تخويل الوصول إلى قوائم الانتظار باستخدام Azure Active Directory

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يدعم Azure Storage استخدام Azure Active Directory (Azure AD) لتخويل طلبات وضع البيانات في قائمة الانتظار. باستخدام Microsoft Azure Active Directory، يمكنك استخدام التحكم في الوصول استنادًا إلى الدور لـ Azure (Azure RBAC) لمنح أذونات لأساس الأمان، والذي قد يكون عبارة عن مستخدم أو مجموعة أو كيان خدمة تطبيق. يتم مصادقة أساس الأمان بواسطة Azure AD لإرجاع رمز OAuth 2.0. يمكن استخدام الرمز المميز بعد ذلك لتخويل طلب مقابل خدمة قائمة الانتظار.

إن تخويل الطلبات مقابل Azure Storage باستخدام Azure AD يوفر أمان أعلى وسهولة استخدام عبر تخويل المفتاح المشترك. توصي Microsoft باستخدام تخويل Azure AD مع تطبيقات قائمة الانتظار عندما يكون ذلك ممكناً لضمان الوصول بأقل قدر ممكن من الامتيازات المطلوبة.

يتوفر التخويل باستخدام Azure AD لجميع حسابات التخزين ذات الأغراض العامة في جميع المناطق العامة والسحب الوطنية. تدعم حسابات التخزين التي تم إنشاؤها باستخدام نموذج توزيع Azure Resource Manager فقط تخويل Azure AD.

نظرة عامة حول Azure AD لقوائم الانتظار

عندما يحاول أحد أساسيات الأمان (مستخدم أو مجموعة أو تطبيق) الوصول إلى مورد قائمة انتظار، يجب أن يكون الطلب معتمداً. باستخدام Microsoft Azure Active Directory، يعد الوصول إلى مورد عملية من خطوتين. تتم، أولاً مصادقة هوية أساس الأمان، ويتم إرجاع رمز OAuth 2.0 المميز. بعد ذلك، يتم تمرير الرمز المميز كجزء من طلب إلى خدمة قائمة الانتظار ويتم استخدامه بواسطة الخدمة لتخويل الوصول إلى المورد المُحدد.

تتطلب خطوة المصادقة أن يحتوي طلب التطبيق على رمز وصول OAuth 2.0 المميز عند وقت التشغيل. إذا كان أحد التطبيقات قيد التشغيل من داخل كيان Azure مثل الجهاز الظاهري لـ Azure أو مجموعة مقاييس الجهاز الظاهري أو تطبيق Azure Functions، فيمكنه استخدام هوية مدارة للوصول إلى قوائم الانتظار. لمعرفة كيفية تخويل الطلبات المقدمة بواسطة هوية مدارة، راجع تخويل الوصول إلى بيانات قائمة الانتظار باستخدام هويات مدارة لموارد Azure.

تتطلب خطوة التفويض تعيين دور أو أكثر من أدوار Azure إلى أساس الأمان. يوفر Azure Storage أدوار Azure التي تتضمن مجموعات شائعة من الأذونات لبيانات قائمة الانتظار. تحدد الأدوار التي تم تعيينها لأساس أمان الأذونات التي يحصل عليها الأساس. لمعرفة المزيد حول تعيين أدوار Azure للوصول إلى قائمة الانتظار، راجع تعيين دور Azure للوصول إلى بيانات قائمة الانتظار.

يمكن أيضاً أن تُخول التطبيقات الأصلية وتطبيقات الويب التي تقدم طلبات إلى خدمة قائمة انتظار Azure مع Azure AD. لمعرفة كيفية طلب رمز وصول مميز واستخدامه لتخويل الطلبات، راجع تخويل الوصول إلى تخزين Azure باستخدام Azure AD من تطبيق تخزين Azure.

تعيين أدوار Azure لحقوق الوصول

يأذن Microsoft Azure Active Directory (Azure AD) بحقوق الوصول إلى الموارد الآمنة من خلال⁧⁧⁩⁩التحكم في الوصول استنادًا إلى دور Azure (Azure RBAC)⁧⁧⁩⁩. يحدد Azure Storage مجموعة من أدوار Azure المدمجة التي تشمل مجموعات شائعة من الأذونات المستخدمة للوصول إلى بيانات قائمة الانتظار. يمكنك أيضاً تحديد أدوار مخصصة للوصول إلى بيانات قائمة الانتظار.

عند تعيين دور لأساس أمان Microsoft Azure Active Directory، يقوم Azure بمنح الوصول إلى تلك الموارد لأساس الأمان هذا. يمكن لأساس أمان Microsoft Azure Active Directory أن يكون مستخدم أو مجموعة أو كيان خدمة تطبيق أو هوية مُدارة لموارد Azure.

