Zvolte, jak autorizovat přístup k datům objektů blob v Azure Portal

Článek
09/25/2021
5 min ke čtení

Když k datům objektů blob přistupuje pomocí Azure Portal, portál pod Azure Storage požadavky na přístup. Žádost o Azure Storage může být autorizována pomocí vašeho účtu Azure AD nebo přístupového klíče účtu úložiště. Portál určuje, kterou metodu používáte, a umožňuje mezi nimi přepínat, pokud máte příslušná oprávnění.

Můžete také určit, jak autorizovat jednotlivé operace nahrávání objektů blob v Azure Portal. Ve výchozím nastavení portál používá k autorizaci operace nahrání objektu blob metodu, kterou už používáte, ale toto nastavení můžete při nahrávání objektu blob změnit.

Oprávnění potřebná pro přístup k datům objektů blob

V závislosti na tom, jak chcete autorizovat přístup k datům objektů blob v Azure Portal, budete potřebovat konkrétní oprávnění. Ve většině případů se tato oprávnění poskytují prostřednictvím řízení přístupu na základě role v Azure (Azure RBAC). Další informace o Azure RBAC najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?.

Použití přístupového klíče účtu

Pokud chcete získat přístup k datům objektů blob pomocí přístupového klíče účtu, musíte mít přiřazenou roli Azure, která zahrnuje akci Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Tato role Azure může být integrovaná nebo vlastní role. Předdefinované role, které podporují Microsoft.Storage/storageAccounts/listkeys/action, zahrnují následující oprávnění v pořadí od nejméně po největší:

Role Čtenář a Přístup k datům
Role přispěvatele Storage účtu
Role Azure Resource Manager přispěvatele
Role Azure Resource Manager role Vlastník

Když se pokusíte získat přístup k datům objektů blob v Azure Portal, portál nejprve zkontroluje, jestli vám byla přiřazena role s microsoft.Storage/storageAccounts/listkeys/action. Pokud vám byla přiřazena role s touto akcí, portál použije klíč účtu pro přístup k datům objektů blob. Pokud vám nebyla přiřazena role s touto akcí, portál se pokusí o přístup k datům pomocí vašeho účtu Azure AD.

Důležité

Pokud je účet úložiště uzamčen zámkem Azure Resource Manager Jen pro čtení, operace List Keys není pro tento účet úložiště povolená. Seznam klíčů je operace POST a všechny operace POST se zabraňují, když je pro účet nakonfigurovaný zámek Jen pro čtení. Z tohoto důvodu platí, že když je účet uzamčen zámkem Jen pro čtení, musí uživatelé pro přístup k datům objektů blob na portálu použít přihlašovací údaje Azure AD. Informace o přístupu k datům objektů blob na portálu pomocí Azure AD najdete v tématu Použití účtu Azure AD.

Poznámka

Role klasického správce předplatného Správce služeb a Co-Administrator zahrnují ekvivalent role Azure Resource Manager vlastník předplatného. Role Vlastník zahrnuje všechny akce, včetně akcí Microsoft.Storage/storageAccounts/listkeys/action, takže uživatel s jednou z těchto správních rolí může také přistupovat k datům objektů blob pomocí klíče účtu. Další informace najdete v tématu Role klasického správce předplatného, role Azurea role správce Azure AD.

Použití účtu Azure AD

Pro přístup k datům objektů blob z Azure Portal pomocí účtu Azure AD musí být pro vás oba následující příkazy pravdivé:

Máte přiřazenou předdefinovou nebo vlastní roli, která poskytuje přístup k datům objektů blob.
Máte přiřazenou roli čtenáře Azure Resource Manager, která je minimálně vymezená na úroveň účtu úložiště nebo vyšší. Role Čtenář uděluje nejvíce omezená oprávnění, ale je přijatelná Azure Resource Manager role, která uděluje přístup k prostředkům pro správu účtu úložiště.

Role Azure Resource Manager Čtenář umožňuje uživatelům zobrazit prostředky účtu úložiště, ale neupravuje je. Neposkytuje oprávnění ke čtení dat v Azure Storage, ale pouze k prostředkům správy účtů. Role Čtenář je nezbytná, aby uživatelé mohli přejít na kontejnery objektů blob v Azure Portal.

