Tárolók és blobok névtelen olvasási hozzáférésének konfigurálása

Az Azure Storage támogatja a tárolók és blobok opcionális névtelen olvasási hozzáférését. Alapértelmezés szerint az adatokhoz való névtelen hozzáférés soha nem engedélyezett. Hacsak nem engedélyezi explicit módon a névtelen hozzáférést, a tárolóra és annak blobjaira irányuló összes kérést engedélyezni kell. Ha egy tároló hozzáférésiszint-beállítását úgy konfigurálja, hogy névtelen hozzáférést engedélyezhessen, az ügyfelek a kérés engedélyezése nélkül olvashatják az adatokat a tárolóban.

Figyelmeztetés:

Ha egy tároló névtelen hozzáférésre van konfigurálva, minden ügyfél beolvassa az adatokat a tárolóban. A névtelen hozzáférés potenciális biztonsági kockázatot jelenthet, ezért ha a forgatókönyv nem követeli meg, javasoljuk, hogy a tárfiók névtelen hozzáférését orvosolja.

Ez a cikk bemutatja, hogyan konfigurálhat névtelen olvasási hozzáférést egy tárolóhoz és annak blobjaihoz. Az optimális biztonság érdekében a névtelen hozzáférés javításával kapcsolatos információkért tekintse meg az alábbi cikkek egyikét:

• Blobadatokhoz való névtelen olvasási hozzáférés szervizelése (Azure Resource Manager-környezetek)
• Blobadatokhoz való névtelen olvasási hozzáférés szervizelése (klasszikus üzemelő példányok)

Tudnivalók a névtelen olvasási hozzáférésről

Az adatokhoz való névtelen hozzáférés alapértelmezés szerint mindig tilos. Két külön beállítás van, amelyek befolyásolják a névtelen hozzáférést:

1. Névtelen hozzáférési beállítás a tárfiókhoz. Egy Azure Resource Manager-tárfiók olyan beállítást kínál, amely engedélyezi vagy letiltja a fiók névtelen hozzáférését. A Microsoft azt javasolja, hogy az optimális biztonság érdekében tiltsa le a névtelen hozzáférést a tárfiókokhoz.

   Ha a fiók szintjén engedélyezve van a névtelen hozzáférés, a blobadatok nem érhetők el névtelen olvasási hozzáféréshez, hacsak a felhasználó nem hajtja végre a további lépést a tároló névtelen hozzáférési beállításának explicit konfigurálásához.

2. Konfigurálja a tároló névtelen hozzáférési beállítását. Alapértelmezés szerint a tároló névtelen hozzáférési beállítása le van tiltva, ami azt jelenti, hogy a tárolóra vagy adataira irányuló minden kéréshez engedélyezésre van szükség. A megfelelő engedélyekkel rendelkező felhasználók módosíthatják a tároló névtelen hozzáférési beállítását, hogy csak akkor engedélyezzenek névtelen hozzáférést, ha a tárfiókhoz engedélyezve van a névtelen hozzáférés.

Az alábbi táblázat összefoglalja, hogy a két beállítás együttesen hogyan befolyásolja a tároló névtelen hozzáférését.

	A tároló névtelen hozzáférési szintje privátra van állítva (alapértelmezett beállítás)	A tároló névtelen hozzáférési szintje tárolóra van állítva	A tároló névtelen hozzáférési szintje blobra van állítva
A névtelen hozzáférés nincs engedélyezve a tárfiókhoz	Nincs névtelen hozzáférés a tárfiókban lévő tárolókhoz.	Nincs névtelen hozzáférés a tárfiókban lévő tárolókhoz. A tárfiók beállítása felülírja a tárolóbeállítást.	Nincs névtelen hozzáférés a tárfiókban lévő tárolókhoz. A tárfiók beállítása felülírja a tárolóbeállítást.
Névtelen hozzáférés engedélyezett a tárfiókhoz	Nincs névtelen hozzáférés ehhez a tárolóhoz (alapértelmezett konfiguráció).	A tárolóhoz és annak blobjaihoz névtelen hozzáférés engedélyezett.	A névtelen hozzáférés a tárolóban lévő blobok számára engedélyezett, magát a tárolót azonban nem.