نطاق المورد

قبل تعيين دور التحكم في الوصول استناداً إلى الدور لـ Azure إلى أساس أمان، حدد نطاق الوصول الذي يجب أن يكون لأساس الأمان. تقتضي أفضل الممارسات أنه من الأفضل دائمًا منح أضيق نطاق ممكن فقط. يتم توريث أدوار التحكم في الوصول استناداً إلى الدور لـ Azure المحددة على نطاق أوسع بواسطة الموارد الموجودة تحتها.

يمكنك توسيع نطاق الوصول إلى موارد قائمة انتظار Azure على المستويات التالية، بدءاً من النطاق الأضيق:

• قائمة انتظار فردية. في هذا النطاق، ينطبق تعيين الدور على الرسائل الموجودة في قائمة الانتظار، بالإضافة إلى خصائص قائمة الانتظار وبيانات التعريف.
• حساب التخزين. في هذا النطاق، ينطبق تعيين الدور على جميع قوائم الانتظار ورسائلها.
• مجموعة الموارد. في هذا النطاق، ينطبق تعيين دور على كافة قوائم الانتظار في كافة حسابات التخزين في مجموعة الموارد.
• الاشتراك. في هذا النطاق، ينطبق تعيين دور على كافة قوائم الانتظار في كافة حسابات التخزين في كل مجموعات الموارد في الاشتراك.
• مجموعة الإدارة. في هذا النطاق، ينطبق تعيين دور على كافة قوائم الانتظار في كافة حسابات التخزين في كل مجموعات الموارد في كل الاشتراكات في مجموعة الإدارة.

لمزيد من المعلومات حول نطاق تعيينات دور التحكم في الوصول استناداً إلى الدور لـ Azure، راجع فهم نطاق التحكم في الوصول استناداً إلى الدور لـ Azure.

أدوار Azure المضمنة لقوائم الانتظار

يوفر التحكم في الوصول استناداً إلى الدور لـ Azure عدداً من الأدوار المضمنة لتخويل الوصول إلى بيانات قائمة الانتظار باستخدام Azure AD وOAuth. تتضمن بعض الأمثلة على الأدوار التي توفر أذونات لموارد البيانات في Azure Storage ما يلي:

• مساهم بيانات قائمة انتظار التخزين: يستخدم لمنح أذونات القراءة/الكتابة/الحذف لقوائم انتظار Azure.
• قارئ بيانات قائمة انتظار التخزين: يستخدم لمنح أذونات القراءة فقط لقوائم انتظار Azure.
• معالج رسائل بيانات قائمة انتظار التخزين: يستخدم لمنح أذونات التحرير السريع للرسائل الموجودة في قوائم انتظار Azure Storage واستردادها وحذفها.
• مرسل رسالة بيانات قائمة انتظار التخزين: يستخدم لمنح أذونات إضافة إلى الرسائل في قوائم انتظار Azure Storage.

لمعرفة كيفية تعيين دور Azure مضمن إلى أساس أمان، راجع تعيين دور Azure للوصول إلى بيانات قائمة الانتظار. لمعرفة كيفية إدراج أدوار التحكم في الوصول استناداً إلى الدور لـ Azure وأذوناتها، راجع إدراج تعريفات دور Azure.

لمزيد من المعلومات حول كيفية تعريف الأدوار المضمنة لـ Azure Storage، راجع فهم تعريفات الدور. للحصول على معلومات حول إنشاء أدوار Azure مخصصة، يرجى مراجعة⁧⁧⁩⁩أدوار Azure المخصصة⁧⁧⁩⁩.

فقط الأدوار المحددة صراحةً للوصول إلى البيانات هي التي تسمح لأساس الأمان بالوصول إلى بيانات قائمة الانتظار. تسمح الأدوار المضمنة مثل المالك والمساهم ومساهم حساب التخزين لأساس الأمان بإدارة حساب التخزين، ولكنها لا توفر الوصول إلى بيانات قائمة الانتظار داخل هذا الحساب عبر Azure AD. ومع ذلك، إذا كان الدور يتضمن Microsoft.Storage/storageAccounts/listKeys/action، فيمكن للمستخدم الذي تم تعيين هذا الدور له الوصول إلى البيانات الموجودة في حساب التخزين عبر تخويل المفتاح المشترك باستخدام مفاتيح الوصول إلى الحساب. لمزيد من المعلومات، راجع اختيار كيفية تخويل الوصول إلى بيانات الكائن الثنائي كبير الحجم في مدخل Azure.

