Volba způsobu autorizace přístupu k datům objektů blob na webu Azure Portal
Když přistupujete k datům objektů blob pomocí webu Azure Portal, portál odešle požadavky do služby Azure Storage v rámci krytu. Požadavek na službu Azure Storage je možné autorizovat pomocí vašeho účtu Microsoft Entra nebo pomocí přístupového klíče účtu úložiště. Na portálu vidíte, jakou metodu používáte, a pokud máte příslušná oprávnění, můžete mezi těmito dvěma metodami přepínat.
Můžete také určit, jak autorizovat jednotlivé operace nahrávání objektů blob na webu Azure Portal. Ve výchozím nastavení portál používá metodu, kterou už používáte k autorizaci operace nahrání objektu blob, ale při nahrávání objektu blob máte možnost toto nastavení změnit.
Oprávnění potřebná pro přístup k datům objektů blob
V závislosti na tom, jak chcete autorizovat přístup k datům objektů blob na webu Azure Portal, budete potřebovat konkrétní oprávnění. Ve většině případů se tato oprávnění poskytují prostřednictvím řízení přístupu na základě role v Azure (Azure RBAC). Další informace o Azure RBAC najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?
Použití přístupového klíče účtu
Pokud chcete získat přístup k datům objektů blob pomocí přístupového klíče účtu, musíte mít přiřazenou roli Azure, která zahrnuje akci Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Tato role Azure může být integrovaná nebo vlastní role. Předdefinované role, které podporují Microsoft.Storage/storageAccounts/listkeys/action , zahrnují následující:
- Role Čtenář a přístup k datům
- Role přispěvatele účtu úložiště
- Role přispěvatele Azure Resource Manager
- Role vlastníka Azure Resource Manager
Když se pokusíte získat přístup k datům objektů blob na webu Azure Portal, portál nejprve zkontroluje, jestli máte přiřazenou roli s Microsoft.Storage/storageAccounts/listkeys/action. Pokud jste k této akci přiřadili roli, použije portál klíč účtu pro přístup k datům objektů blob. Pokud jste k této akci nepřiřadili roli, portál se pokusí o přístup k datům pomocí účtu Microsoft Entra.
Důležité
Pokud je účet úložiště uzamčený zámkem Jen pro čtení Azure Resource Manageru, operace Výpis klíčů není pro tento účet úložiště povolená. Seznam klíčů je operace POST a všechny operace POST jsou znemožněné, pokud je pro účet nakonfigurovaný zámek Jen pro čtení . Z tohoto důvodu musí uživatelé při uzamčení účtu použít přihlašovací údaje Microsoft Entra pro přístup k datům objektů blob na portálu. Informace o přístupu k datům objektů blob na portálu s ID Microsoft Entra najdete v tématu Použití účtu Microsoft Entra.
Poznámka:
Role klasického správce předplatného Service Správa istrator a Spolu Správa istrator zahrnují ekvivalent role vlastníka Azure Resource Manageru. Role Vlastník zahrnuje všechny akce, včetně Microsoft.Storage/storageAccounts/listkeys/action, takže uživatel s jednou z těchto rolí pro správu může také přistupovat k datům objektů blob pomocí klíče účtu. Další informace najdete v tématu Role Azure, role Microsoft Entra a klasické role správce předplatného.
Použití účtu Microsoft Entra
Pokud chcete získat přístup k datům objektů blob z webu Azure Portal pomocí účtu Microsoft Entra, musí být pro vás oba následující příkazy pravdivé:
- Máte přiřazenou předdefinované nebo vlastní roli, která poskytuje přístup k datům objektů blob.
- Byla vám přiřazena role Čtenář Azure Resource Manageru s minimálním rozsahem na úroveň účtu úložiště nebo vyšší. Role Čtenář uděluje nejomezenější oprávnění, ale je možné použít také jinou roli Azure Resource Manageru, která uděluje přístup k prostředkům pro správu účtu úložiště.
Role Čtenář Azure Resource Manageru umožňuje uživatelům zobrazovat prostředky účtu úložiště, ale ne je upravovat. Neposkytuje oprávnění ke čtení dat ve službě Azure Storage, ale pouze k prostředkům pro správu účtů. Role Čtenář je nezbytná, aby uživatelé mohli přejít na kontejnery objektů blob na webu Azure Portal.
Informace o předdefinovaných rolích, které podporují přístup k datům objektů blob, najdete v tématu Autorizace přístupu k objektům blob pomocí ID Microsoft Entra.
Vlastní role můžou podporovat různé kombinace stejných oprávnění poskytovaných předdefinovanými rolemi. Další informace o vytváření vlastních rolí Azure najdete v tématu Vlastní role Azure a Vysvětlení definic rolí pro prostředky Azure.
