Авторизация доступа к данным в службе хранилища Azure
Каждый раз, когда вы обращаетесь к данным в учетной записи хранения, ваше клиентское приложение отправляет запрос по протоколу HTTP/HTTPS к службе хранилища Azure. По умолчанию все ресурсы в службе хранилища Azure защищены, и каждый запрос к защищенном ресурсу должен быть авторизован. Авторизация гарантирует, что у клиентского приложения есть соответствующие разрешения на доступ к определенному ресурсу в вашей учетной записи хранения.
Общие сведения об авторизации для операций с данными
В приведенной ниже таблице перечислены возможности, которые служба хранилища Azure предлагает для авторизации доступа к данным.
| Артефакт Azure | Общий ключ (ключ учетной записи хранения) | Подписанный URL-адрес (SAS) | ИД Microsoft Entra | Локальные доменные службы Active Directory | анонимный доступ на чтение | Локальные пользователи службы хранилища |
|---|---|---|---|---|---|---|
| Большие двоичные объекты Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Поддерживается, но не рекомендуется | Поддерживается только для SFTP |
| Файлы Azure (SMB) | Поддерживается | Не поддерживается | Поддерживается только с доменными службами Microsoft Entra для облачных служб или Microsoft Entra Kerberos для гибридных удостоверений | Поддерживаемые учетные данные должны быть синхронизированы с идентификатором Microsoft Entra | Не поддерживается | Не поддерживается |
| Файлы Azure (REST) | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
| Azure Queues | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
| Таблицы Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Ниже кратко описан каждый метод авторизации.
Авторизация с помощью общего ключа для больших двоичных объектов, файлов, очередей и таблиц. Клиент, использующий общий ключ, передает заголовок с каждым запросом, подписанным с использованием ключа доступа к учетной записи хранения. Дополнительные сведения см. в статье Авторизация с помощью общего ключа.
Корпорация Майкрософт рекомендует запретить авторизацию на основе общих ключей для учетной записи хранения. Если авторизация общего ключа запрещена, клиенты должны использовать идентификатор Microsoft Entra или SAS делегирования пользователей для авторизации запросов данных в этой учетной записи хранения. Дополнительные сведения см. в статье Предотвращение авторизации с общим ключом для учетной записи службы хранения Azure.
Подписи коллективного доступа для больших двоичных объектов, файлов, очередей и таблиц. Подписанный URL-адрес (SAS) обеспечивает ограниченный доступ к ресурсам в учетной записи хранения. Подписанный URL-адрес указывает разрешения, предоставленные ресурсу, и интервал, в течение которого действительна подпись. SAS службы или SAS учетной записи подписан ключом учетной записи, а SAS делегирования пользователей подписан учетными данными Microsoft Entra и применяется только к большим двоичным объектам. Дополнительные сведения см. в статье Использование подписанных URL-адресов (SAS).
Интеграция Microsoft Entra для авторизации запросов к большим двоичным объектам, очередям и ресурсам таблицы. Корпорация Майкрософт рекомендует использовать учетные данные Microsoft Entra для авторизации запросов к данным, если это возможно для оптимальной безопасности и удобства использования. Дополнительные сведения об интеграции Microsoft Entra см. в статьях по ресурсам больших двоичных объектов, очередей или таблиц .
С помощью управления доступом на основе ролей Azure (Azure RBAC) можно управлять разрешениями субъекта безопасности, предоставленными для ресурсов BLOB-объектов, очередей и таблиц в учетной записи хранения. Вы также можете использовать управление доступом на основе атрибутов Azure (ABAC) для добавления условий в назначения ролей Azure для ресурсов BLOB-объектов.
Дополнительные сведения о RBAC см. в статье Что такое управление доступом на основе ролей в Azure (Azure RBAC)?
Дополнительные сведения об ABAC и его состоянии функции см. в следующем разделе:
Что такое управление доступом на основе атрибутов Azure (Azure ABAC)?
Проверка подлинности доменных служб Microsoft Entra для Файлы Azure. Файлы Azure поддерживает авторизацию на основе удостоверений через блок сообщений сервера (S МБ) через доменные службы Microsoft Entra. Azure RBAC можно использовать для детального управления доступом клиента к Файлы Azure ресурсам в учетной записи хранения. Дополнительные сведения о проверке подлинности в Файлах Azure с использованием доменных служб см. в этом обзоре.
