Azure Depolama'ya yönelik istekleri yetkilendirme
Blob, Dosya, Kuyruk veya Tablo hizmetindeki güvenli bir kaynağa yapılan her istek yetkilendirilmelidir. Yetkilendirme, depolama hesabınızdaki kaynakların yalnızca siz olmasını istediğinizde ve yalnızca erişim sağladığınız kullanıcılar veya uygulamalar için erişilebilir olmasını sağlar.
Aşağıdaki tabloda Azure Depolama'nın kaynaklara erişim yetkisi vermek için sunduğu seçenekler açıklanmaktadır:
| Azure yapıtı | Paylaşılan Anahtar (depolama hesabı anahtarı) | Paylaşılan erişim imzası (SAS) | Microsoft Entra Kimlik | Şirket içi Active Directory Domain Services | Anonim genel okuma erişimi |
|---|---|---|---|---|---|
| Azure Blobları | Desteklenir | Desteklenir | Desteklenir | Desteklenmez | Desteklenir |
| Azure Dosyalar (SMB) | Desteklenir | Desteklenmez | Microsoft Entra Etki Alanı Hizmetleri veya Microsoft Entra Kerberos ile desteklenir | Desteklenir, kimlik bilgileri Microsoft Entra ID eşitlenmelidir | Desteklenmez |
| Azure Dosyalar (REST) | Desteklenir | Desteklenir | Desteklenir | Desteklenmez | Desteklenmez |
| Azure Kuyrukları | Desteklenir | Desteklenir | Desteklenir | Desteklenmiyor | Desteklenmez |
| Azure Tabloları | Desteklenir | Desteklenir | Desteklenir | Desteklenmez | Desteklenmez |
Her yetkilendirme seçeneği aşağıda kısaca açıklanmıştır:
Microsoft Entra ID:Microsoft Entra, Microsoft'un bulut tabanlı kimlik ve erişim yönetimi hizmetidir. blob, dosya, kuyruk ve tablo hizmetleri için Microsoft Entra ID tümleştirme kullanılabilir. Microsoft Entra ID ile rol tabanlı erişim denetimi (RBAC) aracılığıyla kullanıcılara, gruplara veya uygulamalara ayrıntılı erişim atayabilirsiniz. Azure Depolama ile Microsoft Entra ID tümleştirme hakkında bilgi için bkz. Microsoft Entra ID ile yetkilendirme.
Azure Dosyalar için yetkilendirmeyi Microsoft Entra Etki Alanı Hizmetleri. Azure Dosyalar, Microsoft Entra Etki Alanı Hizmetleri aracılığıyla Sunucu İleti Bloğu (SMB) üzerinden kimlik tabanlı yetkilendirmeyi destekler. Bir istemcinin depolama hesabındaki Azure Dosyalar kaynaklarına erişimi üzerinde ayrıntılı denetim için RBAC kullanabilirsiniz. Etki alanı hizmetlerini kullanarak Azure Dosyalar kimlik doğrulaması hakkında daha fazla bilgi için bkz. kimlik tabanlı yetkilendirme Azure Dosyalar.
Azure Dosyalar için Active Directory (AD) yetkilendirmesi. Azure Dosyalar AD aracılığıyla SMB üzerinden kimlik tabanlı yetkilendirmeyi destekler. AD etki alanı hizmetiniz şirket içi makinelerde veya Azure VM'lerinde barındırılabilir. Dosyalara SMB erişimi, şirket içinde veya Azure'da etki alanına katılmış makinelerden AD kimlik bilgileri kullanılarak desteklenir. Paylaşım düzeyi erişim denetimi için RBAC, dizin ve dosya düzeyi izin zorlaması için NTFS DACL'lerini kullanabilirsiniz. Etki alanı hizmetlerini kullanarak Azure Dosyalar kimlik doğrulaması hakkında daha fazla bilgi için bkz. kimlik tabanlı yetkilendirme Azure Dosyalar.
Paylaşılan Anahtar: Paylaşılan Anahtar yetkilendirmesi, yetkilendirme üst bilgisinde istekte geçirilen şifrelenmiş bir imza dizesi oluşturmak için hesap erişim anahtarlarınızı ve diğer parametreleri kullanır. Paylaşılan Anahtar yetkilendirmesi hakkında daha fazla bilgi için bkz. Paylaşılan Anahtarla Yetkilendirme.
Paylaşılan erişim imzaları: Paylaşılan erişim imzaları (SAS), hesabınızdaki belirli bir kaynağa, belirtilen izinlere sahip ve belirli bir zaman aralığı içinde erişim yetkisi verir. SAS hakkında daha fazla bilgi için bkz . Paylaşılan erişim imzası ile erişim temsilcisi atama.
Kapsayıcılara ve bloblara anonim erişim: İsteğe bağlı olarak blob kaynaklarını kapsayıcı veya blob düzeyinde genel hale getirebilirsiniz. Ortak kapsayıcı veya bloba anonim okuma erişimi için herhangi bir kullanıcı erişebilir. Genel kapsayıcılara ve bloblara yönelik okuma istekleri için yetkilendirme gerekmez. Daha fazla bilgi için bkz . Azure Blob depolamada kapsayıcılar ve bloblar için genel okuma erişimini etkinleştirme.
İpucu
Microsoft Entra ID ile blob, dosya, kuyruk ve tablo verilerine erişimin kimliğini doğrulamak ve yetkilendirmek, diğer yetkilendirme seçeneklerine göre üstün güvenlik ve kullanım kolaylığı sağlar. Örneğin, Microsoft Entra ID kullanarak, Paylaşılan Anahtar yetkilendirmesinde olduğu gibi hesap erişim anahtarınızı kodunuzla depolamaktan kaçınabilirsiniz. Blob ve kuyruk uygulamalarınızla Paylaşılan Anahtar yetkilendirmesini kullanmaya devam edebilirsiniz ancak Microsoft mümkün olduğunda Microsoft Entra ID geçmenizi önerir.
Benzer şekilde, depolama hesabınızdaki kaynaklara ayrıntılı erişim vermek için paylaşılan erişim imzalarını (SAS) kullanmaya devam edebilirsiniz, ancak Microsoft Entra ID SAS belirteçlerini yönetmeye veya güvenliği aşılmış SAS'yi iptal etme konusunda endişelenmeye gerek kalmadan benzer özellikler sunar.
Azure Depolama'da Microsoft Entra ID tümleştirmesi hakkında daha fazla bilgi için bkz. Microsoft Entra ID kullanarak Azure bloblarına ve kuyruklarına erişimi yetkilendirme.