Azure Depolama'ya yönelik istekleri yetkilendirme
Blob, Dosya, Kuyruk veya Tablo hizmetindeki güvenli bir kaynağa yönelik yapılan her istek yetkilendirilmelidir. Yetkilendirme, depolama hesabınızdaki kaynakların yalnızca siz istediğiniz zaman ve yalnızca erişim sağladığınız kullanıcılar veya uygulamalar için erişilebilir olmasını sağlar.
Önemli
En iyi güvenlik için Microsoft mümkün olduğunca blob, kuyruk ve tablo verilerine karşı istekleri yetkilendirmek için yönetilen kimliklerle Microsoft Entra ID kullanılmasını önerir. Microsoft Entra ID ve yönetilen kimliklerle yetkilendirme, Paylaşılan Anahtar yetkilendirmesi yerine üstün güvenlik ve kullanım kolaylığı sağlar. Daha fazla bilgi edinmek için bkz. Microsoft Entra ID ile yetkilendirme. Yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz. Azure kaynakları için yönetilen kimlikler nedir?
Şirket içi uygulamalar gibi Azure dışında barındırılan kaynaklar için Azure Arc aracılığıyla yönetilen kimlikleri kullanabilirsiniz. Örneğin, Azure Arc özellikli sunucularda çalışan uygulamalar Azure hizmetlerine bağlanmak için yönetilen kimlikleri kullanabilir. Daha fazla bilgi edinmek için bkz. Azure Arc özellikli sunucularla Azure kaynaklarında kimlik doğrulaması.
Paylaşılan erişim imzalarının (SAS) kullanıldığı senaryolar için Microsoft, kullanıcı temsilcisi SAS kullanılmasını önerir. Kullanıcı temsilcisi SAS'sinin güvenliği hesap anahtarı yerine Microsoft Entra kimlik bilgileriyle sağlanır. Paylaşılan erişim imzaları hakkında bilgi edinmek için bkz. Kullanıcı temsilcisi SAS İçerik Oluşturucu.
Aşağıdaki tabloda Azure Depolama'nın kaynaklara erişim yetkisi vermek için sunduğu seçenekler açıklanmaktadır:
| Azure yapıtı | Paylaşılan Anahtar (depolama hesabı anahtarı) | Paylaşılan erişim imzası (SAS) | Microsoft Entra Kimlik | Şirket içi Active Directory Domain Services | Anonim genel okuma erişimi |
|---|---|---|---|---|---|
| Azure Blobları | Desteklenir | Desteklenir | Desteklenir | Desteklenmez | Desteklenir |
| Azure Dosyalar (SMB) | Desteklenir | Desteklenmez | Microsoft Entra Etki Alanı Hizmetleri veya Microsoft Entra Kerberos ile desteklenir | Desteklenir, kimlik bilgileri Microsoft Entra ID eşitlenmelidir | Desteklenmez |
| Azure Dosyalar (REST) | Desteklenir | Desteklenir | Desteklenir | Desteklenmez | Desteklenmez |
| Azure Kuyrukları | Desteklenir | Desteklenir | Desteklenir | Desteklenmiyor | Desteklenmez |
| Azure Tabloları | Desteklenir | Desteklenir | Desteklenir | Desteklenmez | Desteklenmez |
Her yetkilendirme seçeneği aşağıda kısaca açıklanmıştır:
Microsoft Entra ID:Microsoft Entra, Microsoft'un bulut tabanlı kimlik ve erişim yönetimi hizmetidir. blob, dosya, kuyruk ve tablo hizmetleri için Microsoft Entra ID tümleştirme kullanılabilir. Microsoft Entra ID ile rol tabanlı erişim denetimi (RBAC) aracılığıyla kullanıcılara, gruplara veya uygulamalara ayrıntılı erişim atayabilirsiniz. Azure Depolama ile Microsoft Entra ID tümleştirmesi hakkında bilgi için bkz. Microsoft Entra ID ile yetkilendirme.
