Autoryzowanie żądań do usługi Azure Storage
Każde żądanie dotyczące zabezpieczonego zasobu w usłudze Blob, File, Queue lub Table Service musi być autoryzowane. Autoryzacja zapewnia, że zasoby na koncie magazynu są dostępne tylko wtedy, gdy mają być, i tylko dla tych użytkowników lub aplikacji, którym udzielasz dostępu.
Ważne
W celu zapewnienia optymalnego bezpieczeństwa firma Microsoft zaleca używanie Tożsamość Microsoft Entra z tożsamościami zarządzanymi w celu autoryzowania żądań względem danych obiektów blob, kolejek i tabel, jeśli jest to możliwe. Autoryzacja przy użyciu Tożsamość Microsoft Entra i tożsamości zarządzanych zapewnia doskonałe zabezpieczenia i łatwość użycia w przypadku autoryzacji klucza współdzielonego. Aby dowiedzieć się więcej, zobacz Autoryzowanie za pomocą Tożsamość Microsoft Entra. Aby dowiedzieć się więcej na temat tożsamości zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure.
W przypadku zasobów hostowanych poza platformą Azure, takich jak aplikacje lokalne, można używać tożsamości zarządzanych za pośrednictwem usługi Azure Arc. Na przykład aplikacje działające na serwerach z obsługą usługi Azure Arc mogą używać tożsamości zarządzanych do łączenia się z usługami platformy Azure. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie względem zasobów platformy Azure za pomocą serwerów z obsługą usługi Azure Arc.
W przypadku scenariuszy, w których są używane sygnatury dostępu współdzielonego (SAS), firma Microsoft zaleca używanie sygnatury dostępu współdzielonego delegowania użytkownika. Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu poświadczeń Microsoft Entra zamiast klucza konta. Aby dowiedzieć się więcej o sygnaturach dostępu współdzielonego, zobacz Twórca sygnatury dostępu współdzielonego delegowania użytkownika.
W poniższej tabeli opisano opcje, które usługa Azure Storage oferuje do autoryzowania dostępu do zasobów:
| Artefakt platformy Azure | Klucz wspólny (klucz konta magazynu) | Sygnatura dostępu współdzielonego (SAS) | Microsoft Entra ID | Lokalna Active Directory Domain Services | Anonimowy publiczny dostęp do odczytu |
|---|---|---|---|---|---|
| Obiekty blob platformy Azure | Obsługiwane | Obsługiwane | Obsługiwane | Nieobsługiwane | Obsługiwane |
| Azure Files (SMB) | Obsługiwane | Nieobsługiwane | Obsługiwane w przypadku protokołu Kerberos Microsoft Entra Domain Services lub Microsoft Entra | Obsługiwane, poświadczenia muszą być synchronizowane z Tożsamość Microsoft Entra | Nieobsługiwane |
| Azure Files (REST) | Obsługiwane | Obsługiwane | Obsługiwane | Nieobsługiwane | Nieobsługiwane |
| Azure Queues | Obsługiwane | Obsługiwane | Obsługiwane | Nieobsługiwane | Nieobsługiwane |
| Tabele platformy Azure | Obsługiwane | Obsługiwane | Obsługiwane | Nieobsługiwane | Nieobsługiwane |
Każda opcja autoryzacji jest krótko opisana poniżej:
Tożsamość Microsoft Entra:Microsoft Entra to oparta na chmurze usługa zarządzania tożsamościami i dostępem firmy Microsoft. Tożsamość Microsoft Entra integracja jest dostępna dla usług Blob, File, Queue i Table. Za pomocą Tożsamość Microsoft Entra można przypisać precyzyjny dostęp do użytkowników, grup lub aplikacji za pomocą kontroli dostępu opartej na rolach (RBAC). Aby uzyskać informacje na temat integracji Tożsamość Microsoft Entra z usługą Azure Storage, zobacz Autoryzowanie za pomocą Tożsamość Microsoft Entra.
