分享方式:


授權對 Azure 記憶體的要求

針對 Blob、檔案、佇列或資料表服務中受保護資源所做出的每一個要求,都必須獲得授權。 授權能確保您儲存體帳戶中的資源只能在您同意的情況下由他人存取,且只有您授與存取權的那些使用者或應用程式可以存取。

重要

為了獲得最佳安全性,Microsoft 建議盡可能使用 Microsoft Entra ID 搭配受控識別來授權 Blob、佇列和數據表數據的要求。 具有 Microsoft Entra ID 和受控識別的授權,可提供優於共用密鑰授權的安全性和易於使用。 若要深入瞭解,請參閱使用 Microsoft Entra ID 授權。 若要深入瞭解受控識別,請參閱 什麼是適用於 Azure 資源的受控識別

針對裝載於 Azure 外部的資源,例如內部部署應用程式,您可以透過 Azure Arc 使用受控識別。例如,在已啟用 Azure Arc 的伺服器上執行的應用程式可以使用受控識別來連線到 Azure 服務。 若要深入瞭解,請參閱 使用已啟用 Azure Arc 的伺服器對 Azure 資源進行驗證

針對使用共用存取簽章 (SAS) 的案例,Microsoft 建議使用使用者委派 SAS。 使用者委派 SAS 會受到 Microsoft Entra 認證保護,而不是帳戶密鑰。 若要瞭解共用存取簽章,請參閱 Create 使用者委派 SAS

下表描述 Azure 記憶體提供來授權資源存取的選項:

Azure 成品 共用金鑰 (儲存體帳戶金鑰) 共用存取簽章 (SAS) Microsoft Entra 識別碼 內部部署 Active Directory Domain Services 匿名公用讀取存取權
Azure Blob 支援 支援 支援 不支援 支援
Azure 檔案 (SMB) 支援 不支援 支援 Microsoft Entra Domain Services 或 Microsoft Entra Kerberos 支援,認證必須同步處理至 Microsoft Entra ID 不支援
Azure 檔案 (REST) 支援 支援 支援 不支援 不支援
Azure 佇列 支援 支援 支援 不支援 不支援
Azure 資料表 支援 支援 支援 不支援 不支援

下面簡要說明每個授權選項:

  • Microsoft Entra ID:Microsoft Entra 是 Microsoft 的雲端式身分識別和存取管理服務。 Microsoft Entra ID 整合適用於 Blob、檔案、佇列和數據表服務。 透過 Microsoft Entra ID,您可以透過角色型訪問控制 (RBAC) ,將更精細的存取權指派給使用者、群組或應用程式。 如需與 Azure 記憶體整合 Microsoft Entra ID 的相關信息,請參閱使用 Microsoft Entra ID 授權

  • Microsoft Entra Domain Services Azure 檔案儲存體 授權。 Azure 檔案儲存體 支援透過 Microsoft Entra Domain Services 透過伺服器消息塊 (SMB) 的身分識別型授權。 您可以使用 RBAC 對客戶端對記憶體帳戶中 Azure 檔案儲存體 資源的存取進行更精細的控制。 如需使用網域服務 Azure 檔案儲存體 驗證的詳細資訊,請參閱 Azure 檔案儲存體 身分識別型授權

  • Active Directory (AD) Azure 檔案儲存體 授權。 Azure 檔案儲存體支援透過 AD 透過 SMB 的身分識別型授權。 AD 網域服務可以裝載於內部部署機器或 Azure VM 中。 支援使用已加入網域之機器的 AD 認證,在內部部署或 Azure 中使用檔案的 SMB 存取。 您可以使用 RBAC 進行目錄和檔案層級許可權強制執行的共享層級存取控制和 NTFS DACL。 如需使用網域服務 Azure 檔案儲存體 驗證的詳細資訊,請參閱 Azure 檔案儲存體 身分識別型授權

  • 共用金鑰: 共用金鑰授權依賴您的帳戶存取金鑰和其他參數,以產生在 授權 標頭中傳遞要求的加密簽章字串。 如需共用金鑰授權的詳細資訊,請參閱 使用共用密鑰授權

  • 共用存取簽章: 共用存取簽章 (SAS) 使用指定許可權和指定時間間隔,將存取權委派給帳戶中的特定資源。 如需 SAS 的詳細資訊,請參閱 使用共用存取簽章委派存取權。

  • 容器和 Blob 的匿名存取: 您可以選擇性地在容器或 Blob 層級公開 Blob 資源。 公用容器或 Blob 可供任何使用者以匿名讀取權限來加以存取。 針對公用容器和 Blob 的讀取要求並不需要授權。 如需詳細資訊,請參閱 在 Azure Blob 記憶體中啟用容器和 Blob 的公用讀取許可權

提示

使用 Microsoft Entra ID 驗證及授權 Blob、檔案、佇列和數據表數據的存取權,可提供優於其他授權選項的更上層安全性和方便性。 例如,藉由使用 Microsoft Entra ID,您可以避免使用程式代碼來儲存帳戶存取密鑰,就像使用共用密鑰授權一樣。 雖然您可以繼續搭配 Blob 和佇列應用程式使用共用密鑰授權,但 Microsoft 建議您盡可能移至 Microsoft Entra ID。

同樣地,您可以繼續使用 (SAS) 共用存取簽章來授與記憶體帳戶中資源的細微存取權,但 Microsoft Entra ID 提供類似的功能,而不需要管理 SAS 令牌或擔心撤銷遭入侵的 SAS。

如需 Azure 記憶體中 Microsoft Entra ID 整合的詳細資訊,請參閱使用 Microsoft Entra ID 授權 Azure Blob 和佇列的存取權。