تكوين وصول القراءة فقط العام المجهول للحاويات والكائنات الكبيرة ثنائية الحجم

مقالة
05/16/2022
قراءة خلال 12 دقائق

يدعم Azure Storage الوصول الاختياري العام المجهول للقراءة للحاويات والكائنات الكبيرة ثنائية الحجم. بشكل افتراضي، لا يتاح مطلقًا بالوصول المجهول إلى بياناتك. ما لم تقم بتمكين الوصول المجهول صراحةً، يجب أن تتم الموافقة على جميع الطلبات إلى الحاوية والكائنات الكبيرة ثنائية الحجم الخاصة بها. عند تكوين إعداد مستوى الوصول العام للحاوية لإتاحة الوصول المجهول، يمكن للعملاء قراءة البيانات الموجودة في تلك الحاوية دون تفويض الطلب.

تحذير

عندما يتم تكوين حاوية للوصول العام، يمكن لأي عميل قراءة البيانات الموجودة في تلك الحاوية. يمثل الوصول العام خطرًا أمنيًا محتملًا، لذلك إذا كان السيناريو الخاص بك لا يتطلب ذلك، توصي Microsoft بعدم السماح به لحساب التخزين. لمزيد من المعلومات، راجع منع وصول الجمهور المجهول للقراءة إلى الحاويات والكائنات الثنائية كبيرة الحجم.

توضح هذه المقالة كيفية تكوين وصول القراءة العام المجهول للحاوية والكائنات الثنائية كبيرة الحجم الخاصة بها. للحصول على معلومات حول كيفية الوصول إلى بيانات الكائنات الثنائية كبيرة الحجم بشكل مجهول من تطبيق عميل، راجع الدخول إلى الحاويات العامة والكائنات الثنائية كبيرة الحجم بشكل مجهول باستخدام .NET .

نبذة عن الوصول للقراءة العامة المجهول

يُحظر دائمًا الوصول العام إلى بياناتك بشكل افتراضي. هناك إعدادان منفصلان يؤثران على الوصول العام:

اسمح بالوصول العام لحساب التخزين. بشكل افتراضي، يسمح حساب التخزين للمستخدم الذي لديه الأذونات المناسبة لتمكين الوصول العام إلى الحاوية. بيانات الكائنات الكبيرة ثنائية الحجم غير متاحة للوصول العام ما لم يتخذ المستخدم الخطوة الإضافية لتكوين إعداد الوصول العام للحاوية بشكل صريح.
كوّن إعداد الوصول العام للحاوية. بشكل افتراضي، يتم تعطيل إعداد الوصول العام للحاوية، مما يعني أن التفويض مطلوب لكل طلب للحاوية أو بياناتها. يمكن للمستخدم الذي يمتلك الأذونات المناسبة تعديل إعداد الوصول العام للحاوية لتمكين الوصول المجهول فقط إذا تم السماح بالوصول المجهول لحساب التخزين.

يلخص الجدول التالي طريقة تأثير كلا الإعدادين معًا على الوصول العام للحاوية.

	تم تعيين مستوى الوصول العام للحاوية على خاص (الإعداد الافتراضي)	تم تعيين مستوى الوصول العام للحاوية على الحاوية	تعيين مستوى الوصول العام للحاوية على كائن ثنائي كبير الحجم
الوصول العام غير متاح لحساب التخزين	لا يوجد وصول عام إلى أي حاوية في حساب التخزين.	لا يوجد وصول عام إلى أي حاوية في حساب التخزين. يتخطى إعداد حساب التخزين إعداد الحاوية.	لا يوجد وصول عام إلى أي حاوية في حساب التخزين. يتخطى إعداد حساب التخزين إعداد الحاوية.
الوصول العام مسموح به لحساب التخزين (الإعداد الافتراضي)	لا يوجد وصول عام إلى هذه الحاوية (تكوين افتراضي).	يُسمح بالوصول العام إلى هذه الحاوية ونقاطها.	يُسمح بالوصول العام إلى النقط في هذه الحاوية، ولكن ليس للحاوية نفسها.

عندما يُسمح بالوصول العام المجهول لحساب التخزين وتهيئته لحاوية معينة، عندئذٍ يتم قبول طلب قراءة كائن ثنائي كبير الحجم في تلك الحاوية التي تم تمريرها بدون رأس التخويل بواسطة الخدمة، وبيانات كائن ثنائي كبير الحجم تم إرجاعه في الرد.

السماح أو عدم السماح بالوصول العام للقراءة لحساب التخزين

بشكل افتراضي، يتم تكوين حساب التخزين للسماح لمستخدم لديه الأذونات المناسبة لتمكين الوصول العام إلى الحاوية. عندما يُسمح بالوصول العام، يمكن لمستخدم لديه الأذونات المناسبة تعديل إعداد الوصول العام للحاوية لتمكين الوصول العام المجهول إلى البيانات الموجودة في تلك الحاوية. لا تتوفر بيانات كائن ثنائي كبير الحجم مطلقًا للوصول العام ما لم يتخذ المستخدم الخطوة الإضافية لتكوين إعداد الوصول العام للحاوية بشكل صريح.

ضع في اعتبارك أن الوصول العام إلى الحاوية يتم دائمًا إيقاف تشغيله افتراضيًا ويجب تكوينه بشكل صريح للسماح بالطلبات المجهولة. بغض النظر عن الإعداد في حساب التخزين، لن تكون بياناتك متاحة أبدًا للوصول العام ما لم يتخذ مستخدم لديه أذونات مناسبة هذه الخطوة الإضافية لتمكين الوصول العام إلى الحاوية.

يؤدي عدم السماح بالوصول العام لحساب التخزين إلى منع الوصول المجهول إلى جميع الحاويات والنقاط الكبيرة في هذا الحساب. عندما يكون الوصول العام غير مسموح به للحساب، لا يمكن تكوين إعداد الوصول العام للحاوية للسماح بالوصول المجهول. لتحسين الأمان، توصي Microsoft بعدم السماح بالوصول العام لحسابات التخزين الخاصة بك ما لم يتطلب السيناريو الخاص بك وصول المستخدمين إلى موارد البيانات الكبيرة بشكل مجهول.

هام

ينشأ عن عدم السماح بالوصول العام لحساب التخزين إلى تجاوز إعدادات الوصول العام لجميع الحاويات في حساب التخزين هذا. عندما لا يُسمح بالوصول العام لحساب التخزين، ستفشل أي طلبات مجهولة مستقبلية لهذا الحساب. قبل تغيير هذا الإعداد، تأكد من فهم التأثير على تطبيقات العميل التي قد تصل إلى البيانات في حساب التخزين الخاص بك بشكل مجهول. لمزيد من المعلومات، راجع منع وصول الجمهور المجهول للقراءة إلى الحاويات والكائنات الثنائية كبيرة الحجم.

للسماح أو عدم السماح بالوصول العام لحساب التخزين، هيئ خاصية السماح بالوصول العام لكائن ثنائي كبير الحجم للحساب. أصبحت هذه الخاصية متاحة لجميع حسابات التخزين التي تم إنشاؤها باستخدام نموذج نشر Azure Resource Manager. لمزيد من المعلومات، راجع نظرة عامة على حساب التخزين .

لم يتم تعيين الخاصية AllowBlobPublicAccess لحساب التخزين افتراضيًا ولا تُرجع قيمة حتى تقوم بتعيينها صراحةً. يسمح حساب التخزين بالوصول العام عندما تكون قيمة الخاصية إما فارغة أو صحيحة .

للسماح أو عدم السماح بالوصول العام لحساب التخزين في مدخل Microsoft Azure، اتبع الخطوات التالية:

انتقل إلى حساب التخزين الخاص بك في مدخل Azure.
حدد موقع إعداد التهيئة ضمن الإعدادات .
عيّن وصول عام إلى كائن ثنائي كبير الحجم على ممكّن أو معطل .

للسماح أو عدم السماح بالوصول العام لحساب التخزين باستخدام PowerShell، قم بتثبيت Azure PowerShell الإصدار 4.4.0 أو إصدار أحدث. بعد ذلك، قم بتكوين خاصية AllowBlobPublicAccess لحساب تخزين جديد أو موجود.

ينشئ المثال التالي حساب تخزين ويعيّن صراحة الخاصية السماح بالوصول العام لكائن ثنائي كبير الحجم على صحيح . ثم يقوم بتحديث حساب التخزين لتعيين الخاصية السماح بالوصول العام لكائن ثنائي كبير الحجم على خطأ . يعيد المثال أيضًا قيمة الخاصية في كل حالة. تذكر استبدال قيم العناصر النائبة الموجودة بين قوسين بقيمك الخاصة:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account with AllowBlobPublicAccess set to true (or null).
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_GRS `
    -AllowBlobPublicAccess $false

# Read the AllowBlobPublicAccess property for the newly created storage account.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowBlobPublicAccess

# Set AllowBlobPublicAccess set to false
Set-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -AllowBlobPublicAccess $false

# Read the AllowBlobPublicAccess property.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowBlobPublicAccess

للسماح أو عدم السماح بالوصول العام لحساب التخزين باستخدام Azure CLI، قم بتثبيت Azure CLI الإصدار 2.9.0 أو إصدار أحدث. لمزيد من المعلومات، راجع ⁧⁩تثبيت Azure CLI⁧⁩. بعد ذلك، قم بتهيئة الخاصية السماح بالوصول العام لكائن ثنائي كبير الحجم لحساب تخزين جديد أو موجود.

ينشئ المثال التالي حساب تخزين ويعيّن صراحة الخاصية السماح بالوصول العام لكائن ثنائي كبير الحجم على صحيح . ثم يقوم بتحديث حساب التخزين لتعيين الخاصية السماح بالوصول العام لكائن ثنائي كبير الحجم على خطأ. يعيد المثال أيضًا قيمة الخاصية في كل حالة. تذكر استبدال قيم العناصر النائبة الموجودة بين قوسين بقيمك الخاصة:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --kind StorageV2 \
    --location <location> \
    --allow-blob-public-access true

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowBlobPublicAccess \
    --output tsv

az storage account update \
    --name <storage-account> \
    --resource-group <resource-group> \
    --allow-blob-public-access false

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowBlobPublicAccess \
    --output tsv

للسماح أو عدم السماح بالوصول العام لحساب تخزين باستخدام نموذج، أنشئ نموذجًا مع تعيين الخاصية السماح بالوصول العام إلى كائن ثنائي كبير الحجم على صحيح أو خطأ . تصف الخطوات التالية كيفية إنشاء قالب في مدخل Microsoft Azure.

في مدخل Microsoft Azure، اختر إنشاء مورد.
في البحث في السوق، اكتبتوزيع القالب، ثم اضغط علىENTER.
اختر نشر النموذج (النشر باستخدام القوالب المخصصة) (معاينة) ، واختر إنشاء ، ثم اختر إنشاء النموذج الخاص بك في المحرر .

في محرر النماذج، الصق JSON التالي لإنشاء حساب جديد واضبط الخاصية السماح بالوصول العام إلى كائن ثنائي كبير الحجم على صحيح أو خطأ . تذكر استبدال العناصر النائبة الموجودة بين قوسين بقيمك.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "variables": {
        "storageAccountName": "[concat(uniqueString(subscription().subscriptionId), 'template')]"
    },
    "resources": [
        {
        "name": "[variables('storageAccountName')]",
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "location": "<location>",
        "properties": {
            "allowBlobPublicAccess": false
        },
        "dependsOn": [],
        "sku": {
          "name": "Standard_GRS"
        },
        "kind": "StorageV2",
        "tags": {}
        }
    ]
}

احفظ القالب.
حدد معلمة مجموعة الموارد، ثم اختر الزر مراجعة + إنشاء لنشر النموذج وإنشاء حساب تخزين مع تكوين خاصية السماح بالوصول العام إلى كائن ثنائي كبير الحجم.

ملاحظة

لا يؤثر عدم السماح بالوصول العام لحساب التخزين على أي مواقع ويب ثابتة مستضافة في حساب التخزين هذا. الحاوية $ web متاحة للجمهور دائمًا.

بعد تحديث إعداد الوصول العام لحساب التخزين، قد يستغرق الأمر ما يصل إلى 30 ثانية قبل نشر التغيير بالكامل.

