تخويل الوصول إلى Azure Storage
في كل مرة تقوم فيها بالوصول إلى البيانات الموجودة في حساب التخزين الخاص بك، يقدم تطبيق العميل طلبًا عبر HTTP/HTTPS إلى Azure Storage. بشكل افتراضي، يتم تأمين كل مورد في Azure Storage، ويجب تفويض كل طلب إلى مورد آمن. يضمن التفويض أن تطبيق العميل لديه الأذونات المناسبة للوصول إلى مورد معين في حساب التخزين الخاص بك.
فهم التفويض لعمليات البيانات
يصف الجدول التالي الخيارات التي يوفرها Azure Storage لتخويل الوصول إلى البيانات:
| مصطنع Azure | المفتاح المشترك (مفتاح حساب التخزين) | توقيع الوصول المشترك (SAS) | Azure Active Directory (Azure AD) | خدمات Active Directory Domain المحلية | الوصول إلى القراءة العامة المجهولة | تخزين المستخدمين المحليين |
|---|---|---|---|---|---|---|
| Azure Blobs | مدعوم | مدعوم | مدعوم | غير مدعوم | مدعوم | مدعوم، فقط لـSFTP |
| Azure Files (SMB) | مدعوم | غير مدعوم | مدعوم، فقط مع خدمات النطاق AAD (دليل Azure النشط) | معتمدة، يجب مزامنة بيانات الاعتماد مع Azure AD | غير مدعوم | مدعوم |
| Azure Files (REST) | مدعوم | مدعوم | غير مدعوم | غير مدعوم | غير مدعوم | غير مدعوم |
| نبذة عن قوائم انتظار Azure | مدعوم | مدعوم | مدعوم | غير مدعومة | غير مدعوم | غير مدعوم |
| Azure Tables | مدعوم | مدعوم | مدعوم | غير مدعوم | غير مدعوم | غير مدعوم |
ويرد أدناه وصف موجز لكل خيار من خيارات التفويض:
تخويل المفتاح المشترك للنقاط والملفات وقوائم الانتظار والجداول. يمرر العميل الذي يستخدم المفتاح المشترك رأسًا مع كل طلب يتم توقيعه باستخدام مفتاح الوصول إلى حساب التخزين. للحصول على مزيد من المعلومات، انظر تخويل باستخدام مفتاح مشترك.
توصي Microsoft بعدم السماح بتخويل المفتاح المشترك لحساب التخزين الخاص بك. عند عدم السماح بتخويل المفتاح المشترك، يجب على العملاء استخدام Azure AD أو SAS لتفويض مستخدم لتخويل طلبات البيانات في حساب التخزين هذا. لمزيد من المعلومات، انظر منع تخويل "مفتاح مشترك" لحساب تخزين Azure.
توقيعات الوصول المشترك للنقاط والملفات وقوائم الانتظار والجداول. توفر توقيعات الوصول المشترك (SAS) وصولًا محدودًا مفوضًا إلى الموارد في حساب تخزين عبر عنوان URL موقع. يحدد عنوان URL الموقع الأذونات الممنوحة للمورد والفاصل الزمني الذي يكون التوقيع صالحًا خلاله. يتم توقيع SAS الخدمة أو حساب SAS باستخدام مفتاح الحساب، بينما يتم توقيع SAS تفويض المستخدم باستخدام بيانات اعتماد Azure AD وينطبق على النقاط فقط. ولمزيد من المعلومات، اطلع على استخدام توقيعات الوصول المشتركة.
تكامل Azure Active Directory (Azure AD) لتخويل طلبات النقطة وقائمة انتظار وموارد الجدول. توصي Microsoft باستخدام بيانات اعتماد Azure AD لتخويل طلبات البيانات عندما يكون ذلك ممكنًا للحصول على الأمان الأمثل وسهولة الاستخدام. لمزيد من المعلومات حول تكامل Azure AD، راجع المقالات الخاصة إما بالنقطة أوقائمة الانتظار أو موارد الجدول.
يمكنك استخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC) لإدارة أذونات مدير الأمان إلى موارد الكائن الثنائي الكبير الحجم وقائمة الانتظار والجدول في حساب تخزين. يمكنك بالإضافة إلى ذلك استخدام التحكم في الوصول المستند إلى سمات Azure (ABAC) لإضافة شروط إلى تعيينات دور Azure لموارد الكائن الثنائي الكبير الحجم. لمزيد من المعلومات عن RBAC، راجع ما هو التحكم في الوصول استناداً إلى الدور في Azure (Azure RBAC)؟ لمزيد من المعلومات حول ABAC، راجع ما المقصود بالتحكم في الوصول المستند إلى سمات Azure (Azure ABAC)؟ (معاينة).
