استخدام موفر موارد تخزين Azure للوصول إلى موارد الإدارة
Azure Resource Manager هي خدمة التوزيع والإدارة التي توفرها Azure. موفر موارد تخزين Azure هو خدمة تستند إلى Azure Resource Manager وتوفر الوصول إلى موارد الإدارة لـAzure Storage. يمكنك استخدام موفر موارد تخزين Azure لإنشاء موارد وتحديثها وإدارتها وحذفها مثل حسابات التخزين ونقاط النهاية الخاصة ومفاتيح الوصول إلى الحساب. لمزيد من المعلومات حول مدير موارد Azure، يرجى الاطلاع على نظرة عامة بشأن مدير موارد Azure.
يمكنك استخدام موفر موارد تخزين Azure لتنفيذ إجراءات مثل إنشاء حساب تخزين أو حذفه أو الحصول على قائمة بحسابات التخزين في اشتراك. لتخويل الطلبات مقابل موفر موارد Azure Storage، استخدم معرف Microsoft Entra. توضح هذه المقالة كيفية تعيين أذونات لموارد الإدارة، وتشير إلى أمثلة توضح كيفية تقديم طلبات ضد موفر موارد تخزين Azure.
موارد الإدارة مقابل موارد البيانات
توفر Microsoft معرفتي برمجة تطبيقات REST للعمل مع موارد تخزين Azure. تشكل واجهات برمجة التطبيقات هذه أساس جميع الإجراءات التي يمكنك تنفيذها مقابل Azure Storage. تمكنك واجهة برمجة تطبيقات Azure Storage REST من العمل مع البيانات الموجودة في حساب التخزين الخاص بك، بما في ذلك النقطة وقائمة الانتظار والملف وبيانات الجدول. تمكنك واجهة برمجة تطبيقات REST لموفر موارد تخزين Azure من العمل مع حساب التخزين والموارد ذات الصلة.
يتطلب الطلب الذي يقرأ بيانات كائن ثنائي كبير الحجم أو يكتبها أذونات مختلفة عن الطلب الذي ينفذ عملية إدارة. يوفر Azure RBAC تحكمًا دقيقًا في الأذونات لكلا النوعين من الموارد. عند تعيين دور Azure إلى مدير أمان، تأكد من أنك تفهم الأذونات التي سيتم منحها لهذا المدير. للحصول على مرجع مفصل يصف الإجراءات المقترنة بكل دور مضمن في Azure، راجع أدوار Azure المضمنة.
يدعم Azure Storage استخدام معرف Microsoft Entra لتخويل الطلبات مقابل تخزين Blob وQueue. للحصول على معلومات حول أدوار Azure لعمليات البيانات النقطية وقوائم الانتظار، راجع تفويض الوصول إلى النقاط وقوائم الانتظار باستخدام Active Directory.
تعيين أذونات الإدارة باستخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC)
يحتوي كل اشتراك Azure على معرف Microsoft Entra مقترن يدير المستخدمين والمجموعات والتطبيقات. يشار إلى المستخدم أو المجموعة أو التطبيق أيضًا باسم مبدأ الأمان في سياق النظام الأساسي للهويات في Microsoft. يمكنك منح حق الوصول إلى الموارد في اشتراك في مبدأ أمان تم تعريفه في Active Directory باستخدام عنصر تحكم الوصول المستند إلى دور Azure (Azure RBAC).
عندما تقوم بتعيين دور Azure إلى مبدأ أمان، فإنك تشير أيضًا إلى النطاق الذي تكون فيه الأذونات الممنوحة من قبل الدور سارية المفعول. بالنسبة لعمليات الإدارة، يمكنك تعيين دور على مستوى الاشتراك أو مجموعة الموارد أو حساب التخزين. يمكنك تعيين دور Azure إلى مبدأ أمان باستخدام مدخل Microsoft Azure أو واجهة برمجة تطبيقات Azure الكلاسيكية أو PowerShell أو موفر موارد تخزين Azure REST API.
لمزيد من المعلومات، راجع ما هو التحكم في الوصول المستند إلى دور Azure (Azure RBAC)؟ وأدوار Azure وأدوار Microsoft Entra وأدوار مسؤول الاشتراك الكلاسيكي.