عندما يتم تكوين حاوية للوصول العام المجهول، لا تحتاج طلبات قراءة النقاط الكبيرة في تلك الحاوية إلى الحصول على تصريح. ولكن تظل أي قواعد جدار حماية تم تكوينها لحساب التخزين سارية وستحظر حركة المرور المجهولة.

يتطلب السماح بالوصول العام لكائن ثنائي كبير الحجم أو عدم السماح به الإصدار 2019-04-01 أو إصدارًا أحدث من موفر موارد Azure Storage. لمزيد من المعلومات، راجع Azure Storage Resource Provider REST API .

توضح الأمثلة في هذا القسم كيفية قراءة خاصية السماح بالوصول العام إلى كائن ثنائي كبير الحجم لحساب التخزين لتحديد ما إذا كان الوصول العام مسموحًا به حاليًا أم غير مسموح به. لمعرفة المزيد حول طريقة التحقق من تكوين إعداد الوصول العام لحساب ما لمنع الوصول المجهول، راجع إعادة معالجة الوصول العام المجهول .

ضبط مستوى الوصول العام للحاوية

لمنح المستخدمين المجهولين حق الوصول للقراءة فقط إلى حاوية ونقاطها الكبيرة، قم أولًا بالسماح بالوصول العام لحساب التخزين، ثم قم بتعيين مستوى الوصول العام للحاوية. إذا تم رفض الوصول العام لحساب التخزين، فلن تتمكن من تكوين الوصول العام للحاوية.

عندما يُسمح بالوصول العام لحساب التخزين، يمكنك تكوين حاوية بالأذونات التالية:

لا يوجد وصول عام للقراءة فقط: لا يمكن الوصول إلى الحاوية والنقاط الكبيرة الخاصة بها إلا من خلال طلب مصرح به. يمثل هذا الخيار الخيار الافتراضي لجميع الحاويات الجديدة.
الوصول العام للقراءة للكائنات الثنائية الكبيرة الحجم فقط: يمكن قراءة النقاط الكبيرة داخل الحاوية عن طريق طلب مجهول، لكن بيانات الحاوية غير متاحة بشكل مجهول. لا يمكن للعملاء المجهولين تعداد النقط الموجودة داخل الحاوية.
الوصول العام للقراءة للحاوية والكائنات الثنائية كبيرة الحجم الخاصة بها: يمكن قراءة بيانات الحاوية والكائنات الثنائية الكبيرة بطلب مجهول، باستثناء إعدادات إذن الحاوية وبيانات التعريف للحاوية. يمكن للعملاء تعداد النقاط الكبيرة داخل الحاوية عن طريق طلب مجهول، ولكن لا يمكنهم تعداد الحاويات داخل حساب التخزين.

لا يمكنك تغيير مستوى الوصول العام لكائن ثنائي كبير الحجم واحد. تم تعيين مستوى الوصول العام فقط على مستوى الحاوية. يمكنك تعيين مستوى الوصول العام للحاوية عند إنشاء الحاوية، أو يمكنك تحديث الإعداد في حاوية موجودة.

لتحديث مستوى الوصول العام لواحدة أو أكثر من الحاويات الموجودة في مدخل Microsoft Azure، اتبع الخطوات التالية:

انتقل إلى نظرة عامة حول حساب التخزين في مدخل Microsoft Azure.
ضمن تخزين البيانات في نص القائمة، حدد حاويات كائنات ثنائية كبيرة الحجم.
حدد الحاويات التي ترغب في تعيين مستوى الوصول العام لها.
استخدم الزر تغيير مستوى الوصول لعرض إعدادات الوصول العام.
حدد مستوى الوصول العام المطلوب من القائمة المنسدلة مستوى الوصول العام وانقر فوق الزر "موافق" لتطبيق التغيير على الحاويات المحددة.

عند عدم السماح بالوصول العام لحساب التخزين، لا يمكن تعيين مستوى الوصول العام للحاوية. إذا حاولت تعيين مستوى الوصول العام للحاوية، فسترى أنه تم تعطيل الإعداد لأن الوصول العام غير مسموح به للحساب.

