授權存取 Azure 儲存體中的資料
每次存取儲存體帳戶中的資料時,用戶端應用程式都會透過 HTTP/HTTPS 對 Azure 儲存體發出要求。 依預設,Azure 儲存體中的每項資源都會受到保護,而且向安全資源發出的每個要求都必須獲得授權。 授權可確保用戶端應用程式具有適當權限,可存取儲存體帳戶中的特定資源。
了解資料作業的授權
下表說明 Azure 儲存體提供授權存取資料的選項:
| Azure 成品 | 共用金鑰 (儲存體帳戶金鑰) | 共用存取簽章 (SAS) | Microsoft Entra ID | 內部部署 Active Directory Domain Services | 匿名讀取存取 | 儲存體本機使用者 |
|---|---|---|---|---|---|---|
| Azure Blob | 支援 | 支援 | 支援 | 不支援 | 支援,但不建議使用 | 僅支援 SFTP |
| Azure 檔案 (SMB) | 支援 | 不支援 | 支援,僅 Microsoft Entra 網域服務 (僅限雲端) 或 Microsoft Entra Kerberos (混合式身分識別) | 支援,認證必須同步至 Microsoft Entra ID | 不支援 | 不支援 |
| Azure 檔案 (REST) | 支援 | 支援 | 支援 | 不支援 | 不支援 | 不支援 |
| Azure 佇列 | 支援 | 支援 | 支援 | 不支援 | 不支援 | 不支援 |
| Azure 資料表 | 支援 | 支援 | 支援 | 不支援 | 不支援 | 不支援 |
下面簡要說明每個授權選項:
共用金鑰授權,適用於 Blob、檔案、佇列和資料表。 使用共用金鑰的用戶端會在每個要求中,傳遞使用儲存體帳戶存取金鑰所簽署的標頭。 如需詳細資訊,請參閱使用共用金鑰進行授權。
Microsoft 建議您禁止儲存體帳戶的共用金鑰授權。 禁止使用共用金鑰授權時,用戶端必須使用 Microsoft Entra ID 或使用者委派 SAS 來授權該儲存體帳戶中的資料要求。 如需詳細資訊,請參閱防止 Azure 儲存體帳戶使用共用金鑰授權。
共用存取簽章,適用於 Blob、檔案、佇列和資料表。 共用存取簽章 (SAS) 可透過簽署的 URL 提供儲存體帳戶資源的有限委派存取權。 簽署的 URL 會指定授與資源的權限,以及指定有效簽章的間隔。 服務 SAS 或帳戶 SAS 會以帳戶金鑰簽署,而使用者委派 SAS 會以 Microsoft Entra 認證簽署且僅適用於 Blob。 如需詳細資訊,請參閱使用共用存取簽章 (SAS)。
Microsoft Entra 整合,用來授權向 Blob、佇列和資料表資源發出的要求。 Microsoft 建議您盡可能使用 Microsoft Entra 認證來授權資料要求,以獲得最佳的安全性和使用便利性。 如需 Microsoft Entra 整合的詳細資訊,請參閱 Blob、佇列或資料表資源的相關文章。
您可以使用 Azure 角色型存取控制 (Azure RBAC) 來管理儲存體帳戶中安全性主體的 blob、佇列和資料表資源使用權限。 您可以另外使用 Azure 屬性型存取控制 (ABAC),在 Blob 資源的 Azure 角色指派中新增條件。
如需有關 RBAC 的詳細資訊,請參閱什麼是 Azure 角色型存取控制 (Azure RBAC)?。
如需 ABAC 及其功能狀態的詳細資訊,請參閱:
適用於 Azure 檔案儲存體的 Microsoft Entra 網域服務驗證 Azure 檔案儲存體透過 Microsoft Entra Domain Services 在 伺服器訊息區 (SMB) 上支援身分識別型授權。 您可以使用 Azure RBAC 對儲存體帳戶中 Azure 檔案儲存體資源的用戶端存取設定細項控制。 如需使用 Domain Services 進行 Azure 檔案儲存體驗證的詳細資訊,請參閱概觀。
