Ausführen von PowerShell-Befehlen mit Microsoft Entra-Anmeldeinformationen für den Zugriff auf Warteschlangendaten

Azure Storage bietet Erweiterungen für PowerShell, mit deren Hilfe Sie sich mit Microsoft Entra-Anmeldeinformationen anmelden und Skriptbefehle ausführen können. Wenn Sie sich mit Microsoft Entra-Anmeldeinformationen bei PowerShell anmelden, wird ein OAuth 2.0-Zugriffstoken zurückgegeben. Dieses Token wird dann automatisch von PowerShell verwendet, um nachfolgende Datenvorgänge für Queue Storage zu autorisieren. Für unterstützte Vorgänge müssen Sie mit dem Befehl keinen Kontoschlüssel und kein SAS-Token mehr übergeben.

Sie können einem Microsoft Entra-Sicherheitsprinzipal über die rollenbasierte Zugriffssteuerung (Azure RBAC) Berechtigungen für Warteschlangendaten zuweisen. Weitere Informationen zu Azure-Rollen in Azure Storage finden Sie unter Verwalten der Zugriffsrechte für Azure Storage-Daten mit Azure RBAC.

Unterstützte Vorgänge

Die Azure Storage-Erweiterungen werden für Vorgänge für Warteschlangendaten unterstützt. Welche Vorgänge Sie aufrufen können, hängt von den Berechtigungen des Microsoft Entra-Sicherheitsprinzipals ab, mit dem Sie sich bei PowerShell anmelden. Berechtigungen für Warteschlangen werden über Azure RBAC zugewiesen. Wenn Ihnen beispielsweise die Rolle Storage-Warteschlangendatenleser zugewiesen wurde, können Sie Skriptbefehle ausführen, die Daten aus einer Warteschlange lesen. Wurde Ihnen die Rolle Mitwirkender an Storage-Warteschlangendaten zugewiesen, können Sie Skriptbefehle ausführen, die eine Warteschlange bzw. die darin enthaltenen Daten lesen, schreiben oder löschen.

Einzelheiten zu den Berechtigungen, die für die einzelnen Azure Storage-Vorgänge für Warteschlangen erforderlich sind, finden Sie unter Aufrufen von Speichervorgängen mit OAuth-Token.

Wichtig

Wenn ein Speicherkonto mit ReadOnly in Azure Resource Manager gesperrt ist, ist der Vorgang Schlüssel auflisten für dieses Speicherkonto nicht zulässig. Schlüssel auflisten ist ein POST-Vorgang, und alle POST-Vorgänge werden verhindert, wenn die Sperre ReadOnly für das Konto festgelegt wurde. Aus diesem Grund müssen Benutzer, die nicht bereits über die Kontoschlüssel verfügen, Microsoft Entra-Anmeldeinformationen für den Zugriff auf Warteschlangendaten verwenden, wenn das Konto mit ReadOnly gesperrt ist. Fügen Sie in PowerShell den Parameter -UseConnectedAccount ein, um ein Objekt vom Typ AzureStorageContext mit Ihren Microsoft Entra-Anmeldeinformationen zu erstellen.

Aufrufen von PowerShell-Befehlen mithilfe von Microsoft Entra-Anmeldeinformationen

Hinweis

Es wird empfohlen, das Azure Az PowerShell-Modul für die Interaktion mit Azure zu verwenden. Informationen zu den ersten Schritten finden Sie unter Installieren des Azure Az PowerShell-Moduls. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.

Wenn Sie sich über Azure PowerShell anmelden und mithilfe der Microsoft Entra-Anmeldeinformationen nachfolgende Vorgänge in Azure Storage ausführen möchten, erstellen Sie einen Speicherkontext als Verweis für das Speicherkonto, und verwenden Sie dabei den -UseConnectedAccount-Parameter.

Im folgenden Beispiel sehen Sie, wie Sie in einem neuen Speicherkonto mithilfe Ihrer Microsoft Entra-Anmeldeinformationen über Azure PowerShell eine Warteschlange erstellen. Denken Sie daran, die Platzhalterwerte in eckigen Klammern durch Ihre eigenen Werte zu ersetzen:

1. Melden Sie sich mit dem Befehl Connect-AzAccount bei Ihrem Azure-Konto an:

   Connect-AzAccount
   

   Weitere Informationen zum Anmelden mit Azure PowerShell finden Sie unter Anmelden mit Azure PowerShell.

2. Erstellen Sie eine Azure-Ressourcengruppe, indem Sie New-AzResourceGroup aufrufen.

   $resourceGroup = "sample-resource-group-ps"
   $location = "eastus"
   New-AzResourceGroup -Name $resourceGroup -Location $location
   

3. Erstellen Sie ein Speicherkonto, indem Sie New-AzStorageAccount aufrufen.

   $storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
     -Name "<storage-account>" `
     -SkuName Standard_LRS `
     -Location $location `
   

4. Rufen Sie den Speicherkontokontext ab, der das neue Speicherkonto bestimmt, indem Sie New-AzStorageContext aufrufen. Wenn Sie Aktionen für ein Speicherkonto ausführen, können Sie auf den Kontext verweisen, anstatt immer wieder die Anmeldeinformationen zu übergeben. Schließen Sie den -UseConnectedAccount-Parameter ein, um mithilfe Ihrer Microsoft Entra-Anmeldeinformationen beliebige anschließende Datenvorgänge aufzurufen:

   $ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccount
   

5. Weisen Sie sich vor der Erstellung der Warteschlange selbst die Rolle Mitwirkender an Storage-Warteschlangendaten zu. Obwohl Sie der Kontobesitzer sind, benötigen Sie explizite Berechtigungen, um Datenvorgänge in Ihrem Speicherkonto ausführen zu können. Weitere Informationen zum Zuweisen von Azure-Rollen finden Sie unter Zuweisen einer Azure-Rolle für den Zugriff auf Warteschlangendaten.

   Wichtig

   Die Azure-Rollenzuweisungen können einige Minuten dauern.

6. Erstellen Sie eine Warteschlange, indem Sie New-AzStorageQueue aufrufen. Da dieser Aufruf den Kontext verwendet, den Sie in den vorherigen Schritten erstellt haben, wird die Warteschlange mithilfe Ihrer Microsoft Entra-Anmeldeinformationen erstellt.

   $queueName = "sample-queue"
   New-AzStorageQueue -Name $queueName -Context $ctx
   

Nächste Schritte

• Zuweisen einer Azure-Rolle für den Zugriff auf Warteschlangendaten
• Autorisieren des Zugriffs auf Daten in Azure Storage