Autorizace žádostí do Služby Azure Storage
Každý požadavek provedený proti zabezpečenému prostředku ve službě Blob, File, Queue nebo Table musí být autorizovaný. Autorizace zajišťuje, aby prostředky ve vašem účtu úložiště byly přístupné jenom tehdy, když chcete, a jenom těm uživatelům nebo aplikacím, kterým udělíte přístup.
Následující tabulka popisuje možnosti, které Azure Storage nabízí pro autorizaci přístupu k prostředkům:
| Artefakt Azure | Sdílený klíč (klíč účtu úložiště) | Sdílený přístupový podpis (SAS) | Microsoft Entra ID | Místní Active Directory Domain Services | Anonymní veřejný přístup pro čtení |
|---|---|---|---|---|---|
| Objekty blob Azure | Podporováno | Podporováno | Podporováno | Nepodporováno | Podporováno |
| Azure Files (SMB) | Podporováno | Nepodporováno | Podporováno s Microsoft Entra Doménové služby nebo Microsoft Entra Kerberos | Podporované, přihlašovací údaje se musí synchronizovat s Microsoft Entra ID | Nepodporováno |
| Azure Files (REST) | Podporováno | Podporováno | Podporováno | Nepodporováno | Nepodporováno |
| Fronty Azure | Podporováno | Podporováno | Podporováno | Nepodporuje se | Nepodporováno |
| Tabulky Azure | Podporováno | Podporováno | Podporováno | Nepodporováno | Nepodporováno |
Jednotlivé možnosti autorizace jsou stručně popsané níže:
Microsoft Entra ID:Microsoft Entra je cloudová služba microsoftu pro správu identit a přístupu. Microsoft Entra ID integrace je k dispozici pro služby Blob, File, Queue a Table. S Microsoft Entra ID můžete uživatelům, skupinám nebo aplikacím přiřadit jemně odstupňovaný přístup prostřednictvím řízení přístupu na základě role (RBAC). Informace o integraci Microsoft Entra ID se službou Azure Storage najdete v tématu Autorizace pomocí Microsoft Entra ID.
Microsoft Entra Doménové služby autorizace pro Azure Files. Azure Files podporuje autorizaci na základě identity přes protokol SMB (Server Message Block) prostřednictvím Microsoft Entra Doménové služby. Řízení přístupu na základě role můžete použít k jemně odstupňované kontrole přístupu klienta k Azure Files prostředkům v účtu úložiště. Další informace o ověřování Azure Files pomocí doménových služeb najdete v tématu Azure Files autorizace na základě identity.
Autorizace služby Active Directory (AD) pro Azure Files. Azure Files podporuje autorizaci založenou na identitách přes protokol SMB prostřednictvím služby AD. Službu AD Domain Service můžete hostovat na místních počítačích nebo na virtuálních počítačích Azure. Přístup smb k souborům se podporuje pomocí přihlašovacích údajů AD z počítačů připojených k doméně, a to buď místně, nebo v Azure. RBAC můžete použít pro řízení přístupu na úrovni sdílené složky a seznamy DACL systému souborů NTFS pro vynucení oprávnění na úrovni adresáře a souboru. Další informace o ověřování Azure Files pomocí doménových služeb najdete v tématu Azure Files autorizace na základě identity.
Sdílený klíč: Autorizace sdíleného klíče závisí na přístupových klíčích vašeho účtu a dalších parametrech k vytvoření řetězce šifrovaného podpisu, který je předán požadavku v hlavičce Autorizace . Další informace o autorizaci sdíleného klíče najdete v tématu Autorizace pomocí sdíleného klíče.
Sdílené přístupové podpisy: Sdílené přístupové podpisy (SAS) delegují přístup ke konkrétnímu prostředku ve vašem účtu se zadanými oprávněními a v zadaném časovém intervalu. Další informace o SAS najdete v tématu Delegování přístupu pomocí sdíleného přístupového podpisu.
Anonymní přístup ke kontejnerům a objektům blob: Volitelně můžete prostředky objektů blob nastavit jako veřejné na úrovni kontejneru nebo objektu blob. Veřejný kontejner nebo objekt blob jsou přístupné všem uživatelům, kteří mají anonymní přístup ke čtení. Požadavky na čtení veřejných kontejnerů a objektů blob nevyžadují autorizaci. Další informace najdete v tématu Povolení veřejného přístupu pro čtení pro kontejnery a objekty blob ve službě Azure Blob Storage.
Tip
Ověřování a autorizace přístupu k datům objektů blob, souborů, front a tabulek pomocí Microsoft Entra ID poskytuje vynikající zabezpečení a snadné použití oproti jiným možnostem autorizace. Například pomocí Microsoft Entra ID se vyhnete ukládání přístupových klíčů k účtu s kódem, jako je tomu u autorizace sdíleného klíče. I když můžete dál používat autorizaci sdíleného klíče u aplikací objektů blob a front, Microsoft doporučuje přejít na Microsoft Entra ID, kde je to možné.
Podobně můžete dál používat sdílené přístupové podpisy (SAS) k udělení jemně odstupňovaného přístupu k prostředkům ve vašem účtu úložiště, ale Microsoft Entra ID nabízí podobné funkce bez nutnosti spravovat tokeny SAS nebo se starat o odvolání ohroženého SAS.
Další informace o integraci Microsoft Entra ID ve službě Azure Storage najdete v tématu Autorizace přístupu k objektům blob a frontám Azure pomocí Microsoft Entra ID.