Informace o předdefinované roli, které podporují přístup k datům objektů blob, najdete v tématu Autorizace přístupu k objektům blob pomocí Azure Active Directory.

Vlastní role mohou podporovat různé kombinace stejných oprávnění, která poskytují předdefinované role. Další informace o vytváření vlastních rolí Azure najdete v tématu Vlastní role Azure a Principy definic rolí pro prostředky Azure.

Poznámka

Verze Preview služby Průzkumník služby Storage v Azure Portal nepodporuje použití přihlašovacích údajů Azure AD k zobrazení a úpravě dat objektů blob. Průzkumník služby Storage v Azure Portal vždy používá klíče účtu pro přístup k datům. Pokud chcete Průzkumník služby Storage v Azure Portal, musíte mít přiřazenou roli, která zahrnuje Microsoft.Storage/storageAccounts/listkeys/action.

Přejděte na objekty blob v Azure Portal

Pokud chcete zobrazit data objektů blob na portálu, přejděte na Přehled vašeho účtu úložiště a klikněte na odkazy na objekty blob. Případně můžete přejít do části Kontejnery v nabídce.

Snímek obrazovky znázorňující, jak přejít na data objektů blob v Azure Portal

Určení aktuální metody ověřování

Když přejdete do kontejneru, Azure Portal určuje, jestli k ověřování aktuálně používáte přístupový klíč účtu nebo účet Azure AD.

Ověření pomocí přístupového klíče účtu

Pokud se k ověřování používáte přístupový klíč účtu, na portálu se zobrazí Přístupový klíč zadaný jako metoda ověřování:

Snímek obrazovky zobrazující uživatele, který aktuálně přistupuje ke kontejnerům s klíčem účtu

Pokud chcete přepnout na používání účtu Azure AD, klikněte na zvýrazněný odkaz na obrázku. Pokud máte příslušná oprávnění prostřednictvím rolí Azure, které vám jsou přiřazeny, budete moct pokračovat. Pokud ale chybí příslušná oprávnění, zobrazí se chybová zpráva podobná následující:

Chyba zobrazená v případě, že účet Azure AD nepodporuje přístup

Všimněte si, že pokud váš účet Azure AD nemá oprávnění k jejich zobrazení, nezobrazí se v seznamu žádné objekty blob. Kliknutím na odkaz Přepnout na přístupový klíč znovu použijte přístupový klíč k ověřování.

Ověřování pomocí účtu Azure AD

Pokud se k ověřování používáte účet Azure AD, zobrazí se na portálu uživatelský účet Azure AD zadaný jako metoda ověřování:

Snímek obrazovky uživatele, který aktuálně přistupuje ke kontejnerům pomocí účtu Azure AD

Pokud chcete přepnout na použití přístupového klíče účtu, klikněte na odkaz zvýrazněný na obrázku. Pokud máte přístup ke klíči účtu, budete moct pokračovat. Pokud však přístup ke klíči účtu chybí, zobrazí se chybová zpráva podobná následující:

Chyba zobrazená v případě, že nemáte přístup ke klíči účtu

Všimněte si, že pokud nemáte přístup ke klíčům účtu, v seznamu se nezobrazí žádné objekty blob. Klikněte na odkaz Switch to Azure AD User Account (Přepnout na uživatelský účet Azure AD) a znovu použijte svůj účet Azure AD k ověřování.

Určení, jak autorizovat operaci nahrání objektu blob

Při nahrávání objektu blob z Azure Portal můžete určit, jestli se má tato operace ověřit a autorizovat pomocí přístupového klíče účtu nebo pomocí přihlašovacích údajů Azure AD. Ve výchozím nastavení portál používá aktuální metodu ověřování, jak je znázorněno v části Určení aktuální metody ověřování.

Pokud chcete určit, jak autorizovat operaci nahrání objektu blob, postupujte takto:

V Azure Portal přejděte do kontejneru, do které chcete nahrát objekt blob.
Vyberte tlačítko Nahrát.
Rozbalte část Upřesnit a zobrazte upřesňující vlastnosti objektu blob.
V poli Typ ověřování určete, jestli chcete operaci nahrávání autorizovat pomocí účtu Azure AD nebo pomocí přístupového klíče účtu, jak je znázorněno na následujícím obrázku: