Kör PowerShell-kommandon med Microsoft Entra-autentiseringsuppgifter för att komma åt ködata
Azure Storage tillhandahåller tillägg för PowerShell som gör att du kan logga in och köra skriptkommandon med Microsoft Entra-autentiseringsuppgifter. När du loggar in på PowerShell med Microsoft Entra-autentiseringsuppgifter returneras en OAuth 2.0-åtkomsttoken. Denna token används automatiskt av PowerShell för att auktorisera efterföljande dataåtgärder mot Queue Storage. För åtgärder som stöds behöver du inte längre skicka en kontonyckel eller SAS-token med kommandot .
Du kan tilldela behörigheter för att köa data till ett Microsoft Entra-säkerhetsobjekt via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Mer information om Azure-roller i Azure Storage finns i Hantera åtkomsträttigheter till Azure Storage-data med Azure RBAC.
Åtgärder som stöds
Azure Storage-tilläggen stöds för åtgärder på ködata. Vilka åtgärder du kan anropa beror på vilka behörigheter som beviljats microsoft Entra-säkerhetsobjektet som du loggar in på PowerShell med. Behörigheter till köer tilldelas via Azure RBAC. Om du till exempel har tilldelats rollen Ködataläsare kan du köra skriptkommandon som läser data från en kö. Om du har tilldelats rollen Ködatadeltagare kan du köra skriptkommandon som läser, skriver eller tar bort en kö eller de data som de innehåller.
Mer information om de behörigheter som krävs för varje Azure Storage-åtgärd i en kö finns i Anropa lagringsåtgärder med OAuth-token.
Viktigt!
När ett lagringskonto är låst med ett Azure Resource Manager ReadOnly-lås tillåts inte åtgärden Listnycklar för lagringskontot. Listnycklar är en POST-åtgärd och alla POST-åtgärder förhindras när ett ReadOnly-lås har konfigurerats för kontot. Därför måste användare som inte redan har kontonycklarna använda Microsoft Entra-autentiseringsuppgifter för att komma åt ködata när kontot är låst med ett ReadOnly-lås . I PowerShell tar du med parametern -UseConnectedAccount för att skapa ett AzureStorageContext-objekt med dina Microsoft Entra-autentiseringsuppgifter.
Anropa PowerShell-kommandon med Microsoft Entra-autentiseringsuppgifter
Kommentar
Vi rekommenderar att du använder Azure Az PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång finns i Installera Azure PowerShell. Information om hur du migrerar till Az PowerShell-modulen finns i artikeln om att migrera Azure PowerShell från AzureRM till Az.
Om du vill använda Azure PowerShell för att logga in och köra efterföljande åtgärder mot Azure Storage med Microsoft Entra-autentiseringsuppgifter skapar du en lagringskontext för att referera till lagringskontot och inkluderar parametern -UseConnectedAccount .
I följande exempel visas hur du skapar en kö i ett nytt lagringskonto från Azure PowerShell med dina Microsoft Entra-autentiseringsuppgifter. Kom ihåg att ersätta platshållarvärden i vinkelparenteser med dina egna värden:
Logga in på ditt Azure-konto med kommandot Anslut-AzAccount:
Connect-AzAccountMer information om hur du loggar in på Azure med PowerShell finns i Logga in med Azure PowerShell.
Skapa en Azure-resursgrupp genom att anropa New-AzResourceGroup.
$resourceGroup = "sample-resource-group-ps" $location = "eastus" New-AzResourceGroup -Name $resourceGroup -Location $locationSkapa ett lagringskonto genom att anropa New-AzStorageAccount.
$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup ` -Name "<storage-account>" ` -SkuName Standard_LRS ` -Location $location `Hämta kontexten för lagringskontot som anger det nya lagringskontot genom att anropa New-AzStorageContext. När du agerar på ett lagringskonto kan du referera till kontexten i stället för att upprepade gånger skicka in autentiseringsuppgifterna. Inkludera parametern
-UseConnectedAccountför att anropa efterföljande dataåtgärder med dina Microsoft Entra-autentiseringsuppgifter:$ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccountInnan du skapar kön tilldelar du rollen Lagringsködatadeltagare till dig själv. Även om du är kontoägare behöver du explicit behörighet för att utföra dataåtgärder mot lagringskontot. Mer information om hur du tilldelar Azure-roller finns i Tilldela en Azure-roll för åtkomst till ködata.
Viktigt!
Det kan ta några minuter att sprida Azure-rolltilldelningar.
Skapa en kö genom att anropa New-AzStorageQueue. Eftersom det här anropet använder kontexten som skapades i föregående steg skapas kön med dina Microsoft Entra-autentiseringsuppgifter.
$queueName = "sample-queue" New-AzStorageQueue -Name $queueName -Context $ctx