Выбор способа авторизации доступа к данным BLOB-объектов на портале Azure

  • Статья

При доступе к данным BLOB-объекта с помощью портала Azure портал отправляет запросы к службе хранилища Azure. Для запросов к службе хранилища Azure можно выполнять проверку подлинности с учетной записью Microsoft Entra или с ключом доступа к учетной записи хранения. Портал указывает, какой метод используется, и позволяет выбрать любой из двух методов, если есть соответствующие разрешения.

Можно также указать способ авторизации отдельной операции отправки BLOB-объекта на портале Azure. По умолчанию на портале используется любой метод, уже выбранный для авторизации операции отправки BLOB-объекта, однако можно изменить этот параметр при отправке большого двоичного объекта.

Разрешения, необходимые для доступа к данным BLOB-объекта

В зависимости желаемого способа авторизации доступа к данным BLOB-объекта на портале Azure вам потребуются определенные разрешения. В большинстве случаев эти разрешения предоставляются посредством управления доступом на основе ролей Azure (Azure RBAC). Дополнительные сведения об Azure RBAC см. в статье Что такое управление доступом на основе ролей в Azure (Azure RBAC)?.

Использование ключа доступа учетной записи

Чтобы получить доступ к данным BLOB-объекта с помощью ключа доступа к учетной записи, вам должна быть назначена роль Azure, которая включает действие Azure RBAC Microsoft.Storage/storageAccounts/listkeys/действие. Эта роль Azure может быть встроенной или настраиваемой. Ниже перечислены встроенные роли с поддержкой Microsoft.Storage/storageAccounts/listkeys/action (от минимального до максимального уровня разрешений):

При попытке получить доступ к данным BLOB-объектов на портале Azure портал сначала проверяет, назначена ли вам роль, используя для этого Microsoft.Storage/storageAccounts/listkeys/action. Если вы назначили роль с этим действием, портал использует ключ учетной записи для доступа к данным BLOB-объекта. Если вы не назначили роль с этим действием, портал пытается получить доступ к данным с помощью учетной записи Microsoft Entra.

Важно!

Если учетная запись хранения заблокирована с использованием блокировки Azure Resource Manager ReadOnly, операция Список ключей не разрешена для этой учетной записи хранения. Список ключей — операция POST, и все операции POST блокируются, если для учетной записи настроена блокировка ReadOnly. По этой причине, когда учетная запись заблокирована с блокировкой ReadOnly , пользователи должны использовать учетные данные Microsoft Entra для доступа к данным BLOB-объектов на портале. Сведения о доступе к данным BLOB-объектов на портале с помощью идентификатора Microsoft Entra см. в статье "Использование учетной записи Microsoft Entra".

Примечание.

Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль Владелец включает все действия, в том числе Microsoft.Storage/storageAccounts/listkeys/Action, поэтому пользователь с одной из этих административных ролей также может получать доступ к данным BLOB-объекта с помощью ключа учетной записи. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Использование учетной записи Microsoft Entra

Чтобы получить доступ к данным BLOB-объектов из портал Azure с помощью учетной записи Microsoft Entra, оба из следующих инструкций должны быть верными для вас:

  • Вам была назначена встроенная или пользовательская роль, предоставляющая доступ к данным BLOB-объекта.
  • Вам назначена роль Читатель Azure Resource Manager как минимум на уровне учетной записи хранения или на более высоком уровне. Роль Читатель предоставляет наиболее ограниченные разрешения, однако можно использовать и другую роль Azure Resource Manager, которая предоставляет доступ к ресурсам управления учетными записями хранения.

Роль Читатель Azure Resource Manager позволяет просматривать ресурсы учетной записи хранения, но не изменять их. Она предоставляет разрешения на чтение не данных в службе хранилища Azure, а только ресурсов управления учетной записью. Роль Читатель требуется, чтобы пользователи могли переходить к контейнерам BLOB-объектов на портале Azure.

Сведения о встроенных ролях, поддерживающих доступ к данным BLOB-объектов, см. в статье "Авторизация доступа к blob-объектам с помощью идентификатора Microsoft Entra".

Пользовательские роли могут поддерживать различные комбинации тех же разрешений, которые предоставляются встроенными ролями. Дополнительные сведения о создании пользовательских ролей Azure см. в разделе Пользовательские роли Azure и Определения ролей для ресурсов Azure.

Чтобы просмотреть данные BLOB-объекта на портале, перейдите в раздел Обзор учетной записи хранения и щелкните ссылки для BLOB-объектов. Кроме того, можно перейти к разделу Контейнеры в меню.

Screenshot showing how to navigate to blob data in the Azure portal

Определение текущего метода проверки подлинности

При переходе к контейнеру портал Azure указывает, используется ли ключ доступа к учетной записи или учетная запись Microsoft Entra для проверки подлинности.

Проверка подлинности с помощью ключа доступа учетной записи

Если проверка подлинности выполняется с помощью ключа доступа учетной записи, вы увидите, что в качестве метода проверки подлинности на портале указан ключ доступа.

Screenshot showing user currently accessing containers with the account key

Чтобы перейти на использование учетной записи Microsoft Entra, щелкните ссылку, выделенную на изображении. Если в назначенных вам ролях Azure имеются соответствующие разрешения, вы сможете продолжить работу. Однако если у вас нет нужных разрешений, появится сообщение об ошибке:

Error shown if Microsoft Entra account does not support access

Обратите внимание, что большие двоичные объекты не отображаются в списке, если учетная запись Microsoft Entra не имеет разрешений для их просмотра. Щелкните ссылку Использовать ключ доступа, чтобы снова использовать ключ доступа для проверки подлинности.

Проверка подлинности с помощью учетной записи Microsoft Entra

Если вы выполняете проверку подлинности с помощью учетной записи Microsoft Entra, вы увидите учетную запись пользователя Microsoft Entra, указанную в качестве метода проверки подлинности на портале:

Screenshot showing user currently accessing containers with Microsoft Entra account

Чтобы вместо этого использовать ключ доступа к учетной записи, щелкните ссылку, выделенную на изображении. Если у вас есть доступ к ключу учетной записи, вы сможете продолжить работу. Однако если доступ к ключу учетной записи отсутствует, отобразится следующее сообщение об ошибке:

Error shown if you do not have access to account key

Обратите внимание, что в списке нет BLOB-объектов, если у вас нет доступа к ключам учетной записи. Щелкните ссылку "Переключиться на учетную запись пользователя Microsoft Entra", чтобы снова использовать учетную запись Microsoft Entra для проверки подлинности.

Укажите способ авторизации операции отправки BLOB-объекта

При отправке большого двоичного объекта из портал Azure можно указать, следует ли проходить проверку подлинности и авторизовать эту операцию с помощью ключа доступа к учетной записи или учетными данными Microsoft Entra. По умолчанию на портале используется текущий метод проверки подлинности, указанный в разделе Определение текущего метода проверки подлинности.

Чтобы указать способ авторизации операции отправки BLOB-объекта, выполните следующие действия.

  1. На портале Azure перейдите к контейнеру, куда требуется отправить BLOB-объект.

  2. Нажмите кнопку Отправить.

  3. Разверните раздел Дополнительно, чтобы показать дополнительные свойства BLOB-объекта.

  4. В поле "Тип проверки подлинности" укажите, следует ли авторизовать операцию отправки с помощью учетной записи Microsoft Entra или с ключом доступа к учетной записи, как показано на следующем рисунке:

    Screenshot showing how to change authorization method on blob upload

По умолчанию авторизация Microsoft Entra в портал Azure

При создании учетной записи хранения можно указать, что портал Azure по умолчанию будет авторизации с помощью идентификатора Microsoft Entra при переходе пользователя к данным BLOB-объектов. Этот параметр также можно настроить для существующей учетной записи хранения. Этот параметр определяет только способ авторизации по умолчанию, поэтому пользователь может переопределить его и включить авторизацию доступа к данным с помощью ключа учетной записи.

Чтобы указать, что портал будет использовать авторизацию Microsoft Entra по умолчанию для доступа к данным при создании учетной записи хранения, выполните следующие действия.

  1. Создайте учетную запись хранения, следуя инструкциям в разделе Создание учетной записи хранения.

  2. На вкладке "Дополнительно" в разделе "Безопасность" проверка поле рядом с авторизацией Microsoft Entra по умолчанию в портал Azure.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account

  3. Чтобы запустить проверку и создать учетную запись, нажмите кнопку Просмотреть и создать.

Чтобы изменить этот параметр для существующей учетной записи хранения, выполните следующие действия.

  1. Перейдите в раздел с общими сведениями об учетной записи на портале Azure.

  2. В разделе Параметры выберите пункт Конфигурация.

  3. Установите для параметра "По умолчанию авторизация Microsoft Entra" в портал Azure значение "Включено".

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account

Свойство defaultToOAuthAuthentication учетной записи хранения не задано по умолчанию и не возвращает значение, пока не будет явно задано.

Следующие шаги