授權對 Azure 儲存體的要求
針對 Blob、檔案、佇列或資料表服務中受保護資源所做出的每一個要求,都必須獲得授權。 授權能確保您儲存體帳戶中的資源只能在您同意的情況下由他人存取,且只有您授與存取權的那些使用者或應用程式可以存取。
下表描述 Azure 儲存體提供以授權存取資源的選項:
| Azure 成品 | 共用金鑰 (儲存體帳戶金鑰) | 共用存取簽章 (SAS) | Azure Active Directory (Azure AD) | 內部部署 Active Directory Domain Services | 匿名公用讀取存取權 |
|---|---|---|---|---|---|
| Azure Blob | 支援 | 支援 | 支援 | 不支援 | 支援 |
| Azure 檔案 (SMB) | 支援 | 不支援 | 支援 Azure AD Domain Services 或 Azure AD Kerberos | 支援,認證必須同步至 Azure AD | 不支援 |
| Azure 檔案 (REST) | 支援 | 支援 | 支援 | 不支援 | 不支援 |
| Azure 佇列 | 支援 | 支援 | 支援 | 不支援 | 不支援 |
| Azure 資料表 | 支援 | 支援 | 支援 | 不支援 | 不支援 |
下面簡要說明每個授權選項:
Azure Active Directory (Azure AD) :Azure AD 是 Microsoft 的雲端式身分識別和存取管理服務。 Azure AD 整合適用于 Blob、檔案、佇列和資料表服務。 透過使用 Azure AD,您可以使用角色型存取控制 (RBAC) 為使用者、群組或應用程式指派細微的存取權。 如需 Azure AD 與 Azure 儲存體整合的相關資訊,請參閱 使用 Azure Active Directory 授權。
適用於 Azure 檔案儲存體的 Azure Active Directory Domain Services (Azure AD DS) 授權。 Azure 檔案儲存體透過 Azure AD DS,在伺服器訊息區 (SMB) 上支援身分識別型授權。 您可以使用 RBAC 來更精細地控制用戶端對儲存體帳戶中Azure 檔案儲存體資源的存取。 如需有關使用網域服務進行驗證Azure 檔案儲存體的詳細資訊,請參閱Azure 檔案儲存體身分識別型授權。
Active Directory (AD) Azure 檔案儲存體授權。 Azure 檔案儲存體透過 AD 支援透過 SMB 的身分識別型授權。 您的 AD 網域服務可以裝載在內部部署機器或 Azure VM 中。 使用已加入網域的電腦或 Azure 中的 AD 認證,支援對檔案的 SMB 存取。 您可以使用 RBAC 來進行目錄和檔案層級許可權強制執行的共用層級存取控制和 NTFS DACL。 如需有關使用網域服務進行驗證Azure 檔案儲存體的詳細資訊,請參閱Azure 檔案儲存體身分識別型授權。
共用金鑰: 共用金鑰授權依賴您的帳戶存取金鑰和其他參數,以產生加密的簽章字串,該字串會在 授權 標頭中的要求上傳遞。 如需共用金鑰授權的詳細資訊,請參閱 使用共用金鑰授權。
共用存取簽章: 共用存取簽章 (SAS) 使用指定許可權和指定時間間隔,將存取權委派給帳戶中的特定資源。 如需 SAS 的詳細資訊,請參閱 使用共用存取簽章委派存取權。
容器和 Blob 的匿名存取: 您可以選擇性地在容器或 Blob 層級公開 Blob 資源。 公用容器或 Blob 可供任何使用者以匿名讀取權限來加以存取。 針對公用容器和 Blob 的讀取要求並不需要授權。 如需詳細資訊,請參閱 在 Azure Blob 儲存體中啟用容器和 Blob 的公用讀取權限。
提示
使用 Azure AD 驗證和授權 Blob、檔案、佇列和資料表資料的存取權,可提供優於其他授權選項的較佳安全性和容易使用方式。 例如,使用 Azure AD 就不必像使用共用金鑰授權一樣,將帳戶存取金鑰放在程式碼中。 雖然您可以繼續對 Blob 和佇列應用程式使用共用金鑰授權,但 Microsoft 建議盡可能改用 Azure AD。
同樣地,您可以繼續使用共用存取簽章 (SAS) 將細部存取權授與儲存體帳戶中的資源,但 Azure AD 提供類似功能,卻不必管理 SAS 權杖或擔心需要撤銷遭盜用的 SAS。
如需 Azure 儲存體中 Azure AD 整合的詳細資訊,請參閱 使用 Azure Active Directory 授權存取 Azure Blob 和佇列。