Azure Dosyalar için yetkilendirme Microsoft Entra Etki Alanı Hizmetleri. Azure Dosyalar, Microsoft Entra Etki Alanı Hizmetleri aracılığıyla Sunucu İleti Bloğu (SMB) üzerinden kimlik tabanlı yetkilendirmeyi destekler. Bir istemcinin depolama hesabındaki Azure Dosyalar kaynaklarına erişimi üzerinde ayrıntılı denetim için RBAC kullanabilirsiniz. Etki alanı hizmetlerini kullanarak Azure Dosyalar kimlik doğrulaması hakkında daha fazla bilgi için bkz. kimlik tabanlı yetkilendirme Azure Dosyalar.
Azure Dosyalar için Active Directory (AD) yetkilendirmesi. Azure Dosyalar AD aracılığıyla SMB üzerinden kimlik tabanlı yetkilendirmeyi destekler. AD etki alanı hizmetiniz şirket içi makinelerde veya Azure VM'lerinde barındırılabilir. Dosyalara SMB erişimi, şirket içinde veya Azure'da etki alanına katılmış makinelerden AD kimlik bilgileri kullanılarak desteklenir. Paylaşım düzeyi erişim denetimi için RBAC, dizin ve dosya düzeyi izin zorlaması için NTFS DACL'lerini kullanabilirsiniz. Etki alanı hizmetlerini kullanarak Azure Dosyalar kimlik doğrulaması hakkında daha fazla bilgi için bkz. kimlik tabanlı yetkilendirme Azure Dosyalar.
Paylaşılan Anahtar: Paylaşılan Anahtar yetkilendirmesi, yetkilendirme üst bilgisinde istekte geçirilen şifreli bir imza dizesi oluşturmak için hesap erişim anahtarlarınızı ve diğer parametreleri kullanır. Paylaşılan Anahtar yetkilendirmesi hakkında daha fazla bilgi için bkz. Paylaşılan Anahtarla Yetkilendirme.
Paylaşılan erişim imzaları: Paylaşılan erişim imzaları (SAS), hesabınızdaki belirli bir kaynağa belirtilen izinlere sahip ve belirli bir zaman aralığı içinde erişim yetkisi verir. SAS hakkında daha fazla bilgi için bkz . Paylaşılan erişim imzası ile temsilci erişimi.
Kapsayıcılara ve bloblara anonim erişim: İsteğe bağlı olarak blob kaynaklarını kapsayıcı veya blob düzeyinde genel hale getirebilirsiniz. Genel kapsayıcıya veya bloba anonim okuma erişimi için herhangi bir kullanıcı erişebilir. Genel kapsayıcılara ve bloblara yönelik okuma istekleri için yetkilendirme gerekmez. Daha fazla bilgi için bkz . Azure Blob depolamada kapsayıcılar ve bloblar için genel okuma erişimini etkinleştirme.
İpucu
Microsoft Entra ID ile blob, dosya, kuyruk ve tablo verilerine erişimin kimliğini doğrulamak ve yetkilendirmek, diğer yetkilendirme seçeneklerine göre üstün güvenlik ve kullanım kolaylığı sağlar. Örneğin, Microsoft Entra ID kullanarak, Paylaşılan Anahtar yetkilendirmesinde olduğu gibi hesap erişim anahtarınızı kodunuzla birlikte depolamaktan kaçınabilirsiniz. Blob ve kuyruk uygulamalarınızla Paylaşılan Anahtar yetkilendirmesini kullanmaya devam edebilirsiniz ancak Microsoft mümkün olduğunca Microsoft Entra ID'a geçmenizi önerir.
Benzer şekilde, depolama hesabınızdaki kaynaklara ayrıntılı erişim vermek için paylaşılan erişim imzalarını (SAS) kullanmaya devam edebilirsiniz, ancak Microsoft Entra ID SAS belirteçlerini yönetmeye veya güvenliği aşılmış bir SAS'yi iptal etme konusunda endişelenmenize gerek kalmadan benzer özellikler sunar.
Azure Depolama'da Microsoft Entra ID tümleştirmesi hakkında daha fazla bilgi için bkz. Microsoft Entra ID kullanarak Azure bloblarına ve kuyruklarına erişimi yetkilendirme.