Авторизация запросов к службе хранилища Azure
Каждый запрос к защищенному ресурсу в службе больших двоичных объектов, файлов, очередей или таблиц должен быть уполномочен. Авторизация гарантирует, что ресурсы в вашей учетной записи хранения будут доступны только тогда, когда они должны быть и только тем пользователям или приложениям, которым вы предоставляете доступ.
В приведенной ниже таблице перечислены возможности, которые служба хранилища Azure предлагает для авторизации доступа к ресурсам.
| Артефакт Azure | Общий ключ (ключ учетной записи хранения) | Подписанный URL-адрес (SAS) | Microsoft Entra ID | Локальные доменные службы Active Directory | Анонимный общий доступ на чтение |
|---|---|---|---|---|---|
| Большие двоичные объекты Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Поддерживается |
| Файлы Azure (SMB) | Поддерживается | Не поддерживается | Поддерживается с Доменные службы Microsoft Entra или Microsoft Entra Kerberos | Поддерживаемые учетные данные должны быть синхронизированы с Microsoft Entra ID | Не поддерживается |
| Файлы Azure (REST) | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается |
| Очереди Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается |
| Таблицы Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается |
Ниже кратко описан каждый метод авторизации.
Microsoft Entra ID:Microsoft Entra — это облачная служба управления удостоверениями и доступом Майкрософт. Microsoft Entra ID интеграция доступна для служб BLOB-объектов, файлов, очередей и таблиц. С помощью Microsoft Entra ID вы можете назначать детализированный доступ пользователям, группам или приложениям с помощью управления доступом на основе ролей (RBAC). Сведения об интеграции Microsoft Entra ID со службой хранилища Azure см. в статье Авторизация с помощью Microsoft Entra ID.
Доменные службы Microsoft Entra авторизация для Файлы Azure. Файлы Azure поддерживает авторизацию на основе удостоверений через SMB через Доменные службы Microsoft Entra. RBAC можно использовать для точного управления доступом клиента к Файлы Azure ресурсам в учетной записи хранения. Дополнительные сведения о проверке подлинности Файлы Azure с помощью доменных служб см. в разделе Файлы Azure авторизации на основе удостоверений.
Авторизация Active Directory (AD) для Файлы Azure. Файлы Azure поддерживает авторизацию на основе удостоверений через SMB через AD. Доменная служба AD может размещаться на локальных компьютерах или на виртуальных машинах Azure. Доступ по протоколу SMB к файлам поддерживается с помощью учетных данных AD с компьютеров, присоединенных к домену, как локально, так и в Azure. Вы можете использовать RBAC для управления доступом на уровне общей папки и списки DACL NTFS для применения разрешений на уровне каталогов и файлов. Дополнительные сведения о проверке подлинности Файлы Azure с помощью доменных служб см. в разделе Файлы Azure авторизации на основе удостоверений.
Общий ключ: Авторизация с помощью общего ключа зависит от ключей доступа учетной записи и других параметров для создания зашифрованной строки подписи, которая передается в запрос в заголовке авторизации . Дополнительные сведения об авторизации с помощью общего ключа см. в разделе Авторизация с помощью общего ключа.
Подписанные URL-адреса: Подписанные URL-адреса (SAS) делегирует доступ к определенному ресурсу в вашей учетной записи с указанными разрешениями и в течение указанного интервала времени. Дополнительные сведения о SAS см. в статье Делегирование доступа с помощью подписанного URL-адреса.
Анонимный доступ к контейнерам и BLOB-объектам: При необходимости ресурсы BLOB-объектов можно сделать общедоступными на уровне контейнера или большого двоичного объекта. Общедоступный контейнер или BLOB-объект дает любому пользователю анонимный доступ на чтение. Для запросов на чтение к общедоступным контейнерам и BLOB-объектам не требуется авторизация. Дополнительные сведения см. в статье Включение общедоступного доступа на чтение для контейнеров и BLOB-объектов в хранилище BLOB-объектов Azure.
Совет
Проверка подлинности и авторизация доступа к blob-объектам, файлам, очередям и табличным данным с помощью Microsoft Entra ID обеспечивает более высокий уровень безопасности и простоту использования по сравнению с другими вариантами авторизации. Например, используя Microsoft Entra ID, вы избегаете необходимости хранить ключ доступа учетной записи в коде, как и при авторизации с общим ключом. Хотя вы можете продолжать использовать авторизацию с общим ключом с большими двоичными объектами и приложениями очередей, корпорация Майкрософт рекомендует по возможности перейти на Microsoft Entra ID.
Аналогичным образом вы можете продолжать использовать подписанные URL-адреса (SAS) для предоставления точного доступа к ресурсам в учетной записи хранения, но Microsoft Entra ID предлагает аналогичные возможности без необходимости управлять маркерами SAS или беспокоиться об отзыве скомпрометированного SAS.
Дополнительные сведения об интеграции Microsoft Entra ID в службе хранилища Azure см. в статье Авторизация доступа к BLOB-объектам и очередям Azure с помощью Microsoft Entra ID.