Konfigurera åtkomstkontroll för lagringskonton
Begäranden om en skyddad resurs i blob-, fil-, kö- eller tabelltjänsten måste vara auktoriserade. Auktorisering säkerställer att resurser i ditt lagringskonto endast är tillgängliga när du vill att de ska vara det, och endast för de användare eller program som du beviljar åtkomst till.
I följande tabell beskrivs de alternativ som Azure Storage erbjuder för att auktorisera åtkomst till resurser:
| Azure-artefakt | Delad nyckel (lagringskontonyckel) | Signatur för delad åtkomst (SAS) | Microsoft Entra ID | Lokala Active Directory-domän-tjänster | Anonym offentlig läsåtkomst |
|---|---|---|---|---|---|
| Azure-blobar | Stöds | Stöds | Stöds | Stöds inte | Stöds |
| Azure Files (SMB) | Stöds | Stöds inte | Stöds med Microsoft Entra Domain Services eller Microsoft Entra Kerberos | Autentiseringsuppgifter måste synkroniseras med Microsoft Entra-ID som stöds | Stöds inte |
| Azure Files (REST) | Stöds | Stöds | Stöds | Stöds inte | Stöds inte |
| Azure Queues | Stöds | Stöds | Stöds | Stöds inte | Stöds inte |
| Azure-tabeller | Stöds | Stöds | Stöds | Stöds inte | Stöds inte |
Varje auktoriseringsalternativ beskrivs kortfattat nedan:
- Microsoft Entra-ID: Microsoft Entra är Microsofts molnbaserade tjänst för identitets- och åtkomsthantering. Microsoft Entra ID-integrering är tillgänglig för blob-, fil-, kö- och tabelltjänsterna. Med Microsoft Entra-ID kan du tilldela detaljerad åtkomst till användare, grupper eller program via rollbaserad åtkomstkontroll (RBAC).
- Microsoft Entra Domain Services-auktorisering för Azure Files. Azure Files stöder identitetsbaserad auktorisering via SMB (Server Message Block) via Microsoft Entra Domain Services. Du kan använda RBAC för detaljerad kontroll över en klients åtkomst till Azure Files-resurser i ett lagringskonto.
- Active Directory-auktorisering (AD) för Azure Files. Azure Files stöder identitetsbaserad auktorisering via SMB via AD. Din AD-domäntjänst kan finnas på lokala datorer eller på virtuella Azure-datorer. SMB-åtkomst till Filer stöds med hjälp av AD-autentiseringsuppgifter från domänanslutna datorer, antingen lokalt eller i Azure. Du kan använda RBAC för åtkomstkontroll på resursnivå och NTFS-DACL:er för åtkomstkontroll på katalog- och filnivå.
- Delad nyckel: Auktorisering av delad nyckel förlitar sig på dina kontoåtkomstnycklar och andra parametrar för att skapa en krypterad signatursträng som skickas på begäran i auktoriseringshuvudet.
- Signaturer för delad åtkomst: SAS-signaturer delegerar åtkomst till en viss resurs i ditt konto med angivna behörigheter och under ett angivet tidsintervall.
- Anonym åtkomst till containrar och blobar: Du kan också göra blobresurser offentliga på container- eller blobnivå. En offentlig container eller blob är tillgänglig för alla användare för anonym läsåtkomst. Läsbegäranden till offentliga containrar och blobar kräver inte auktorisering.
Att autentisera och auktorisera åtkomst till blob-, fil-, kö- och tabelldata med Microsoft Entra-ID ger överlägsen säkerhet och användarvänlighet jämfört med andra auktoriseringsalternativ. Genom att till exempel använda Microsoft Entra-ID undviker du att behöva lagra din kontoåtkomstnyckel med din kod, som du gör med auktorisering av delad nyckel. Även om du kan fortsätta att använda auktorisering av delad nyckel med dina blob- och köprogram rekommenderar Microsoft att du flyttar till Microsoft Entra-ID där det är möjligt.
På samma sätt kan du fortsätta att använda signaturer för delad åtkomst (SAS) för att ge detaljerad åtkomst till resurser i ditt lagringskonto, men Microsoft Entra ID erbjuder liknande funktioner utan att behöva hantera SAS-token eller oroa dig för att återkalla en komprometterad SAS.