Screenshot showing that setting container public access level is blocked when public access disallowed

لتحديث مستوى الوصول العام لحاوية واحدة أو أكثر باستخدام PowerShell، اتصل بالأمر Set-AzStorageContainerAcl . قم بتفويض هذه العملية عن طريق تمرير مفتاح حسابك أو سلسلة اتصال أو توقيع وصول مشترك (SAS). لا تدعم عملية Set Container ACL التي تعين مستوى الوصول العام للحاوية التخويل مع Azure AD. لمزيد من المعلومات، راجع أذونات استدعاء عمليات بيانات كائن ثنائي كبير الحجم وقائمة الانتظار .

يقوم المثال التالي بإنشاء حاوية مع تعطيل الوصول العام، ثم يقوم بتحديث إعداد الوصول العام للحاوية للسماح بالوصول المجهول إلى الحاوية والنقاط الكبيرة الخاصة بها. تذكر استبدال قيم العناصر النائبة الموجودة بين قوسين بقيمك الخاصة:

# Set variables.
$rgName = "<resource-group>"
$accountName = "<storage-account>"

# Get context object.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context

# Create a new container with public access setting set to Off.
$containerName = "<container>"
New-AzStorageContainer -Name $containerName -Permission Off -Context $ctx

# Read the container's public access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx

# Update the container's public access setting to Container.
Set-AzStorageContainerAcl -Container $containerName -Permission Container -Context $ctx

# Read the container's public access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx

عند عدم السماح بالوصول العام لحساب التخزين، لا يمكن تعيين مستوى الوصول العام للحاوية. إذا حاولت تعيين مستوى الوصول العام للحاوية، فإن Azure Storage يُرجع خطأ يشير إلى أن الوصول العام غير مسموح به على حساب التخزين.

لتحديث مستوى الوصول العام لحاوية واحدة أو أكثر باستخدام Azure CLI، اتصل بأمر أذونات تعيين حاوية التخزين azure . قم بتفويض هذه العملية عن طريق تمرير مفتاح حسابك أو سلسلة اتصال أو توقيع وصول مشترك (SAS). لا تدعم عملية Set Container ACL التي تعين مستوى الوصول العام للحاوية التخويل مع Azure AD. لمزيد من المعلومات، راجع أذونات استدعاء عمليات بيانات كائن ثنائي كبير الحجم وقائمة الانتظار .

az storage container create \
    --name <container-name> \
    --account-name <account-name> \
    --resource-group <resource-group>
    --public-access off \
    --account-key <account-key> \
    --auth-mode key

az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key

az storage container set-permission \
    --name <container-name> \
    --account-name <account-name> \
    --public-access container \
    --account-key <account-key> \
    --auth-mode key

az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key

افحص إعداد الوصول العام لمجموعة من الحاويات

من الممكن التحقق من الحاويات الموجودة في حساب تخزين واحد أو أكثر تم تكوينها للوصول العام من خلال سرد الحاويات والتحقق من إعداد الوصول العام. يعد هذا الأسلوب خيارًا عمليًا عندما لا يحتوي حساب التخزين على عدد كبير من الحاويات، أو عندما تقوم بفحص الإعداد عبر عدد صغير من حسابات التخزين. ومع ذلك، قد يتأثر الأداء إذا حاولت تعداد عدد كبير من الحاويات.

يستخدم المثال التالي PowerShell للحصول على إعداد الوصول العام لجميع الحاويات في حساب التخزين. تذكر استبدال قيم العناصر النائبة الموجودة بين قوسين بقيمك الخاصة:

$rgName = "<resource-group>"
$accountName = "<storage-account>"

$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context

Get-AzStorageContainer -Context $ctx | Select Name, PublicAccess

دعم الميزة

يوضح هذا الجدول كيفية دعم هذه الميزة في حسابك وتأثيرها على الدعم عند تمكين قدرات معينة.

نوع حساب التخزين	Blob Storage (الدعم الافتراضي)	Data Lake Storage Gen2 ⁧^⁩1⁧⁩	NFS 3.0 ⁧^⁩1⁧⁩	SFTP ¹
معيار الأغراض العامة v2
Premium كتلة blobs

¹ تتطلب كل من Data Lake Storage Gen2 و Network File System (NFS) 3.0 وSSH File Transfer Protocol (SFTP) حساب تخزين مع تمكين مساحة اسماء هرمية.