Přechod na objekty blob na webu Azure Portal
Pokud chcete zobrazit data objektů blob na portálu, přejděte do přehledu účtu úložiště a klikněte na odkazy pro objekty blob. Alternativně můžete přejít do části Kontejnery v nabídce.
Určení aktuální metody ověřování
Když přejdete do kontejneru, Azure Portal označuje, jestli k ověření aktuálně používáte přístupový klíč účtu nebo účet Microsoft Entra.
Ověření pomocí přístupového klíče účtu
Pokud ověřujete pomocí přístupového klíče účtu, zobrazí se přístupový klíč zadaný jako metoda ověřování na portálu:
Pokud chcete přepnout na používání účtu Microsoft Entra, klikněte na odkaz zvýrazněný na obrázku. Pokud máte příslušná oprávnění prostřednictvím rolí Azure, které jsou vám přiřazené, budete moct pokračovat. Pokud ale nemáte správná oprávnění, zobrazí se chybová zpráva podobná následující:
Všimněte si, že v seznamu se nezobrazují žádné objekty blob, pokud váš účet Microsoft Entra nemá oprávnění k jejich zobrazení. Kliknutím na odkaz Přepnout na přístupový klíč znovu použijte přístupový klíč pro ověření.
Ověření pomocí účtu Microsoft Entra
Pokud ověřujete pomocí svého účtu Microsoft Entra, na portálu se zobrazí uživatelský účet Microsoft Entra zadaný jako metoda ověřování:
Pokud chcete přepnout na použití přístupového klíče účtu, klikněte na odkaz zvýrazněný na obrázku. Pokud máte přístup k klíči účtu, budete moct pokračovat. Pokud ale nemáte přístup k klíči účtu, zobrazí se chybová zpráva podobná následující:
Všimněte si, že v seznamu se nezobrazují žádné objekty blob, pokud nemáte přístup k klíčům účtu. Klikněte na odkaz Přepnout na uživatelský účet Microsoft Entra a znovu použijte svůj účet Microsoft Entra pro ověření.
Určení způsobu autorizace operace nahrání objektu blob
Když nahrajete objekt blob z webu Azure Portal, můžete určit, jestli se má tato operace ověřit a autorizovat pomocí přístupového klíče účtu nebo pomocí přihlašovacích údajů Microsoft Entra. Portál ve výchozím nastavení používá aktuální metodu ověřování, jak je znázorněno v části Určení aktuální metody ověřování.
Pokud chcete určit, jak autorizovat operaci nahrání objektu blob, postupujte takto:
Na webu Azure Portal přejděte do kontejneru, do kterého chcete nahrát objekt blob.
vyberte tlačítko Nahrát.
Rozbalte část Upřesnit a zobrazte upřesňující vlastnosti objektu blob.
V poli Typ ověřování určete, jestli chcete operaci nahrávání autorizovat pomocí účtu Microsoft Entra nebo pomocí přístupového klíče účtu, jak je znázorněno na následujícím obrázku:
Výchozí oprávnění Microsoft Entra na webu Azure Portal
Když vytvoříte nový účet úložiště, můžete určit, že Azure Portal bude ve výchozím nastavení autorizaci s ID Microsoft Entra, když uživatel přejde na data objektů blob. Toto nastavení můžete také nakonfigurovat pro existující účet úložiště. Toto nastavení určuje pouze výchozí metodu autorizace, proto mějte na paměti, že uživatel může toto nastavení přepsat a rozhodnout se autorizovat přístup k datům pomocí klíče účtu.
Pokud chcete určit, že portál bude při vytváření účtu úložiště používat autorizaci Microsoft Entra ve výchozím nastavení pro přístup k datům, postupujte takto:
Vytvořte nový účet úložiště podle pokynů v části Vytvoření účtu úložiště.
Na kartě Upřesnit v části Zabezpečení zaškrtněte na webu Azure Portal políčko Vedle výchozí autorizace Microsoft Entra.
Výběrem tlačítka Zkontrolovat a vytvořit spusťte ověření a vytvořte účet.
Chcete-li aktualizovat toto nastavení pro existující účet úložiště, postupujte takto:
Na webu Azure Portal přejděte na přehled účtu.
V části Nastavení vyberte Konfigurace.
Na webu Azure Portal nastavte výchozí oprávnění Microsoft Entra na Povoleno.
Vlastnost defaultToOAuthAuthentication účtu úložiště není ve výchozím nastavení nastavená a nevrací hodnotu, dokud ji explicitně nenastavíte.