Hozzáférés engedélyezése az Azure Storage-beli adatokhoz
Minden alkalommal, amikor hozzáfér a tárfiókban lévő adatokhoz, az ügyfélalkalmazás HTTP/HTTPS protokollon keresztül küld kérést az Azure Storage-ba. Alapértelmezés szerint az Azure Storage minden erőforrása biztonságban van, és a biztonságos erőforrásra irányuló minden kérést engedélyezni kell. Az engedélyezés biztosítja, hogy az ügyfélalkalmazás megfelelő engedélyekkel rendelkezik a tárfiók egy adott erőforrásához való hozzáféréshez.
Az adatműveletek engedélyezésének ismertetése
Az alábbi táblázat az Azure Storage által az adatokhoz való hozzáférés engedélyezéséhez kínált lehetőségeket ismerteti:
| Azure-összetevő | Megosztott kulcs (tárfiókkulcs) | Közös hozzáférésű jogosultságkód (SAS) | Azure Active Directory (Azure AD) | Helyszíni Active Directory Domain Services | Névtelen nyilvános olvasási hozzáférés | Tároló helyi felhasználói |
|---|---|---|---|---|---|---|
| Azure Blobs | Támogatott | Támogatott | Támogatott | Nem támogatott | Támogatott | Támogatott, csak SFTP esetén |
| Azure Files (SMB) | Támogatott | Nem támogatott | Támogatott, csak az AAD tartományi szolgáltatásokkal | Támogatott, a hitelesítő adatokat szinkronizálni kell az Azure AD-be | Nem támogatott | Támogatott |
| Azure Files (REST) | Támogatott | Támogatott | Nem támogatott | Nem támogatott | Nem támogatott | Nem támogatott |
| Azure Queues | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott | Nem támogatott |
| Azure-táblák | Támogatott | Támogatott | Támogatott | Nem támogatott | Nem támogatott | Nem támogatott |
Az alábbiakban röviden ismertetjük az egyes engedélyezési lehetőségeket:
Megosztott kulcs engedélyezése blobokhoz, fájlokhoz, üzenetsorokhoz és táblákhoz. A megosztott kulcsot használó ügyfelek minden, a tárfiók hozzáférési kulcsával aláírt kéréssel átadnak egy fejlécet. További információ: Engedélyezés megosztott kulccsal.
A Microsoft azt javasolja, hogy tiltsa le a megosztott kulcs engedélyezését a tárfiókhoz. Ha a megosztott kulcs engedélyezése nem engedélyezett, az ügyfeleknek az Azure AD-t vagy egy felhasználódelegálási SAS-t kell használniuk az adott tárfiókban található adatokra vonatkozó kérések engedélyezéséhez. További információ: Az Azure Storage-fiók megosztott kulcsos hitelesítésének megakadályozása.
Közös hozzáférésű jogosultságkódok blobokhoz , fájlokhoz, üzenetsorokhoz és táblákhoz. A közös hozzáférésű jogosultságkódok (SAS) korlátozott delegált hozzáférést biztosítanak a tárfiók erőforrásaihoz aláírt URL-címen keresztül. Az aláírt URL-cím határozza meg az erőforrásnak adott engedélyeket és az aláírás érvényességének időtartamát. A szolgáltatás SAS vagy fiók SAS-azonosítója a fiókkulccsal van aláírva, a felhasználódelegálási SAS pedig Azure AD-hitelesítő adatokkal van aláírva, és csak a blobokra vonatkozik. További információ: Közös hozzáférésű jogosultságkódok (SAS) használata.
Az Azure Active Directory (Azure AD) integrációja a blob-, üzenetsor- és táblaerőforrásokra irányuló kérések engedélyezéséhez. A Microsoft azt javasolja, hogy azure AD-hitelesítő adatokkal engedélyezze az adatkéréseket, amikor csak lehetséges, az optimális biztonság és könnyű használat érdekében. Az Azure AD-integrációval kapcsolatos további információkért tekintse meg a blob-, üzenetsor- vagy táblaerőforrásokról szóló cikkeket.
Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával kezelheti egy tárfiók blob-, üzenetsor- és táblaerőforrásainak engedélyeit. Emellett az Azure attribútumalapú hozzáférés-vezérlés (ABAC) használatával feltételeket adhat hozzá a bloberőforrások Azure-szerepkör-hozzárendeléseihez. További információ az RBAC-ről: Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)?. További információ az ABAC-ről: Mi az az Azure attribútumalapú hozzáférés-vezérlés (Azure ABAC)? (előzetes verzió).
