Välj hur du vill auktorisera åtkomst till blobdata i Azure Portal
När du kommer åt blobdata med hjälp av Azure Portal skickar portalen begäranden till Azure Storage under täcket. En begäran till Azure Storage kan auktoriseras med ditt Microsoft Entra-konto eller med lagringskontots åtkomstnyckel. Portalen visar vilken metod du använder och du kan växla mellan de två om du har rätt behörighet.
Du kan också ange hur du auktoriserar en enskild blobuppladdningsåtgärd i Azure Portal. Som standard använder portalen den metod som du redan använder för att auktorisera en blobuppladdningsåtgärd, men du har möjlighet att ändra den här inställningen när du laddar upp en blob.
Behörigheter som krävs för åtkomst till blobdata
Beroende på hur du vill auktorisera åtkomst till blobdata i Azure Portal behöver du specifika behörigheter. I de flesta fall tillhandahålls dessa behörigheter via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Mer information om Azure RBAC finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.
Använda kontoåtkomstnyckeln
För att få åtkomst till blobdata med kontoåtkomstnyckeln måste du ha en Azure-roll tilldelad till dig som innehåller Azure RBAC-åtgärden Microsoft.Storage/storageAccounts/listkeys/action. Den här Azure-rollen kan vara en inbyggd eller anpassad roll. Inbyggda roller som stöder Microsoft.Storage/storageAccounts/listkeys/action innehåller följande, i ordning från minst till största behörigheter:
- Rollen Läsare och dataåtkomst
- Rollen Lagringskontodeltagare
- Azure Resource Manager rollen Deltagare
- Azure Resource Manager rollen Ägare
När du försöker komma åt blobdata i Azure Portal kontrollerar portalen först om du har tilldelats en roll med Microsoft.Storage/storageAccounts/listkeys/action. Om du har tilldelats en roll med den här åtgärden använder portalen kontonyckeln för åtkomst till blobdata. Om du inte har tilldelats någon roll med den här åtgärden försöker portalen komma åt data med ditt Microsoft Entra-konto.
Viktigt!
När ett lagringskonto är låst med ett Azure Resource Manager ReadOnly-lås tillåts inte åtgärden Listnycklar för lagringskontot. Listnycklar är en POST-åtgärd och alla POST-åtgärder förhindras när ett ReadOnly-lås har konfigurerats för kontot. Därför måste användarna använda Microsoft Entra-autentiseringsuppgifter för att komma åt blobdata i portalen när kontot är låst med ett ReadOnly-lås . Information om hur du kommer åt blobdata i portalen med Microsoft Entra-ID finns i Använda ditt Microsoft Entra-konto.
Kommentar
De klassiska prenumerationsadministratörsrollerna Tjänstadministratör och medadministratör innehåller motsvarigheten till rollen Azure Resource Manager-ägare. Rollen Ägare innehåller alla åtgärder, inklusive Microsoft.Storage/storageAccounts/listkeys/action, så att en användare med någon av dessa administrativa roller också kan komma åt blobdata med kontonyckeln. Mer information finns i Azure-roller , Microsoft Entra-roller och klassiska prenumerationsadministratörsroller.
Använda ditt Microsoft Entra-konto
Om du vill komma åt blobdata från Azure Portal med ditt Microsoft Entra-konto måste båda följande instruktioner vara sanna för dig:
- Du tilldelas antingen en inbyggd eller anpassad roll som ger åtkomst till blobdata.
- Du tilldelas rollen Azure Resource Manager-läsare, som minst, begränsad till lagringskontots nivå eller högre. Rollen Läsare beviljar den mest restriktiva behörigheten, men en annan Azure Resource Manager-roll som ger åtkomst till resurser för hantering av lagringskonton kan också användas.
Rollen Azure Resource Manager-läsare tillåter användare att visa lagringskontoresurser, men inte ändra dem. Den ger inte läsbehörighet till data i Azure Storage, utan endast till kontohanteringsresurser. Rollen Läsare är nödvändig så att användarna kan navigera till blobcontainrar i Azure Portal.
Information om inbyggda roller som stöder åtkomst till blobdata finns i Auktorisera åtkomst till blobar med hjälp av Microsoft Entra-ID.