Microsoft Entra Domain Services autoryzacji dla Azure Files. Azure Files obsługuje autoryzację opartą na tożsamościach za pośrednictwem protokołu SMB (Server Message Block) za pośrednictwem Microsoft Entra Domain Services. Kontrola dostępu oparta na rolach umożliwia precyzyjną kontrolę nad dostępem klienta do Azure Files zasobów na koncie magazynu. Aby uzyskać więcej informacji na temat uwierzytelniania Azure Files przy użyciu usług domenowych, zobacz Azure Files autoryzacji opartej na tożsamościach.
Autoryzacja usługi Active Directory (AD) dla Azure Files. Azure Files obsługuje autoryzację opartą na tożsamościach za pośrednictwem protokołu SMB za pośrednictwem usługi AD. Usługa domeny AD może być hostowana na maszynach lokalnych lub na maszynach wirtualnych platformy Azure. Dostęp SMB do usługi Files jest obsługiwany przy użyciu poświadczeń usługi AD z maszyn przyłączonych do domeny, lokalnych lub na platformie Azure. Kontroli dostępu na poziomie udziału można użyć do kontroli dostępu na poziomie udziału i list DACL systemu plików NTFS na potrzeby wymuszania uprawnień na poziomie katalogu i pliku. Aby uzyskać więcej informacji na temat uwierzytelniania Azure Files przy użyciu usług domenowych, zobacz Azure Files autoryzacji opartej na tożsamościach.
Klucz wspólny: Autoryzacja klucza współdzielonego opiera się na kluczach dostępu do konta i innych parametrach w celu utworzenia zaszyfrowanego ciągu podpisu przekazywanego do żądania w nagłówku Autoryzacja . Aby uzyskać więcej informacji na temat autoryzacji klucza współużytkowanego, zobacz Autoryzowanie za pomocą klucza współużytkowanego.
Sygnatury dostępu współdzielonego: Sygnatury dostępu współdzielonego (SAS) delegować dostęp do określonego zasobu na koncie z określonymi uprawnieniami i w określonym przedziale czasu. Aby uzyskać więcej informacji na temat sygnatury dostępu współdzielonego, zobacz Delegowanie dostępu za pomocą sygnatury dostępu współdzielonego.
Anonimowy dostęp do kontenerów i obiektów blob: Opcjonalnie możesz udostępnić zasoby obiektów blob na poziomie kontenera lub obiektu blob. Publiczny kontener lub obiekt blob jest dostępny dla każdego użytkownika w celu uzyskania anonimowego dostępu do odczytu. Żądania odczytu do publicznych kontenerów i obiektów blob nie wymagają autoryzacji. Aby uzyskać więcej informacji, zobacz Włączanie publicznego dostępu do odczytu dla kontenerów i obiektów blob w usłudze Azure Blob Storage.
Porada
Uwierzytelnianie i autoryzacja dostępu do danych obiektów blob, plików, kolejek i tabel przy użyciu Tożsamość Microsoft Entra zapewnia doskonałe zabezpieczenia i łatwość użycia w innych opcjach autoryzacji. Na przykład przy użyciu Tożsamość Microsoft Entra należy unikać konieczności przechowywania klucza dostępu do konta przy użyciu kodu, tak jak w przypadku autoryzacji klucza współużytkowanego. Chociaż nadal możesz używać autoryzacji klucza współdzielonego z aplikacjami obiektów blob i kolejek, firma Microsoft zaleca przejście do Tożsamość Microsoft Entra tam, gdzie to możliwe.
Podobnie można nadal używać sygnatur dostępu współdzielonego (SAS) w celu udzielenia szczegółowego dostępu do zasobów na koncie magazynu, ale Tożsamość Microsoft Entra oferuje podobne możliwości bez konieczności zarządzania tokenami SAS lub martwienia się o odwołanie naruszonej sygnatury dostępu współdzielonego.
Aby uzyskać więcej informacji na temat integracji Tożsamość Microsoft Entra w usłudze Azure Storage, zobacz Autoryzowanie dostępu do obiektów blob i kolejek platformy Azure przy użyciu Tożsamość Microsoft Entra.