetapowym. Najpierw tożsamość podmiotu zabezpieczeń jest uwierzytelniana i zwracany jest token OAuth 2.0. Następnie token jest przekazywany jako część żądania do usługi Table i używany przez usługę do autoryzowania dostępu do określonego zasobu.

Krok uwierzytelniania wymaga, aby aplikacja zażądała tokenu dostępu OAuth 2.0 w czasie wykonywania. Jeśli aplikacja działa z poziomu jednostki platformy Azure, takiej jak maszyna wirtualna platformy Azure, zestaw skalowania maszyn wirtualnych lub aplikacja Azure Functions, może używać tożsamości zarządzanej do uzyskiwania dostępu do tabel. Aby dowiedzieć się, jak autoryzować żądania wysyłane przez tożsamość zarządzaną, zobacz Autoryzowanie dostępu do danych tabeli przy użyciu tożsamości zarządzanych dla zasobów platformy Azure.

Krok autoryzacji wymaga przypisania co najmniej jednej roli platformy Azure do podmiotu zabezpieczeń. Usługa Azure Storage udostępnia role platformy Azure, które obejmują typowe zestawy uprawnień dla danych tabeli. Role przypisane do podmiotu zabezpieczeń określają uprawnienia, które będą miały podmiot zabezpieczeń. Aby dowiedzieć się więcej na temat przypisywania ról platformy Azure na potrzeby dostępu do tabel, zobacz Przypisywanie roli platformy Azure w celu uzyskania dostępu do danych tabel.

Aplikacje natywne i aplikacje internetowe, które wysyłają żądania do usługi Azure Table Service, mogą również autoryzować dostęp za pomocą usługi Azure AD. Aby dowiedzieć się, jak zażądać tokenu dostępu i użyć go do autoryzowania żądań, zobacz Autoryzowanie dostępu do usługi Azure Storage za pomocą usługi Azure AD z poziomu aplikacji usługi Azure Storage.

Przypisywanie ról platformy Azure na potrzeby praw dostępu

Azure Active Directory (Azure AD) autoryzuje prawa dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu na podstawie ról (RBAC) platformy Azure. Usługa Azure Storage definiuje zestaw wbudowanych ról platformy Azure, które obejmują typowe zestawy uprawnień używanych do uzyskiwania dostępu do danych tabeli. Można również zdefiniować role niestandardowe na potrzeby dostępu do danych tabeli.

Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń usługi Azure AD platforma Azure udziela dostępu do tych zasobów dla tego podmiotu zabezpieczeń. Podmiot zabezpieczeń usługi Azure AD może być użytkownikiem, grupą, jednostką usługi aplikacji lub tożsamością zarządzaną zasobów platformy Azure.

Zakres zasobu

Przed przypisaniem roli RBAC platformy Azure do podmiotu zabezpieczeń określ zakres dostępu, który powinien mieć podmiot zabezpieczeń. Najlepsze rozwiązania określają, że zawsze najlepiej jest przyznać tylko najwęższy możliwy zakres. Role RBAC platformy Azure zdefiniowane w szerszym zakresie są dziedziczone przez zasoby poniżej.

Zakres dostępu do zasobów tabeli platformy Azure można ograniczyć na następujących poziomach, począwszy od najwęższego zakresu:

  • Pojedyncza tabela. W tym zakresie przypisanie roli ma zastosowanie do określonej tabeli.
  • Konto magazynu W tym zakresie przypisanie roli ma zastosowanie do wszystkich tabel na koncie.
  • grupa zasobów. W tym zakresie przypisanie roli ma zastosowanie do wszystkich tabel we wszystkich kontach magazynu w grupie zasobów.
  • Subskrypcja. W tym zakresie przypisanie roli ma zastosowanie do wszystkich tabel we wszystkich kontach magazynu we wszystkich grupach zasobów w subskrypcji.
  • Grupa zarządzania. W tym zakresie przypisanie roli ma zastosowanie do wszystkich tabel we wszystkich kontach magazynu we wszystkich grupach zasobów we wszystkich subskrypcjach w grupie zarządzania.

Aby uzyskać więcej informacji na temat zakresu przypisań ról RBAC platformy Azure, zobacz Omówienie zakresu kontroli dostępu opartej na rolach platformy Azure.

Wbudowane role platformy Azure dla tabel

Kontrola dostępu oparta na rolach platformy Azure zapewnia wbudowane role umożliwiające autoryzowanie dostępu do danych tabel przy użyciu usług Azure AD i OAuth. Wbudowane role, które zapewniają uprawnienia do tabel w usłudze Azure Storage obejmują:

Aby dowiedzieć się, jak przypisać wbudowaną rolę platformy Azure do podmiotu zabezpieczeń, zobacz Przypisywanie roli platformy Azure w celu uzyskania dostępu do danych tabeli. Aby dowiedzieć się, jak wyświetlić listę ról RBAC platformy Azure i ich uprawnień, zobacz Wyświetlanie listy definicji ról platformy Azure.

Aby uzyskać więcej informacji na temat sposobu definiowania wbudowanych ról dla usługi Azure Storage, zobacz Omówienie definicji ról. Aby uzyskać informacje na temat tworzenia ról niestandardowych platformy Azure, zobacz Role niestandardowe platformy Azure.

Tylko role jawnie zdefiniowane dla dostępu do danych zezwalają podmiotowi zabezpieczeń na dostęp do danych tabeli. Wbudowane role, takie jak Właściciel, Współautor i Współautor konta Storage, umożliwiają jednostce zabezpieczeń zarządzanie kontem magazynu, ale nie zapewniają dostępu do danych tabeli w ramach tego konta za pośrednictwem usługi Azure AD. Jeśli jednak rola zawiera plik Microsoft.Storage /storageAccounts/listKeys/action, a następnie użytkownik, któremu przypisano rolę, może uzyskać dostęp do danych na koncie magazynu za pośrednictwem autoryzacji klucza współużytkowanego z kluczami dostępu do konta.

Aby uzyskać szczegółowe informacje na temat wbudowanych ról platformy Azure dla usługi Azure Storage dla usług danych i usługi zarządzania, zobacz sekcję Storage w temacie Role wbudowane platformy Azure dla kontroli dostępu opartej na rolach platformy Azure. Ponadto aby uzyskać informacje o różnych typach ról, które zapewniają uprawnienia na platformie Azure, zobacz Klasyczne role administratora subskrypcji, role platformy Azure i role usługi Azure AD.

Ważne

Propagacja przypisań ról platformy Azure może potrwać do 30 minut.

Uprawnienia dostępu do operacji na danych

Aby uzyskać szczegółowe informacje na temat uprawnień wymaganych do wywoływania określonych operacji usługi Table Service, zobacz Uprawnienia do wywoływania operacji danych.

Następne kroki