Připojení k účtu Azure Storage

  • 10 min

Do aplikace jste přidali požadované klientské knihovny a jste připraveni se připojit k vašemu účtu úložiště Azure.

Pro práci s daty v účtu úložiště bude vaše aplikace potřebovat dva údaje:

  • Přístupový klíč
  • Koncový bod rozhraní REST API

Přístupové klíče zabezpečení

Každý účet úložiště má dva jedinečné přístupové klíče, které slouží k jeho zabezpečení. Pokud se vaše aplikace potřebuje připojit k více účtům úložiště, bude vyžadovat přístupový klíč ke každému z nich.

An illustration showing an application connected to two different storage accounts in the cloud. Each storage account is accessible with a unique key.

Koncový bod rozhraní REST API

Kromě přístupových klíčů pro ověřování k účtům úložiště musí vaše aplikace znát koncové body služby úložiště, aby vydávala požadavky REST.

Koncový bod REST je kombinací názvu vašeho účtu úložiště, datového typu a známé domény. Příklad:

Datový typ Příklad koncového bodu
Objekty blob https://[name].blob.core.windows.net/
Fronty https://[name].queue.core.windows.net/
Table https://[name].table.core.windows.net/
Files https://[name].file.core.windows.net/

Pokud máte na Azure navázanou vlastní doménu, můžete pro koncový bod vytvořit také adresu URL vlastní domény.

Připojovací řetězce

Nejjednodušší způsob, jak zpracovat přístupové klíče a adresy URL koncových bodů v rámci aplikací, je použít připojovací řetězce k účtu úložiště. Připojovací řetězec obsahuje všechny potřebné informace o připojení v jediném textovém řetězci.

Připojovací řetězce Azure Storage vypadají podobně jako v následujícím příkladu, ale mají název přístupového klíče a účtu konkrétního účtu úložiště:

DefaultEndpointsProtocol=https;AccountName={your-storage};
   AccountKey={your-access-key};
   EndpointSuffix=core.windows.net

Zabezpečení

Přístupové klíče jsou důležité pro poskytování přístupu k účtu úložiště a v důsledku toho byste je neměli udělovat žádnému systému nebo osobě, ke kterému nechcete mít přístup ke svému účtu úložiště. Přístupové klíče jsou obdobou uživatelského jména a hesla k vašemu počítači.

Informace o připojení účtu úložiště se obvykle ukládají v rámci proměnné prostředí, databáze nebo konfiguračního souboru.

Důležité

Uložení těchto informací do konfiguračního souboru může být nebezpečné, pokud tento soubor zahrnete do správy zdrojového kódu a uložíte ho do veřejného úložiště. Jedná se o běžnou chybu a znamená to, že každý může procházet váš zdrojový kód ve veřejném úložišti a zobrazovat informace o připojení k účtu úložiště.

Každý účet úložiště má dva přístupové klíče. To umožňuje pravidelné obměně klíčů (vygenerování) v rámci osvědčených postupů zabezpečení při zachování zabezpečení účtu úložiště. Můžete to udělat na webu Azure Portal nebo v nástroji příkazového řádku Azure CLI nebo PowerShellu.

Obměna klíče zneplatní hodnotu původního klíče okamžitě a odvolá přístup každému, kdo klíč získal nevhodným způsobem. Díky podpoře pro dva klíče můžete klíče obměňovat, aniž by to způsobilo výpadek v aplikacích, které je používají. Aplikace může používat alternativní přístupový klíč, zatímco se druhý klíč znovu generuje. Pokud máte více aplikací, které používají stejný účet úložiště, měly by všechny používat stejný klíč, abyste o podporu této techniky nepřišli. Tady je základní myšlenka:

  1. Aktualizujte připojovací řetězec v kódu aplikace tak, aby odkazovat na sekundární přístupový klíč účtu úložiště.
  2. Znovu vygenerujte primární přístupový klíč účtu úložiště pomocí webu Azure Portal nebo nástroje příkazového řádku.
  3. Aktualizujte připojovací řetězce v kódu tak, aby odkazovaly na nový primární přístupový klíč.
  4. Stejným způsobem pak znovu vygenerujte sekundární přístupový klíč.

Tip

Důrazně doporučujeme pravidelně obměňovat přístupové klíče, abyste měli jistotu, že zůstanou soukromé, stejně jako změna hesel. Pokud klíč používáte v serverové aplikaci, můžete pomocí služby Azure Key Vault uložit přístupový klíč za vás. Služba Key Vault zahrnuje podporu přímé synchronizace klíčů do účtu úložiště a pravidelné automatické obměny klíčů. Použitím služby Key Vault získáte další vrstvu zabezpečení, takže vaše aplikace nebude nikdy muset pracovat přímo s přístupovým klíčem.

Sdílené přístupové podpisy (SAS)

Přístupové klíče představují nejjednodušší způsob ověření přístupu k účtu úložiště. Poskytují ale úplný přístup k všemu v účtu úložiště, podobně jako kořenové heslo v počítači.

Účty úložiště nabízí samostatný mechanismus ověřování, který se nazývá sdílený přístupový podpis (SAS) a podporuje vypršení platnosti a omezení oprávnění tam, kde potřebujete udělit omezený přístup. Tento přístup byste měli použít, když ostatním uživatelům povolíte čtení a zápis dat do účtu úložiště. Na konci modulu najdete odkazy na naši dokumentaci k tomuto rozšířenému tématu.