Azure Active Directory Domain Services-hitelesítés (Azure AD DS) az Azure Fileshoz. Az Azure Files támogatja az identitásalapú hitelesítést a kiszolgálói üzenetblokkon (SMB) keresztül az Azure AD DS-en keresztül. Az Azure RBAC használatával részletesen szabályozhatja, hogy az ügyfél hozzáfér-e a tárfiókban lévő Azure Files-erőforrásokhoz. A tartományi szolgáltatások használatával végzett Azure Files-hitelesítéssel kapcsolatos további információkért tekintse meg az áttekintést.
Helyszíni Active Directory Domain Services-hitelesítés (AD DS vagy helyszíni AD DS) az Azure Fileshoz. Az Azure Files támogatja az identitásalapú hitelesítést az SMB-en keresztül az AD DS-en keresztül. Az AD DS-környezet helyszíni gépeken vagy Azure-beli virtuális gépeken is üzemeltethető. A fájlokhoz való SMB-hozzáférés AD DS-hitelesítő adatokkal támogatott a tartományhoz csatlakoztatott gépekről, akár a helyszínen, akár az Azure-ban. Az Azure RBAC kombinációját használhatja a megosztási szintű hozzáférés-vezérléshez és NTFS DACLs-eket a címtár-/fájlszintű engedélyérvényesítéshez. A tartományi szolgáltatások használatával végzett Azure Files-hitelesítéssel kapcsolatos további információkért tekintse meg az áttekintést.
Névtelen nyilvános olvasási hozzáférés tárolókhoz és blobokhoz. Ha névtelen hozzáférés van konfigurálva, az ügyfelek engedély nélkül olvashatják a blobadatokat. További információ: Tárolók és blobok névtelen olvasási hozzáférésének kezelése.
A tárfiókok névtelen nyilvános olvasási hozzáférését letilthatja. Ha a névtelen nyilvános olvasási hozzáférés nincs engedélyezve, a felhasználók nem konfigurálhatnak tárolókat a névtelen hozzáférés engedélyezéséhez, és minden kérést engedélyezni kell. További információ: Tárolók és blobok névtelen nyilvános olvasási hozzáférésének megakadályozása.
A storage helyi felhasználói SFTP-vel vagy SMB-fájlokkal rendelkező blobok eléréséhez használhatók. A tároló helyi felhasználói támogatják a tárolószintű engedélyeket az engedélyezéshez. Az SSH File Transfer Protocol (SFTP) használatával történő csatlakozás az Azure Blob Storage-hoz című témakörben talál további információt arról, hogy a storage helyi felhasználói hogyan használhatók az SFTP-vel.
A hozzáférési kulcsok védelme
A tárfiók hozzáférési kulcsai hasonlóak a tárfiók gyökérjelszójához. Mindig legyen óvatos a hozzáférési kulcsok védelme érdekében. Az Azure Key Vault használatával biztonságosan kezelheti és elforgathatja a kulcsokat. Ne ossza el a hozzáférési kulcsokat más felhasználókkal, ne kódolódjon rajtuk, és ne mentse őket más felhasználók számára hozzáférhető egyszerű szövegben. Forgassa el a kulcsokat, ha úgy véli, hogy illetéktelen kezekbe kerültek.
Megjegyzés
A Microsoft az Azure Active Directory (Azure AD) használatát javasolja a blob- és üzenetsoradatokra irányuló kérések engedélyezéséhez, ha lehetséges, a fiókkulcsok használata helyett (megosztott kulcs engedélyezése). Az Azure AD-vel történő engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsos hitelesítéssel szemben.
Az Azure Storage-fiók Azure AD feltételes hozzáférési szabályzatokkal való védelméhez le kell tiltania a tárfiók megosztott kulcsos engedélyezését. A megosztott kulcs engedélyezésének letiltásáról további információt az Azure Storage-fiók megosztott kulcsos hitelesítésének megakadályozása című témakörben talál.
Következő lépések
- Hozzáférés engedélyezése az Azure Active Directoryval blob-, üzenetsor- vagy táblaerőforrásokhoz .
- Engedélyezés megosztott kulccsal
- Korlátozott hozzáférés engedélyezése az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódok (SAS) használatával