內部部署 Active Directory Domain Services (AD DS 或內部部署 AD DS) 驗證適用於 Azure 檔案儲存體。 Azure 檔案儲存體支援透過 AD DS 使用 SMB 進行身分識別型授權。 您的 AD DS 環境可以裝載於內部部署機器或 Azure VM 中。 支援從已加入網域的電腦使用 AD DS 認證對檔案儲存體進行 SMB 存取,不論是在內部部署或在 Azure 環境中。 您可以使用組合方式控制存取:Azure RBAC 用於共用層級存取控制,以及 NTFS DACL 用於目錄/檔案層級權限執行。 如需使用 Domain Services 進行 Azure 檔案儲存體驗證的詳細資訊,請參閱概觀。
支援 Blob 資料的匿名讀取存取,但不建議這麼做。 設定匿名存取後,用戶端就可以在沒有授權的情況下讀取 Blob 資料。 建議您停用所有儲存體帳戶的匿名存取。 如需詳細資訊,請參閱概觀:補救 Blob 資料的匿名讀取存取。
儲存體本機使用者可用來透過 SFTP 存取 Blob 或透過 SMB 存取檔案。 儲存體本機使用者支援授權的容器層級權限。 如需儲存體本機使用者如何搭配 SFTP 使用的詳細資訊,請參閱使用 SSH 檔案傳輸通訊協定 (SFTP) 連線到 Azure Blob 儲存體。
保護您的存取金鑰
儲存體帳戶存取金鑰提供儲存體帳戶設定以及資料的完整存取權。 請務必小心保護您的存取金鑰。 使用 Azure Key Vault,以安全的方式管理及輪替金鑰。 共用金鑰的存取權授與使用者對儲存體帳戶設定及其資料的完整存取權。 共用金鑰的存取權應謹慎地加以限制和監視。 在無法使用 Microsoft Entra ID 型授權的情況下,請使用存取範圍有限的 SAS 權杖。 避免將存取金鑰寫入程式碼,或將其以純文字儲存在他人可以存取的位置。 如果您認為金鑰可能已遭盜用,請輪替金鑰。
重要
Microsoft 建議您盡可能使用 Microsoft Entra ID,授權對 Blob、佇列和資料表資料發出的要求,而不要使用帳戶金鑰 (共用金鑰授權)。 與共用金鑰授權相比,透過 Microsoft Entra ID 進行授權可提供更優越的安全性和易用性。 如需從您的應用程式使用 Microsoft Entra 授權的詳細資訊,請參閱如何使用 Azure 服務驗證 .NET 應用程式。 針對 SMB Azure 檔案共用,Microsoft 建議使用內部部署 Active Directory Domain Services (AD DS) 整合或 Microsoft Entra Kerberos 驗證。
若要防止使用者使用共用金鑰存取儲存體帳戶中的資料,您可以禁止儲存體帳戶的共用金鑰授權。 作為安全性最佳做法,建議以最低許可權對資料進行細項存取。 Microsoft Entra ID 型授權應該用於支援 OAuth 的案例。 Kerberos 或 SMTP 應該用於透過 SMB 的 Azure 檔案儲存體。 針對透過 REST 的 Azure 檔案儲存體,可以使用 SAS 權杖。 如果不需要防止意外使用共用金鑰,則應停用共用金鑰存取。 如需詳細資訊,請參閱防止 Azure 儲存體帳戶使用共用金鑰授權。
若要使用 Microsoft Entra 條件式存取原則來保護 Azure 儲存體帳戶,您必須禁止儲存體帳戶的共用金鑰授權。
如果您已停用共用金鑰存取,而且您在診斷記錄中看到回報的共用金鑰授權,這表示信任的存取權正用來存取儲存體。 如需詳細資訊,請參閱您訂用帳戶中已註冊資源的信任存取權。
下一步
- 使用 Microsoft Entra ID 授權存取 Blob、佇列或資料表資源。
- 使用共用金鑰進行授權
- 使用共用存取簽章 (SAS) 對 Azure 儲存體資源授與有限存取權