للحصول على معلومات مفصلة حول أدوار Azure المضمنة لـ Azure Storage لكل من خدمات البيانات وخدمة الإدارة، راجع قسم التخزين في أدوار Azure المضمنة للتحكم في الوصول استناداً إلى الدور لـ Azure. بالإضافة إلى ذلك، للحصول على معلومات حول الأنواع المختلفة من الأدوار التي توفر أذونات في Azure، راجع أدوار مسؤول الاشتراك التقليدي وأدوار Azure وأدوار Azure AD.

هام

قد تستغرق تعيينات الأدوار في Azure ما يصل إلى 30 دقيقة.

أذونات الوصول لعمليات البيانات

للحصول على تفاصيل حول الأذونات المطلوبة للاتصال بعمليات خدمة قائمة انتظار محددة، راجع أذونات استدعاء عمليات البيانات.

الوصول إلى البيانات باستخدام حساب Azure AD

يمكن تخويل الوصول إلى بيانات قائمة الانتظار عبر مدخل Azure أو PowerShell أو Azure CLI إما باستخدام حساب Azure AD الخاص بالمستخدم أو باستخدام مفاتيح الوصول إلى الحساب (تخويل المفتاح المشترك).

الوصول إلى البيانات من مدخل Azure

يمكن لمدخل Azure استخدام حساب Azure AD الخاص بك أو مفاتيح الوصول إلى الحساب للوصول إلى بيانات قائمة الانتظار في حساب تخزين Azure. يعتمد نظام المصادقة الذي يستخدمه مدخل Azure على أدوار Azure التي تم تعيينها لك.

عند محاولة الوصول إلى بيانات قائمة الانتظار في مدخل Azure، يتحقق المدخل أولاً ما إذا كان قد تم تعيين دور لك مع Microsoft.Storage/storageAccounts/listkeys/action. إذا عين دور لك بهذا الإجراء، فإن مدخل Azure يستخدم مفتاح الحساب للوصول إلى بيانات قائمة الانتظار عبر تخويل المفتاح المشترك. إذا لم يتم تعيين دور لك بهذا الإجراء، فسيحاول مدخل Azure الوصول إلى البيانات باستخدام حساب Azure AD الخاص بك.

للوصول إلى بيانات قائمة الانتظار من مدخل Azure باستخدام حساب Azure AD الخاص بك، تحتاج إلى أذونات للوصول إلى بيانات قائمة الانتظار، وتحتاج أيضاً إلى أذونات للتنقل عبر موارد حساب التخزين في مدخل Azure. تمنح الأدوار المضمنة التي يوفرها Azure Storage حق الوصول إلى موارد قائمة الانتظار، ولكنها لا تمنح أذونات لموارد حساب التخزين. لهذا السبب، يتطلب الوصول إلى المدخل أيضاً تعيين دور Azure Resource Manager مثل دور القارئ، الذي تم تحديد نطاقه إلى مستوى حساب التخزين أو أعلى. يمنح دور القارئ الأذونات الأكثر تقييداً، ولكن دور Azure Resource Manager آخر الذي يمنح الوصول إلى موارد إدارة حساب التخزين مقبول أيضاً. لمعرفة المزيد حول كيفية تعيين أذونات للمستخدمين للوصول إلى البيانات في مدخل Azure باستخدام حساب Azure AD، راجع تعيين دور Azure للوصول إلى بيانات قائمة الانتظار أو تعيين دور Azure للوصول إلى بيانات قائمة الانتظار.

يشير مدخل Azure إلى نظام التخويل المستخدم عند الانتقال إلى قائمة انتظار. لمزيد من المعلومات حول الوصول إلى البيانات في المدخل، راجع اختيار كيفية تخويل الوصول إلى بيانات قائمة الانتظار في مدخل Azure واختيار كيفية تخويل الوصول إلى بيانات قائمة الانتظار في مدخل Azure.

الوصول إلى البيانات من PowerShell أو Azure CLI

يدعم Azure CLI وPowerShell تسجيل الدخول باستخدام بيانات اعتماد Azure AD. بعد تسجيل الدخول، يتم تشغيل جلسة العمل الخاصة بك ضمن بيانات الاعتماد هذه. لمعرفة المزيد، راجع المقالات التالية:

• اختيار طريقة تخويل الوصول إلى بيانات قائمة الانتظار باستخدام Azure CLI
• تشغيل أوامر PowerShell باستخدام بيانات اعتماد Azure AD للوصول إلى بيانات قائمة الانتظار

الخطوات التالية

• تخويل الوصول إلى البيانات في Azure Storage
• تعيين دور Azure للوصول إلى بيانات قائمة الانتظار