أدوار مضمنة لعمليات الإدارة
يوفر Azure أدوارًا مضمنة تمنح أذونات لعمليات إدارة المكالمات. يوفر Azure Storage أيضًا أدوارًا مضمنة خصيصًا للاستخدام مع موفر موارد Azure Storage.
تتضمن الأدوار المضمنة التي تمنح أذونات لعمليات إدارة مساحة التخزين استدعاء الأدوار الموضحة في الجدول التالي:
| دور Azure | الوصف | يتضمن الوصول إلى مفاتيح الحساب؟ |
|---|---|---|
| المالك | يمكنه إدارة جميع موارد التخزين والوصول إلى الموارد. | نعم، يوفر أذونات لعرض مفاتيح حساب التخزين وإعادة إنشائها. |
| المساهم | يمكنه إدارة جميع موارد التخزين، ولكن لا يمكنه إدارة الوصول إلى الموارد. | نعم، يوفر أذونات لعرض مفاتيح حساب التخزين وإعادة إنشائها. |
| القارئ | يمكن عرض معلومات حول حساب التخزين، ولكن لا يمكن عرض مفاتيح الحساب. | عدد |
| مساهم حساب التخزين | يمكنه إدارة حساب التخزين، والحصول على معلومات حول مجموعات موارد الاشتراك وموارده، وإنشاء عمليات نشر مجموعة موارد الاشتراك وإدارتها. | نعم، يوفر أذونات لعرض مفاتيح حساب التخزين وإعادة إنشائها. |
| المسؤول عن وصول المستخدم | يمكنه إدارة حق الوصول إلى حساب التخزين. | نعم، يسمح لمدير الأمن بتعيين أي أذونات لنفسه وللآخرين. |
| مساهم الجهاز الظاهري | يمكنه إدارة الأجهزة الظاهرية، ولكن ليس حساب التخزين الذي تتصل به. | نعم، يوفر أذونات لعرض مفاتيح حساب التخزين وإعادة إنشائها. |
يشير العمود الثالث في الجدول إلى ما إذا كان الدور المضمن يدعم Microsoft.Storage/storageAccounts/listkeys/action. يمنح هذا الإجراء أذونات لقراءة مفاتيح حساب التخزين وإعادة إنشائها. لا تتضمن أذونات الوصول إلى موارد إدارة تخزين Azure أيضًا أذونات للوصول إلى البيانات. ومع ذلك، إذا كان لدى المستخدم حق الوصول إلى مفاتيح الحساب، فيمكنه استخدام مفاتيح الحساب للوصول إلى بيانات Azure Storage عبر تخويل المفتاح المشترك.
أدوار مخصصة لعمليات الإدارة
يدعم Azure أيضًا تحديد أدوار Azure المخصصة للوصول إلى موارد الإدارة. لمزيد من المعلومات حول الأدوار المخصصة، راجع أدوار Azure المخصصة.
نماذج التعليمات البرمجية
للحصول على أمثلة التعليمات البرمجية التي توضح كيفية تخويل عمليات إدارة المكالمات واستدعاؤها من مكتبات إدارة تخزين Azure، راجع العينات التالية:
Azure Resource Manager مقابل عمليات النشر الكلاسيكية
تمثل Resource Manager ونماذج التوزيع الكلاسيكية طريقتين مختلفتين لتوزيع حلول Azure وإدارتها. توصي Microsoft باستخدام نموذج نشر Azure Resource Manager عند إنشاء حساب تخزين جديد. إذا كان ذلك ممكنًا، توصي Microsoft أيضًا بإعادة إنشاء حسابات التخزين الكلاسيكية الموجودة باستخدام طراز Resource Manager. على الرغم من أنه يمكنك إنشاء حساب تخزين باستخدام نموذج النشر الكلاسيكي، إلا أن النموذج الكلاسيكي أقل مرونة وسيتم إهماله في النهاية.
لمزيد من المعلومات حول نماذج توزيع Azure، راجع إدارة الموارد والنشر الكلاسيكي.