Auktorisera begäranden till Azure Storage
Varje begäran som görs mot en skyddad resurs i blob-, fil-, kö- eller tabelltjänsten måste auktoriseras. Auktorisering säkerställer att resurser i ditt lagringskonto endast är tillgängliga när du vill att de ska vara det, och endast för de användare eller program som du beviljar åtkomst till.
Viktigt
För optimal säkerhet rekommenderar Microsoft att du använder Microsoft Entra ID med hanterade identiteter för att auktorisera begäranden mot blob-, kö- och tabelldata när det är möjligt. Auktorisering med Microsoft Entra ID och hanterade identiteter ger överlägsen säkerhet och enkel användning över auktorisering av delad nyckel. Mer information finns i Auktorisera med Microsoft Entra ID. Mer information om hanterade identiteter finns i Vad är hanterade identiteter för Azure-resurser?
För resurser som finns utanför Azure, till exempel lokala program, kan du använda hanterade identiteter via Azure Arc. Appar som körs på Azure Arc-aktiverade servrar kan till exempel använda hanterade identiteter för att ansluta till Azure-tjänster. Mer information finns i Autentisera mot Azure-resurser med Azure Arc-aktiverade servrar.
För scenarier där signaturer för delad åtkomst (SAS) används rekommenderar Microsoft att du använder en SAS för användardelegering. En SAS för användardelegering skyddas med Microsoft Entra autentiseringsuppgifter i stället för kontonyckeln. Mer information om signaturer för delad åtkomst finns i Skapa en SAS för användardelegering.
I följande tabell beskrivs de alternativ som Azure Storage erbjuder för att auktorisera åtkomst till resurser:
| Azure-artefakt | Delad nyckel (lagringskontonyckel) | Signatur för delad åtkomst (SAS) | Microsoft Entra ID | Lokal Active Directory Domain Services | Anonym offentlig läsåtkomst |
|---|---|---|---|---|---|
| Azure-blobar | Stöds | Stöds | Stöds | Stöds inte | Stöds |
| Azure Files (SMB) | Stöds | Stöds inte | Stöds med Microsoft Entra Domain Services eller Microsoft Entra Kerberos | Autentiseringsuppgifterna måste synkroniseras till Microsoft Entra ID | Stöds inte |
| Azure Files (REST) | Stöds | Stöds | Stöds | Stöds inte | Stöds inte |
| Azure Queues | Stöds | Stöds | Stöds | Stöds inte | Stöds inte |
| Azure-tabeller | Stöds | Stöds | Stöds | Stöds inte | Stöds inte |
Varje auktoriseringsalternativ beskrivs kortfattat nedan:
Microsoft Entra ID:Microsoft Entra är Microsofts molnbaserade tjänst för identitets- och åtkomsthantering. Microsoft Entra ID integrering är tillgänglig för blob-, fil-, kö- och tabelltjänsterna. Med Microsoft Entra ID kan du tilldela detaljerad åtkomst till användare, grupper eller program via rollbaserad åtkomstkontroll (RBAC). Information om Microsoft Entra ID integrering med Azure Storage finns i Auktorisera med Microsoft Entra ID.
Microsoft Entra Domain Services auktorisering för Azure Files. Azure Files stöder identitetsbaserad auktorisering över SMB (Server Message Block) via Microsoft Entra Domain Services. Du kan använda RBAC för detaljerad kontroll över en klients åtkomst till Azure Files resurser i ett lagringskonto. Mer information om Azure Files autentisering med domäntjänster finns i Azure Files identitetsbaserad auktorisering.
Active Directory-auktorisering (AD) för Azure Files. Azure Files stöder identitetsbaserad auktorisering över SMB via AD. Din AD-domäntjänst kan finnas på lokala datorer eller på virtuella Azure-datorer. SMB-åtkomst till filer stöds med AD-autentiseringsuppgifter från domänanslutna datorer, antingen lokalt eller i Azure. Du kan använda RBAC för åtkomstkontroll på resursnivå och NTFS-DACL:er för åtkomstkontroll på katalog- och filnivå. Mer information om Azure Files autentisering med domäntjänster finns i Azure Files identitetsbaserad auktorisering.
Delad nyckel: Auktorisering av delad nyckel förlitar sig på dina kontoåtkomstnycklar och andra parametrar för att skapa en krypterad signatursträng som skickas på begäran i auktoriseringshuvudet . Mer information om auktorisering av delad nyckel finns i Auktorisera med delad nyckel.
Signaturer för delad åtkomst: SAS (Signaturer för delad åtkomst) delegerar åtkomst till en viss resurs i ditt konto med angivna behörigheter och under ett angivet tidsintervall. Mer information om SAS finns i Delegera åtkomst med en signatur för delad åtkomst.
Anonym åtkomst till containrar och blobar: Du kan också göra blobresurser offentliga på container- eller blobnivå. En offentlig container eller blob är tillgänglig för alla användare för anonym läsåtkomst. Läsbegäranden till offentliga containrar och blobar kräver inte auktorisering. Mer information finns i Aktivera offentlig läsåtkomst för containrar och blobar i Azure Blob Storage.
Tips
Att autentisera och auktorisera åtkomst till blob-, fil-, kö- och tabelldata med Microsoft Entra ID ger överlägsen säkerhet och användarvänlighet jämfört med andra auktoriseringsalternativ. Genom att till exempel använda Microsoft Entra ID undviker du att behöva lagra din kontoåtkomstnyckel med din kod, precis som med auktorisering av delad nyckel. Du kan fortsätta att använda auktorisering av delad nyckel med dina blob- och köprogram, men Microsoft rekommenderar att du flyttar till Microsoft Entra ID där det är möjligt.
På samma sätt kan du fortsätta att använda signaturer för delad åtkomst (SAS) för att ge detaljerad åtkomst till resurser i ditt lagringskonto, men Microsoft Entra ID erbjuder liknande funktioner utan att behöva hantera SAS-token eller oroa dig för att återkalla en komprometterad SAS.
Mer information om Microsoft Entra ID integrering i Azure Storage finns i Auktorisera åtkomst till Azure-blobbar och -köer med hjälp av Microsoft Entra ID.