Autorizace přístupu k datům v Azure Storage
Pokaždé, když přistupujete k datům v účtu úložiště, vaše klientská aplikace provede požadavek přes HTTP/HTTPS na Azure Storage. Ve výchozím nastavení je každý prostředek v Azure Storage zabezpečený a každý požadavek na zabezpečený prostředek musí být autorizován. Autorizace zajišťuje, že klientská aplikace má příslušná oprávnění pro přístup k datům ve vašem účtu úložiště.
Následující tabulka popisuje možnosti, které Azure Storage pro povolení přístupu k datům:
| Artefakt Azure | Sdílený klíč (klíč účtu úložiště) | Sdílený přístupový podpis (SAS) | Azure Active Directory (Azure AD) | Místní Active Directory Domain Services | Anonymní veřejný přístup pro čtení |
|---|---|---|---|---|---|
| Objekty blob Azure | Podporováno | Podporováno | Podporováno | Nepodporováno | Podporováno |
| Azure Files (SMB) | Podporováno | Nepodporováno | Podporováno, pouze s AAD Domain Services | Podporuje se, přihlašovací údaje se musí synchronizovat s Azure AD. | Nepodporováno |
| Azure Files (REST) | Podporováno | Podporováno | Nepodporováno | Nepodporováno | Nepodporováno |
| Fronty Azure | Podporováno | Podporováno | Podporováno | Nepodporuje se | Nepodporováno |
| Tabulky Azure | Podporováno | Podporováno | Podporováno (Preview) | Nepodporováno | Nepodporováno |
Jednotlivé možnosti autorizace jsou stručně popsány níže:
Azure Active Directory (Azure AD) pro ověřování požadavků na prostředky objektů blob, front a tabulek. Microsoft doporučuje používat přihlašovací údaje Azure AD k autorizaci požadavků na data, pokud je to možné, pro zajištění optimálního zabezpečení a snadného použití. Další informace o integraci Služby Azure AD najdete v článcích o zdrojích objektů blob, front nebo tabulek.
Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete spravovat oprávnění objektu zabezpečení k prostředkům objektů blob, front a tabulek v účtu úložiště. Kromě toho můžete použít řízení přístupu na základě atributů Azure (ABAC) k přidání podmínek do přiřazení rolí Azure pro prostředky objektů blob. Další informace o řízení přístupu na základě role najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?. Další informace o ABAC najdete v tématu Co je řízení přístupu na základě atributů Azure (Azure ABAC)? (Preview).
Azure Active Directory služby Domain Services (Azure AD DS) pro Azure Files. Azure Files podporuje autorizaci založenou na identitě přes protokol SMB (Server Message Block) prostřednictvím Azure AD DS. Azure RBAC můžete použít k jemně odlišené kontrole přístupu klienta k prostředkům Azure Files v účtu úložiště. Další informace o ověřování Azure Files pomocí doménových služeb najdete v přehledu.
Místní ověřování Active Directory Domain Services (AD DS nebo místní služba AD DS) pro Azure Files. Azure Files podporuje autorizaci založenou na identitě přes protokol SMB prostřednictvím služby AD DS. Vaše prostředí AD DS se může hostovat na místních počítačích nebo na virtuálních počítačích Azure. Přístup SMB k souborům se podporuje pomocí přihlašovacích údajů služby AD DS z počítačů připojených k doméně, a to buď místně, nebo v Azure. Pro řízení přístupu na úrovni sdílené složky a seznamy DACL systému souborů NTFS můžete použít kombinaci Azure RBAC pro vynucení oprávnění na úrovni adresáře nebo souboru. Další informace o ověřování Azure Files pomocí doménových služeb najdete v přehledu.
Autorizace sdíleného klíče pro objekty blob, soubory, fronty a tabulky. Klient, který používá sdílený klíč, předá hlavičku s každou žádostí, která je podepsaná pomocí přístupového klíče účtu úložiště. Další informace najdete v tématu Autorizace se sdíleným klíčem.
Pro účet úložiště můžete zakázat autorizaci pomocí sdíleného klíče. Pokud je autorizace pomocí sdíleného klíče zakázána, klienti musí k autorizaci požadavků na data v tomto účtu úložiště použít Azure AD. Další informace najdete v tématu Zabránění autorizaci pomocísdíleného klíče Azure Storage účtu .
Sdílené přístupové podpisy pro objekty blob, soubory, fronty a tabulky. Sdílené přístupové podpisy (SAS) poskytují omezený delegovaný přístup k prostředkům v účtu úložiště. Přidání omezení časového intervalu, pro který je podpis platný, nebo oprávnění, která uděluje, poskytuje flexibilitu při správě přístupu. Další informace najdete v tématu Použití sdílených přístupových podpisů (SAS).
Anonymní veřejné oprávnění ke čtení pro kontejnery a objekty blob. Pokud je nakonfigurovaný anonymní přístup, klienti mohou číst data objektů blob bez autorizace. Další informace najdete v tématu Správa anonymního přístupu pro čtení ke kontejnerům a objektům blob.
Můžete zakázat anonymní veřejný přístup pro čtení pro účet úložiště. Pokud je anonymní veřejný přístup pro čtení zakázaný, uživatelé nemohou nakonfigurovat kontejnery pro povolení anonymního přístupu a všechny požadavky musí být autorizovány. Další informace najdete v tématu Zabránění anonymnímu veřejnému přístupu pro čtení ke kontejnerům a objektům blob.
Další kroky
- Autorizace přístupu s Azure Active Directory k prostředkům objektů blob, frontnebo tabulek.
- Autorizace s využitím sdíleného klíče
- Udělení omezeného přístupu Azure Storage prostředkům pomocí sdílených přístupových podpisů (SAS)