使用 Azure 儲存體資源提供者存取管理資源
Azure Resource Manager 是 Azure 的部署與管理服務。 Azure 儲存體資源提供者是一項服務,立基於 Azure Resource Manager,可讓您存取 Azure 儲存體的管理資源。 您可以使用 Azure 儲存體資源提供者來建立、更新、管理及刪除資源,例如儲存體帳戶、私人端點和帳戶存取金鑰。 如需 Azure Resource Manager 的詳細資訊,請參閱 Azure Resource Manager 概觀。
您可以使用 Azure 儲存體資源提供者來執行動作,例如建立或刪除儲存體帳戶,或取得訂用帳戶中的儲存體帳戶清單。 若要對 Azure 儲存體資源提供者授權要求,請使用 Microsoft Entra ID。 本文說明如何將權限指派給管理資源,並指出示範如何對 Azure 儲存體資源提供者提出要求的範例。
管理資源與資料資源
Microsoft 提供兩個 REST API 來處理 Azure 儲存體資源。 這些 API 構成您可以對 Azure 儲存體執行的所有動作基礎。 Azure 儲存體 REST API 可讓您使用儲存體帳戶中的資料,包括 Blob、佇列、檔案和資料表資料。 Azure 儲存體資源提供者 REST API 可讓您使用儲存體帳戶和相關資源。
讀取或寫入 Blob 資料的要求所需的權限,與執行管理作業的要求不同。 Azure RBAC 可讓您更精細地控制這兩種資源類型的權限。 當您將 Azure 角色指派給安全性主體時,請確定您了解將授與主體的權限。 如需說明哪些動作與每個 Azure 內建角色相關聯的詳細參考,請參閱 Azure 內建角色。
Azure 儲存體支援使用 Microsoft Entra ID 對 Blob 和佇列儲存體授權要求。 如需有關適用於 Blob 和佇列資料作業之 Azure 角色的詳細資訊,請參閱使用 Active Directory 授權存取 Blob 和佇列。
使用 Azure 角色型存取控制指派管理權限 (Azure RBAC)
每個 Azure 訂用帳戶都有一個相關聯的 Microsoft Entra ID,可管理使用者、群組和應用程式。 使用者、群組或應用程式也稱為 Microsoft 身分識別平台內容中的安全性主體。 您可以使用 Azure 角色型存取控制 (Azure RBAC),將訂用帳戶中所定義之資源的存取權授與 Active Directory 中定義的安全性主體。
將 Azure 角色指派給安全性主體時,也會指出角色所授與的權限範圍。 針對管理作業,您可以在訂用帳戶、資源群組或儲存體帳戶層級指派角色。 您可以使用 Azure 入口網站、Azure 傳統 CLI、PowerShell 或 Azure 儲存體資源提供者 REST API,將 Azure 角色指派給安全性主體。
如需詳細資訊,請參閱什麼是 Azure 角色型存取控制 (Azure RBAC)?(部分機器翻譯) 以及 Azure 角色、Microsoft Entra 角色和傳統訂用帳戶管理員角色 (部分機器翻譯)。
管理作業的內建角色
Azure 提供內建角色,可授與呼叫管理作業的權限。 Azure 儲存體也提供專門用來與 Azure 儲存體資源提供者搭配使用的內建角色。
授與權限以呼叫存放裝置管理作業的內建角色,包含下表所述的角色:
Azure 角色 | 描述 | 包含帳戶金鑰的存取權嗎? |
---|---|---|
擁有者 | 可以管理所有儲存體資源和資源的存取權。 | 是,提供查看和重新產生儲存體帳戶金鑰的權限。 |
參與者 | 可以管理所有儲存體資源,但無法管理對資源的存取。 | 是,提供查看和重新產生儲存體帳戶金鑰的權限。 |
讀取者 | 可以查看儲存體帳戶的相關資訊,但無法查看帳戶金鑰。 | 否。 |
儲存體帳戶參與者 | 可以管理儲存體帳戶,取得評用帳戶資源群組的資訊,以及建立和管理訂用帳戶資源群組部署。 | 是,提供查看和重新產生儲存體帳戶金鑰的權限。 |
使用者存取系統管理員 | 管理是否有儲存體帳戶的存取權。 | 是,允許安全性主體將任何權限指派給自己和其他人。 |
虛擬機器參與者 | 可以管理虛擬機器,但是無法管理連線的儲存體帳戶 | 是,提供查看和重新產生儲存體帳戶金鑰的權限。 |
資料表中的第三個資料行表示內建角色是否支援 Microsoft.Storage/storageAccounts/listkeys/action。 此動作會授與讀取和重新產生儲存體帳戶金鑰的權限。 存取 Azure 儲存體管理資源的權限也不包含存取資料的權限。 不過,如果使用者具有帳戶金鑰的存取權,他們就可以使用帳戶金鑰來透過共用金鑰授權存取 Azure 儲存體資料。
管理作業的自訂角色
Azure 也支援定義 Azure 自訂角色,以存取管理資源。 如需自訂角色的詳細資訊,請參閱 Azure 自訂角色。
程式碼範例
如需示範如何從 Azure 儲存體管理程式庫授權和呼叫管理作業的程式碼範例,請參閱下列範例:
Azure Resource Manager 與傳統部署
Resource Manager 和傳統部署模型代表部署和管理 Azure 解決方案的兩個不同方式。 當您建立新的儲存體帳戶時,Microsoft 建議使用 Azure Resource Manager 部署模型。 可能的話,Microsoft 也會建議您使用 Resource Manager 模型重新建立現有的傳統儲存體帳戶。 雖然您可以使用傳統部署模型來建立儲存體帳戶,但傳統模型的彈性較低,而且最終將會被取代。
如需有關部署模型的詳細資訊,請參閱 Azure Resource Manager 和傳統部署模型。