Anpassade roller kan stödja olika kombinationer av samma behörigheter som tillhandahålls av de inbyggda rollerna. Mer information om hur du skapar anpassade Azure-roller finns i Anpassade Azure-roller och Förstå rolldefinitioner för Azure-resurser.
Navigera till blobar i Azure Portal
Om du vill visa blobdata i portalen går du till Översikt för ditt lagringskonto och väljer på länkarna för blobar. Du kan också gå till avsnittet Containrar på menyn.
Fastställa den aktuella autentiseringsmetoden
När du navigerar till en container anger Azure Portal om du för närvarande använder kontoåtkomstnyckeln eller ditt Microsoft Entra-konto för att autentisera.
Autentisera med kontoåtkomstnyckeln
Om du autentiserar med kontoåtkomstnyckeln visas åtkomstnyckeln som anges som autentiseringsmetod i portalen:
Om du vill växla till att använda Microsoft Entra-konto väljer du länken som är markerad i bilden. Om du har rätt behörigheter via de Azure-roller som har tilldelats dig kan du fortsätta. Men om du saknar rätt behörigheter visas ett felmeddelande som liknar följande:
Observera att inga blobar visas i listan om ditt Microsoft Entra-konto saknar behörighet att visa dem. Välj länken Växla till åtkomstnyckel för att använda åtkomstnyckeln för autentisering igen.
Autentisera med ditt Microsoft Entra-konto
Om du autentiserar med ditt Microsoft Entra-konto visas Microsoft Entra-användarkontot som anges som autentiseringsmetod i portalen:
Om du vill växla till att använda kontoåtkomstnyckeln väljer du länken som är markerad i bilden. Om du har åtkomst till kontonyckeln kan du fortsätta. Men om du saknar åtkomst till kontonyckeln visas ett felmeddelande som liknar följande:
Observera att inga blobar visas i listan om du inte har åtkomst till kontonycklarna. Välj länken Växla till Microsoft Entra-användarkonto för att använda ditt Microsoft Entra-konto för autentisering igen.
Ange hur du auktoriserar en blobuppladdningsåtgärd
När du laddar upp en blob från Azure Portal kan du ange om du vill autentisera och auktorisera åtgärden med kontoåtkomstnyckeln eller med dina Microsoft Entra-autentiseringsuppgifter. Som standard använder portalen den aktuella autentiseringsmetoden, som du ser i Fastställa den aktuella autentiseringsmetoden.
Följ dessa steg för att ange hur du auktoriserar en blobuppladdningsåtgärd:
I Azure Portal navigerar du till containern där du vill ladda upp en blob.
Välj knappen Ladda upp.
Expandera avsnittet Avancerat för att visa avancerade egenskaper för bloben.
I fältet Autentiseringstyp anger du om du vill auktorisera uppladdningsåtgärden med ditt Microsoft Entra-konto eller med kontoåtkomstnyckeln, enligt följande bild:
Standard för Microsoft Entra-auktorisering i Azure Portal
När du skapar ett nytt lagringskonto kan du ange att Azure Portal som standard auktorisering med Microsoft Entra-ID när en användare navigerar till blobdata. Du kan också konfigurera den här inställningen för ett befintligt lagringskonto. Den här inställningen anger endast standardauktoriseringsmetoden, så tänk på att en användare kan åsidosätta den här inställningen och välja att auktorisera dataåtkomst med kontonyckeln.
Så här anger du att portalen ska använda Microsoft Entra-auktorisering som standard för dataåtkomst när du skapar ett lagringskonto:
Skapa ett nytt lagringskonto enligt anvisningarna i Skapa ett lagringskonto.
På fliken Avancerat går du till avsnittet Säkerhet och markerar kryssrutan bredvid Standard för Microsoft Entra-auktorisering i Azure Portal.
Välj knappen Granska + skapa för att köra verifieringen och skapa kontot.
Följ dessa steg för att uppdatera den här inställningen för ett befintligt lagringskonto:
Gå till kontoöversikten i Azure Portal.
Under Inställningar väljer du Konfiguration.
Ange Standard för Microsoft Entra-auktorisering i Azure Portal till Aktiverad.
Egenskapen defaultToOAuthAuthentication för ett lagringskonto anges inte som standard och returnerar inte ett värde förrän du uttryckligen anger det.