Проверка подлинности в локальных доменных службах Active Directory (AD DS или "локальные AD DS") для Файлов Azure. Файлы Azure поддерживают авторизацию на основе идентификаторов по протоколу SMB через AD DS. Среду AD DS можно разместить на локальных компьютерах или на виртуальных машинах Azure. Поддерживается доступ к Файлам Azure по протоколу SMB с использованием учетных данных AD DS с локальных компьютеров или виртуальных машин Azure, подключенных к домену. Вы можете использовать одновременно Azure RBAC для управления доступом на уровне общей папки и списки DACL NTFS для применения разрешений на уровне каталогов и файлов. Дополнительные сведения о проверке подлинности в Файлах Azure с использованием доменных служб см. в этом обзоре.
Анонимный доступ на чтение для данных BLOB-объектов поддерживается, но не рекомендуется. При настройке анонимного доступа клиенты могут считывать данные BLOB-объектов без авторизации. Рекомендуется отключить анонимный доступ для всех учетных записей хранения. Дополнительные сведения см. в статье "Обзор: устранение анонимного доступа на чтение для данных BLOB-объектов".
Локальные пользователи службы хранилища могут использоваться для доступа к BLOB-объектам с помощью SFTP или файлам с помощью SMB. Локальные пользователи службы хранилища поддерживают разрешения уровня контейнера для авторизации. Дополнительные сведения о том, как можно использовать локальных пользователей службы хранилища с SFTP приведены в статье Подключение к Хранилищу BLOB-объектов Azure с помощью протокола SFTP.
Защита ключей доступа
служба хранилища ключи доступа к учетной записи предоставляют полный доступ к конфигурации учетной записи хранения, а также к данным. Не забудьте защитить ключи доступа. Для безопасного управления ключами и их замены воспользуйтесь Azure Key Vault. Доступ к общему ключу предоставляет пользователю полный доступ к конфигурации учетной записи хранения и его данным. Доступ к общим ключам следует тщательно ограничить и отслеживать. Используйте маркеры SAS с ограниченным область доступа в сценариях, когда авторизация на основе идентификатора Microsoft Entra не может использоваться. Избегайте жесткого написания ключей доступа или сохраняйте их в любом месте обычного текста, доступного другим пользователям. Поверните ключи, если вы считаете, что они были скомпрометированы.
Важно!
Корпорация Майкрософт рекомендует использовать идентификатор Microsoft Entra для авторизации запросов к большим двоичным объектам, очередям и табличным данным, а не с помощью ключей учетной записи (авторизация общего ключа). Авторизация с помощью идентификатора Microsoft Entra обеспечивает более высокую безопасность и простоту использования при авторизации общего ключа. Дополнительные сведения об использовании авторизации Microsoft Entra из приложений см. в статье "Проверка подлинности приложений .NET с помощью служб Azure". Для общих папок Azure МБ S корпорация Майкрософт рекомендует использовать интеграцию локальная служба Active Directory доменных служб (AD DS) или проверку подлинности Microsoft Entra Kerberos.
Чтобы запретить пользователям доступ к данным в учетной записи хранения с общим ключом, вы можете запретить авторизацию общего ключа для учетной записи хранения. Подробный доступ к данным с минимальными привилегиями рекомендуется в качестве рекомендации по обеспечению безопасности. Авторизация на основе идентификатора Microsoft Entra должна использоваться для сценариев, поддерживающих OAuth. Kerberos или SMTP следует использовать для Файлы Azure по протоколу S МБ. Для Файлы Azure по протоколу REST можно использовать маркеры SAS. Доступ к общему ключу следует отключить, если не требуется, чтобы предотвратить его непреднамеренное использование. Дополнительные сведения см. в статье Предотвращение авторизации с общим ключом для учетной записи службы хранения Azure.
Чтобы защитить учетную запись служба хранилища Azure с помощью политик условного доступа Microsoft Entra, необходимо запретить авторизацию общего ключа для учетной записи хранения.
Если вы отключили доступ к общему ключу, и вы видите авторизацию общего ключа, указанную в журналах диагностики, это означает, что доверенный доступ используется для доступа к хранилищу. Дополнительные сведения см. в разделе "Доверенный доступ" для ресурсов, зарегистрированных в подписке.
Следующие шаги
- Авторизация доступа с помощью идентификатора Microsoft Entra к ресурсам больших двоичных объектов, очередей или таблиц .
- Авторизация с помощью общего ключа
- Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS)