Azure Depolama’daki verilere erişimi yetkilendirme
Depolama hesabınızdaki verilere her erişişinizde, istemci uygulamanız Azure Depolama'a HTTP/HTTPS üzerinden bir istekte bulunur. Varsayılan olarak, Azure Depolama'daki her kaynağın güvenliği sağlanır ve güvenli bir kaynağa yapılan her istek yetkilendirilmelidir. Yetkilendirme, istemci uygulamasının depolama hesabınızdaki belirli bir kaynağa erişmek için uygun izinlere sahip olmasını sağlar.
Veri işlemleri için yetkilendirmeyi anlama
Aşağıdaki tabloda Azure Depolama'ın verilere erişim yetkisi vermek için sunduğu seçenekler açıklanmaktadır:
| Azure yapıtı | Paylaşılan Anahtar (depolama hesabı anahtarı) | Paylaşılan erişim imzası (SAS) | Microsoft Entra Kimliği | Şirket içi Active Directory Etki Alanı Hizmetleri | anonim okuma erişimi | Yerel Kullanıcıları Depolama |
|---|---|---|---|---|---|---|
| Azure Blobları | Destekleniyor | Destekleniyor | Destekleniyor | Desteklenmez | Desteklenir ancak önerilmez | Yalnızca SFTP için desteklenir |
| Azure Dosyalar (SMB) | Destekleniyor | Desteklenmez | Yalnızca bulut için Microsoft Entra Domain Services veya karma kimlikler için Microsoft Entra Kerberos ile desteklenir | Desteklenir, kimlik bilgileri Microsoft Entra Id ile eşitlenmelidir | Desteklenmez | Desteklenmez |
| Azure Dosyalar (REST) | Destekleniyor | Destekleniyor | Destekleniyor | Desteklenmez | Desteklenmez | Desteklenmez |
| Azure Kuyrukları | Destekleniyor | Destekleniyor | Destekleniyor | Desteklenmiyor | Desteklenmez | Desteklenmez |
| Azure Tabloları | Destekleniyor | Destekleniyor | Destekleniyor | Desteklenmez | Desteklenmez | Desteklenmez |
Her yetkilendirme seçeneği aşağıda kısaca açıklanmıştır:
Bloblar, dosyalar, kuyruklar ve tablolar için Paylaşılan Anahtar yetkilendirmesi . Paylaşılan Anahtar kullanan bir istemci, depolama hesabı erişim anahtarı kullanılarak imzalanan her istekle birlikte bir üst bilgi geçirir. Daha fazla bilgi için bkz . Paylaşılan Anahtarla Yetkilendirme.
Microsoft, depolama hesabınız için Paylaşılan Anahtar yetkilendirmesini reddetmenizi önerir. Paylaşılan Anahtar yetkilendirmesine izin verilmediğinde, istemcilerin söz konusu depolama hesabındaki veri isteklerini yetkilendirmek için Microsoft Entra Id veya kullanıcı temsilcisi SAS kullanması gerekir. Daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.
Bloblar , dosyalar, kuyruklar ve tablolar için paylaşılan erişim imzaları. Paylaşılan erişim imzaları (SAS), imzalı bir URL aracılığıyla depolama hesabındaki kaynaklara sınırlı temsilci erişimi sağlar. İmzalı URL, kaynağa verilen izinleri ve imzanın geçerli olduğu aralığı belirtir. Hizmet SAS'sı veya hesap SAS'i hesap anahtarıyla imzalanırken, kullanıcı temsilcisi SAS'ı Microsoft Entra kimlik bilgileriyle imzalanır ve yalnızca bloblar için geçerlidir. Daha fazla bilgi için bkz . Paylaşılan erişim imzalarını (SAS) kullanma.
Blob, kuyruk ve tablo kaynaklarına yönelik istekleri yetkilendirmek için Microsoft Entra tümleştirmesi . Microsoft, en iyi güvenlik ve kullanım kolaylığı için mümkün olduğunda verilere yönelik istekleri yetkilendirmek için Microsoft Entra kimlik bilgilerinin kullanılmasını önerir. Microsoft Entra tümleştirmesi hakkında daha fazla bilgi için blob, kuyruk veya tablo kaynaklarıyla ilgili makalelere bakın.
Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak depolama hesabındaki bir güvenlik sorumlusuna blob, kuyruk ve tablo kaynakları izinlerini yönetebilirsiniz. Blob kaynakları için Azure rol atamalarına koşullar eklemek için Azure öznitelik tabanlı erişim denetimini (ABAC) de kullanabilirsiniz.
RBAC hakkında daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?.
ABAC ve özellik durumu hakkında daha fazla bilgi için bkz:
Azure öznitelik tabanlı erişim denetimi (Azure ABAC) nedir?
Azure Dosyalar için Microsoft Entra Domain Services kimlik doğrulaması. Azure Dosyalar, Microsoft Entra Domain Services aracılığıyla Sunucu İleti Bloğu (SMB) üzerinden kimlik tabanlı yetkilendirmeyi destekler. İstemcinin depolama hesabındaki Azure Dosyalar kaynaklarına erişimi üzerinde ayrıntılı denetim için Azure RBAC kullanabilirsiniz. Etki alanı hizmetlerini kullanarak Azure Dosyalar kimlik doğrulaması hakkında daha fazla bilgi için genel bakışa bakın.
Azure Dosyalar için şirket içi Active Directory Etki Alanı Hizmetleri (AD DS veya şirket içi AD DS) kimlik doğrulaması. Azure Dosyalar AD DS aracılığıyla SMB üzerinden kimlik tabanlı yetkilendirmeyi destekler. AD DS ortamınız şirket içi makinelerde veya Azure VM'lerinde barındırılabilir. Dosyalara SMB erişimi, şirket içinde veya Azure'da etki alanına katılmış makinelerden AD DS kimlik bilgileri kullanılarak desteklenir. Paylaşım düzeyi erişim denetimi için Azure RBAC ve dizin/dosya düzeyi izin zorlaması için NTFS DACL'lerinin birleşimini kullanabilirsiniz. Etki alanı hizmetlerini kullanarak Azure Dosyalar kimlik doğrulaması hakkında daha fazla bilgi için genel bakışa bakın.
blob verileri için anonim okuma erişimi desteklenir, ancak önerilmez. Anonim erişim yapılandırıldığında, istemciler yetkilendirme olmadan blob verilerini okuyabilir. Tüm depolama hesaplarınız için anonim erişimi devre dışı bırakmanızı öneririz. Daha fazla bilgi için bkz . Genel Bakış: Blob verileri için anonim okuma erişimini düzeltme.
Depolama Yerel Kullanıcılar, SFTP ile bloblara veya SMB ile dosyalara erişmek için kullanılabilir. Depolama Yerel Kullanıcılar yetkilendirme için kapsayıcı düzeyi izinlerini destekler. Depolama Yerel Kullanıcıların SFTP ile nasıl kullanılabildiği hakkında daha fazla bilgi için bkz. SSH Dosya Aktarım Protokolü(SFTP) kullanarak Azure Blob Depolama Bağlan.
Erişim anahtarlarınızı koruma
Depolama hesap erişim anahtarları hem depolama hesabının yapılandırmasına hem de verilere tam erişim sağlar. Erişim anahtarlarınızı korumak için her zaman dikkatli olun. Anahtarlarınızı güvenli bir şekilde yönetmek ve döndürmek için Azure Key Vault'ı kullanın. Paylaşılan anahtara erişim, kullanıcıya depolama hesabının yapılandırmasına ve verilerine tam erişim verir. Paylaşılan anahtarlara erişim dikkatle sınırlanmalı ve izlenmelidir. Microsoft Entra ID tabanlı yetkilendirmenin kullanılamadığı senaryolarda sınırlı erişim kapsamına sahip SAS belirteçleri kullanın. Erişim anahtarlarını sabit kodlamaktan veya başkalarının erişebileceği herhangi bir yerde düz metin olarak kaydetmekten kaçının. Ele geçirilmiş olabileceklerini düşünüyorsanız anahtarlarınızı döndürün.
Önemli
Microsoft, hesap anahtarlarını (Paylaşılan Anahtar yetkilendirmesi) kullanmak yerine mümkünse blob, kuyruk ve tablo verilerine karşı istekleri yetkilendirmek için Microsoft Entra Id kullanılmasını önerir. Microsoft Entra Id ile yetkilendirme, Paylaşılan Anahtar yetkilendirmesi yerine üstün güvenlik ve kullanım kolaylığı sağlar. Uygulamalarınızdan Microsoft Entra yetkilendirmesini kullanma hakkında daha fazla bilgi için bkz . Azure hizmetleriyle .NET uygulamalarının kimliğini doğrulama. SMB Azure dosya paylaşımları için Microsoft, şirket içi Active Directory Domain Services (AD DS) tümleştirmesi veya Microsoft Entra Kerberos kimlik doğrulaması kullanılmasını önerir.
Kullanıcıların Paylaşılan Anahtar ile depolama hesabınızdaki verilere erişmesini önlemek için, depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin verilmiyebilirsiniz. En düşük ayrıcalıklara sahip verilere ayrıntılı erişim, en iyi güvenlik uygulaması olarak önerilir. OAuth'u destekleyen senaryolar için Microsoft Entra Id tabanlı yetkilendirme kullanılmalıdır. SMB üzerinden Azure Dosyalar için Kerberos veya SMTP kullanılmalıdır. REST üzerinden Azure Dosyalar için SAS belirteçleri kullanılabilir. Yanlışlıkla kullanılmasını önlemek için gerekli değilse paylaşılan anahtar erişimi devre dışı bırakılmalıdır. Daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.
Azure Depolama hesabını Microsoft Entra Koşullu Erişim ilkeleriyle korumak için, depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin vermemelisiniz.
Paylaşılan anahtar erişimini devre dışı bırakmışsanız ve tanılama günlüklerinde Paylaşılan Anahtar yetkilendirmesinin bildirildiğini görüyorsanız, bu, depolama alanına erişmek için güvenilen erişimin kullanıldığını gösterir. Diğer ayrıntılar için bkz . Aboneliğinizde kayıtlı kaynaklar için güvenilir erişim.
Sonraki adımlar
- Blob, kuyruk veya tablo kaynaklarına Microsoft Entra Kimliği ile erişim yetkisi verin.
- Paylaşılan Anahtar ile yetkilendirme
- Paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim izni verme