مصادقة Azure خدمات مجال Active Directory (Azure AD DS) لـAzure Files. تدعم Azure Files التخويل المستند إلى الهوية عبر كتلة رسالة الخادم (SMB) من خلال Azure AD DS. يمكنك استخدام Azure RBAC للتحكم الدقيق في وصول العميل إلى موارد Azure Files في حساب تخزين لمزيد من المعلومات حول مصادقة ملفات Azure باستخدام خدمات المجال، راجع نظرة عامة.
مصادقة خدمات مجال Active Directory المحلية (AD DS أو AD DS المحلية) لملفات Azure. تدعم ملفات Azure التفويض المستند إلى الهوية عبر SMB من خلال AD DS. يمكن استضافة بيئة AD DS الخاصة بك في الأجهزة المحلية أو في أجهزة Azure الظاهرية. يتم دعم وصول SMB إلى الملفات باستخدام بيانات اعتماد AD DS من الأجهزة المرتبطة بالمجال، إما محليًا أو في Azure. يمكنك استخدام مجموعة من Azure RBAC للتحكم في الوصول على مستوى المشاركة وNTFS DACLs لفرض الأذونات على مستوى الدليل/الملف. لمزيد من المعلومات حول مصادقة ملفات Azure باستخدام خدمات المجال، راجع نظرة عامة.
وصول القراءة العامة المجهولة للحاويات والكائن الثنائي كبير الحجم. عندما يتم تكوين الوصول المجهول، يمكن للعملاء قراءة بيانات كائن ثنائي كبير الحجم دون إذن. لمزيد من المعلومات، راجع إدارة الوصول المجهول للقراءة إلى الحاويات والنقاط الكبيرة.
يمكنك عدم السماح بالوصول العام المجهول للقراءة لحساب تخزين. عندما لا يسمح بالوصول العام المجهول للقراءة، لا يمكن للمستخدمين تكوين الحاويات لتمكين الوصول المجهول، ويجب تفويض جميع الطلبات. لمزيد من المعلومات، راجع منع وصول الجمهور المجهول إلى الحاويات والنقط.
التخزين يمكن استخدام المستخدمين المحليين للوصول إلى النقاط باستخدام SFTP أو الملفات باستخدام SMB. التخزين يدعم المستخدمون المحليون أذونات مستوى الحاوية للتفويض. راجع الاتصال إلى Azure Blob Storage باستخدام بروتوكول نقل ملفات SSH (SFTP) للحصول على مزيد من المعلومات حول كيفية استخدام التخزين للمستخدمين المحليين مع SFTP.
حماية مفاتيح الوصول الخاصة بك
تشبه مفاتيح الوصول إلى حساب التخزين كلمة المرور الأساسية لحساب التخزين خاصتك. كن حذرًا دائمًا لحماية مفاتيح الوصول خاصتك. استخدم Azure Key Vault لإدارة المفاتيح وتدويرها بأمان. تجنب توزيع مفاتيح الوصول إلى مستخدمين آخرين، أو ترميزها ترميزًا ثابتًا، أو حفظها في أي مكان في نص عادي يمكن للآخرين الوصول إليه. قم بتدوير المفاتيح الخاصة بك إذا كنت تعتقد أنها قد تعرضت للخطر.
ملاحظة
توصي Microsoft باستخدام Azure Active Directory (Azure AD) للسماح بالطلبات مقابل بيانات الكائن الثنائي كبير الحجم وقائمة الانتظار إن أمكن، بدلًا من استخدام مفاتيح الحساب (تخويل المفتاح المشترك). يوفر التخويل مع Azure AD أمانًا فائقًا وسهولة الاستخدام على تخويل المفتاح المشترك.
لحماية حساب تخزين Azure باستخدام نهج الوصول المشروط إلى Azure AD، يجب عدم السماح بتخويل المفتاح المشترك لحساب التخزين. لمزيد من المعلومات حول كيفية عدم السماح بتخويل المفتاح المشترك، راجع منع تخويل المفتاح المشترك لحساب Azure Storage.
الخطوات التالية
- قم بتفويض الوصول باستخدام Azure Active Directory إما إلى موارد النقطة أو قائمة الانتظار أو الجدول.
- تخويل باستخدام Shared Key
- منح وصول محدود إلى موارد Azure Storage باستخدام shared access signatures (SAS)