Autoryzowanie żądań do usługi Azure Storage

Każde żądanie dotyczące zabezpieczonego zasobu w usłudze Blob, File, Queue lub Table Service musi być autoryzowane. Autoryzacja zapewnia, że zasoby na koncie magazynu są dostępne tylko wtedy, gdy mają być, i tylko dla tych użytkowników lub aplikacji, którym udzielasz dostępu.

W poniższej tabeli opisano opcje, które usługa Azure Storage oferuje do autoryzowania dostępu do zasobów:

Artefakt platformy Azure Klucz wspólny (klucz konta magazynu) Sygnatura dostępu współdzielonego (SAS) Microsoft Entra ID Lokalna Active Directory Domain Services Anonimowy publiczny dostęp do odczytu
Obiekty blob platformy Azure Obsługiwane Obsługiwane Obsługiwane Nieobsługiwane Obsługiwane
Azure Files (SMB) Obsługiwane Nieobsługiwane Obsługiwane w przypadku protokołu Kerberos Microsoft Entra Domain Services lub Microsoft Entra Obsługiwane, poświadczenia muszą być synchronizowane z Tożsamość Microsoft Entra Nieobsługiwane
Azure Files (REST) Obsługiwane Obsługiwane Obsługiwane Nieobsługiwane Nieobsługiwane
Azure Queues Obsługiwane Obsługiwane Obsługiwane Nieobsługiwane Nieobsługiwane
Tabele platformy Azure Obsługiwane Obsługiwane Obsługiwane Nieobsługiwane Nieobsługiwane

Każda opcja autoryzacji jest krótko opisana poniżej:

  • Tożsamość Microsoft Entra:Microsoft Entra to oparta na chmurze usługa zarządzania tożsamościami i dostępem firmy Microsoft. Tożsamość Microsoft Entra integracja jest dostępna dla usług Blob, File, Queue i Table. Za pomocą Tożsamość Microsoft Entra można przypisać precyzyjny dostęp do użytkowników, grup lub aplikacji za pomocą kontroli dostępu opartej na rolach (RBAC). Aby uzyskać informacje na temat integracji Tożsamość Microsoft Entra z usługą Azure Storage, zobacz Autoryzowanie za pomocą Tożsamość Microsoft Entra.

  • Microsoft Entra Domain Services autoryzacji dla Azure Files. Azure Files obsługuje autoryzację opartą na tożsamościach za pośrednictwem protokołu SMB (Server Message Block) za pośrednictwem Microsoft Entra Domain Services. Kontrola dostępu oparta na rolach umożliwia precyzyjną kontrolę nad dostępem klienta do Azure Files zasobów na koncie magazynu. Aby uzyskać więcej informacji na temat uwierzytelniania Azure Files przy użyciu usług domenowych, zobacz Azure Files autoryzacji opartej na tożsamościach.

  • Autoryzacja usługi Active Directory (AD) dla Azure Files. Azure Files obsługuje autoryzację opartą na tożsamościach za pośrednictwem protokołu SMB za pośrednictwem usługi AD. Usługa domeny AD może być hostowana na maszynach lokalnych lub na maszynach wirtualnych platformy Azure. Dostęp SMB do usługi Files jest obsługiwany przy użyciu poświadczeń usługi AD z maszyn przyłączonych do domeny, lokalnych lub na platformie Azure. Kontroli dostępu na poziomie udziału można użyć do kontroli dostępu na poziomie udziału i list DACL systemu plików NTFS na potrzeby wymuszania uprawnień na poziomie katalogu i pliku. Aby uzyskać więcej informacji na temat uwierzytelniania Azure Files przy użyciu usług domenowych, zobacz Azure Files autoryzacji opartej na tożsamościach.

  • Klucz wspólny: Autoryzacja klucza współdzielonego opiera się na kluczach dostępu do konta i innych parametrach w celu utworzenia zaszyfrowanego ciągu podpisu przekazywanego do żądania w nagłówku Autoryzacja . Aby uzyskać więcej informacji na temat autoryzacji klucza współużytkowanego, zobacz Autoryzowanie za pomocą klucza współużytkowanego.

  • Sygnatury dostępu współdzielonego: Sygnatury dostępu współdzielonego (SAS) delegować dostęp do określonego zasobu na koncie z określonymi uprawnieniami i w określonym przedziale czasu. Aby uzyskać więcej informacji na temat sygnatury dostępu współdzielonego, zobacz Delegowanie dostępu za pomocą sygnatury dostępu współdzielonego.

  • Anonimowy dostęp do kontenerów i obiektów blob: Opcjonalnie możesz udostępnić zasoby obiektów blob na poziomie kontenera lub obiektu blob. Publiczny kontener lub obiekt blob jest dostępny dla każdego użytkownika w celu uzyskania anonimowego dostępu do odczytu. Żądania odczytu do publicznych kontenerów i obiektów blob nie wymagają autoryzacji. Aby uzyskać więcej informacji, zobacz Włączanie publicznego dostępu do odczytu dla kontenerów i obiektów blob w usłudze Azure Blob Storage.

Porada

Uwierzytelnianie i autoryzacja dostępu do danych obiektów blob, plików, kolejek i tabel przy użyciu Tożsamość Microsoft Entra zapewnia doskonałe zabezpieczenia i łatwość użycia w innych opcjach autoryzacji. Na przykład przy użyciu Tożsamość Microsoft Entra należy unikać konieczności przechowywania klucza dostępu do konta przy użyciu kodu, tak jak w przypadku autoryzacji klucza współużytkowanego. Chociaż nadal możesz używać autoryzacji klucza współdzielonego z aplikacjami obiektów blob i kolejek, firma Microsoft zaleca przejście do Tożsamość Microsoft Entra tam, gdzie to możliwe.

Podobnie można nadal używać sygnatur dostępu współdzielonego (SAS) w celu udzielenia szczegółowego dostępu do zasobów na koncie magazynu, ale Tożsamość Microsoft Entra oferuje podobne możliwości bez konieczności zarządzania tokenami SAS lub martwienia się o odwołanie naruszonej sygnatury dostępu współdzielonego.

Aby uzyskać więcej informacji na temat integracji Tożsamość Microsoft Entra w usłudze Azure Storage, zobacz Autoryzowanie dostępu do obiektów blob i kolejek platformy Azure przy użyciu Tożsamość Microsoft Entra.