Ge åtkomst till data i Azure Storage
Varje gång du kommer åt data i ditt lagringskonto skickar klientprogrammet en begäran via HTTP/HTTPS till Azure Storage. Som standard skyddas varje resurs i Azure Storage och varje begäran till en säker resurs måste godkännas. Auktorisering säkerställer att klientprogrammet har rätt behörighet att komma åt en viss resurs i ditt lagringskonto.
Förstå auktorisering för dataåtgärder
I följande tabell beskrivs de alternativ som Azure Storage erbjuder för att auktorisera åtkomst till data:
| Azure-artefakt | Delad nyckel (lagringskontonyckel) | Signatur för delad åtkomst (SAS) | Microsoft Entra ID | Lokala Active Directory-domän-tjänster | anonym läsåtkomst | Lokala lagringsanvändare |
|---|---|---|---|---|---|---|
| Azure-blobar | Stöds | Stöds | Stöds | Stöds inte | Stöds men rekommenderas inte | Stöds endast för SFTP |
| Azure Files (SMB) | Stöds | Stöds inte | Stöds endast med Microsoft Entra Domain Services för enbart molnet eller Microsoft Entra Kerberos för hybrididentiteter | Autentiseringsuppgifter måste synkroniseras med Microsoft Entra-ID som stöds | Stöds inte | Stöds inte |
| Azure Files (REST) | Stöds | Stöds | Stöds | Stöds inte | Stöds inte | Stöds inte |
| Azure Queues | Stöds | Stöds | Stöds | Stöds inte | Stöds inte | Stöds inte |
| Azure-tabeller | Stöds | Stöds | Stöds | Stöds inte | Stöds inte | Stöds inte |
Varje auktoriseringsalternativ beskrivs kortfattat nedan:
Auktorisering av delad nyckel för blobar, filer, köer och tabeller. En klient som använder delad nyckel skickar ett huvud med varje begäran som är signerad med åtkomstnyckeln för lagringskontot. Mer information finns i Auktorisera med delad nyckel.
Microsoft rekommenderar att du inte tillåter auktorisering av delad nyckel för ditt lagringskonto. När auktorisering av delad nyckel inte tillåts måste klienter använda Microsoft Entra-ID eller en SAS för användardelegering för att auktorisera begäranden om data i lagringskontot. Mer information finns i Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.
Signaturer för delad åtkomst för blobar, filer, köer och tabeller. Signaturer för delad åtkomst (SAS) ger begränsad delegerad åtkomst till resurser i ett lagringskonto via en signerad URL. Den signerade URL:en anger de behörigheter som beviljats resursen och det intervall under vilket signaturen är giltig. En SAS-tjänst eller konto-SAS signeras med kontonyckeln, medan SAS för användardelegering är signerad med Microsoft Entra-autentiseringsuppgifter och gäller endast för blobar. Mer information finns i Använda signaturer för delad åtkomst (SAS).
Microsoft Entra-integrering för att auktorisera begäranden till blob-, kö- och tabellresurser. Microsoft rekommenderar att du använder Microsoft Entra-autentiseringsuppgifter för att auktorisera begäranden till data när det är möjligt för optimal säkerhet och användarvänlighet. Mer information om Microsoft Entra-integrering finns i artiklarna för blob-, kö- eller tabellresurser.
Du kan använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera säkerhetsobjektets behörigheter för blob-, kö- och tabellresurser i ett lagringskonto. Du kan också använda Azure-attributbaserad åtkomstkontroll (ABAC) för att lägga till villkor i Azure-rolltilldelningar för blobresurser.
Mer information om RBAC finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?.
Mer information om ABAC och dess funktionsstatus finns i:
Vad är azure-attributbaserad åtkomstkontroll (Azure ABAC)?
Microsoft Entra Domain Services-autentisering för Azure Files. Azure Files stöder identitetsbaserad auktorisering via SMB (Server Message Block) via Microsoft Entra Domain Services. Du kan använda Azure RBAC för detaljerad kontroll över en klients åtkomst till Azure Files-resurser i ett lagringskonto. Mer information om Azure Files-autentisering med hjälp av domäntjänster finns i översikten.
Lokal Active Directory-domän Services-autentisering (AD DS eller lokal AD DS) för Azure Files. Azure Files stöder identitetsbaserad auktorisering via SMB via AD DS. Din AD DS-miljö kan finnas på lokala datorer eller på virtuella Azure-datorer. SMB-åtkomst till Filer stöds med hjälp av AD DS-autentiseringsuppgifter från domänanslutna datorer, antingen lokalt eller i Azure. Du kan använda en kombination av Azure RBAC för åtkomstkontroll på resursnivå och NTFS-DACL:er för åtkomstkontroll på katalog-/filnivå. Mer information om Azure Files-autentisering med hjälp av domäntjänster finns i översikten.
anonym läsåtkomst för blobdata stöds, men rekommenderas inte. När anonym åtkomst har konfigurerats kan klienter läsa blobdata utan auktorisering. Vi rekommenderar att du inaktiverar anonym åtkomst för alla dina lagringskonton. Mer information finns i Översikt: Åtgärda anonym läsåtkomst för blobdata.
Lokala lagringsanvändare kan användas för att komma åt blobar med SFTP eller filer med SMB. Lokala lagringsanvändare stöder behörigheter på containernivå för auktorisering. Mer information om hur lokala lagringsanvändare kan användas med SFTP finns i Anslut till Azure Blob Storage med SSH File Transfer Protocol (SFTP).
Skydda dina åtkomstnycklar
Åtkomstnycklar för lagringskonto ger fullständig åtkomst till konfigurationen av ett lagringskonto samt data. Var alltid noga med att skydda dina åtkomstnycklar. Använd Azure Key Vault för att hantera och rotera dina nycklar på ett säkert sätt. Åtkomst till den delade nyckeln ger en användare fullständig åtkomst till ett lagringskontos konfiguration och dess data. Åtkomsten till delade nycklar bör begränsas noggrant och övervakas. Använd SAS-token med begränsad åtkomstomfång i scenarier där Microsoft Entra ID-baserad auktorisering inte kan användas. Undvik hårdkodade åtkomstnycklar eller spara dem var som helst i oformaterad text som är tillgänglig för andra. Rotera dina nycklar om du tror att de har komprometterats.
Viktigt!
Microsoft rekommenderar att du använder Microsoft Entra-ID för att auktorisera begäranden mot blob-, kö- och tabelldata om möjligt, i stället för att använda kontonycklarna (auktorisering av delad nyckel). Auktorisering med Microsoft Entra ID ger överlägsen säkerhet och enkel användning via auktorisering av delad nyckel. Mer information om hur du använder Microsoft Entra-auktorisering från dina program finns i Autentisera .NET-program med Azure-tjänster. För SMB Azure-filresurser rekommenderar Microsoft att du använder ad DS-integrering (lokal Active Directory Domain Services) eller Microsoft Entra Kerberos-autentisering.
Om du vill hindra användare från att komma åt data i ditt lagringskonto med delad nyckel kan du inte tillåta auktorisering av delad nyckel för lagringskontot. Detaljerad åtkomst till data med minsta möjliga behörighet rekommenderas som bästa praxis för säkerhet. Microsoft Entra ID-baserad auktorisering bör användas för scenarier som stöder OAuth. Kerberos eller SMTP ska användas för Azure Files via SMB. För Azure Files via REST kan SAS-token användas. Åtkomst med delad nyckel ska inaktiveras om det inte krävs för att förhindra oavsiktlig användning. Mer information finns i Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.
För att skydda ett Azure Storage-konto med principer för villkorsstyrd åtkomst i Microsoft Entra måste du inte tillåta auktorisering av delad nyckel för lagringskontot.
Om du har inaktiverat åtkomst till delad nyckel och du ser auktorisering av delad nyckel rapporterad i diagnostikloggarna anger detta att betrodd åtkomst används för att komma åt lagring. Mer information finns i Betrodd åtkomst för resurser som registrerats i din prenumeration.
Nästa steg
- Auktorisera åtkomst med Microsoft Entra-ID till antingen blob-, kö- eller tabellresurser .
- Auktorisera med delad nyckel
- Grant limited access to Azure Storage resources using shared access signatures (SAS) (Bevilja begränsad åtkomst till Azure Storage-resurser med hjälp av signaturer för delad åtkomst (SAS))