Ha egy tárfiókhoz engedélyezve van a névtelen hozzáférés, és egy adott tárolóhoz van konfigurálva, akkor a szolgáltatás elfogadja az engedélyezési fejléc nélkül átadott blob olvasására vonatkozó kérést, és a blob adatai a válaszban lesznek visszaadva.

Tárfiók névtelen olvasási hozzáférésének engedélyezése vagy letiltása

Ha egy tárfiókhoz engedélyezve van a névtelen hozzáférés, a megfelelő engedélyekkel rendelkező felhasználók módosíthatják a tároló névtelen hozzáférési beállítását, hogy névtelen hozzáférést tegyenek lehetővé az adott tárolóban lévő adatokhoz. A blobadatok soha nem érhetők el névtelen hozzáféréshez, hacsak a felhasználó nem tesz meg egy további lépést a tároló névtelen hozzáférési beállításának explicit konfigurálásához.

Ne feledje, hogy a tárolóhoz való névtelen hozzáférés alapértelmezés szerint mindig ki van kapcsolva, és kifejezetten konfigurálva kell lennie a névtelen kérések engedélyezéséhez. A tárfiók beállításától függetlenül az adatok soha nem lesznek elérhetők névtelen hozzáférésre, hacsak egy megfelelő engedélyekkel rendelkező felhasználó nem teszi meg ezt a további lépést a tároló névtelen hozzáférésének engedélyezéséhez.

A tárfiók névtelen hozzáférésének letiltása felülbírálja a tárfiók összes tárolójának hozzáférési beállításait, így megakadályozza a blobadatokhoz való névtelen hozzáférést az adott fiókban. Ha a névtelen hozzáférés nincs engedélyezve a fiókhoz, nem lehet konfigurálni a tároló hozzáférési beállítását a névtelen hozzáférés engedélyezéséhez, és a fiókhoz való jövőbeli névtelen kérések sikertelenek lesznek. Mielőtt módosítaná ezt a beállítást, győződjön meg arról, hogy milyen hatással lehet az ügyfélalkalmazásokra, amelyek névtelenül férnek hozzá a tárfiók adataihoz. További információ: Tárolók és blobok névtelen olvasási hozzáférésének megakadályozása.

Fontos

Miután a névtelen hozzáférés nincs engedélyezve egy tárfiókhoz, a névtelen tulajdonosi kihívást használó ügyfelek azt tapasztalják, hogy az Azure Storage 403-at (Tiltott) ad vissza a 401-hiba (Jogosulatlan) helyett. Javasoljuk, hogy minden tárolót privátsá tegyen a probléma megoldásához. A tárolók névtelen hozzáférési beállításának módosításáról további információt a tároló hozzáférési szintjének beállítása című témakörben talál.

A névtelen hozzáférés engedélyezéséhez vagy letiltásához az Azure Storage-erőforrás-szolgáltató 2019-04-01-es vagy újabb verziójára van szükség. További információ: Azure Storage Resource Provider REST API.

A névtelen hozzáférés engedélyezésének letiltására vonatkozó engedélyek

A tárfiók AllowBlobAnonymousAccess tulajdonságának beállításához a felhasználónak rendelkeznie kell a tárfiókok létrehozásához és kezeléséhez szükséges engedélyekkel. Az ilyen engedélyeket biztosító Azure-szerepköralapú hozzáférés-vezérlési (Azure RBAC-) szerepkörök közé tartozik a Microsoft.Storage/StorageAccounts/write művelet. A művelettel beépített szerepkörök a következők:

• Az Azure Resource Manager tulajdonosi szerepköre
• Az Azure Resource Manager közreműködői szerepköre
• A tárfiók közreműködői szerepköre

A szerepkör-hozzárendeléseket a tárfiók szintjére kell korlátozni, hogy a felhasználó letilthassa a tárfiók névtelen hozzáférését. A szerepkörök hatóköréről további információt az Azure RBAC hatókörének ismertetése című témakörben talál.

Ügyeljen arra, hogy csak azokra a rendszergazdai felhasználókra korlátozza a szerepkörök hozzárendelését, akiknek szükségük van egy tárfiók létrehozására vagy tulajdonságainak frissítésére. Használja a minimális jogosultság elvét annak biztosítására, hogy a felhasználók a legkevesebb engedéllyel rendelkezzenek a feladataik elvégzéséhez. Az Azure RBAC-hozzáférés kezelésével kapcsolatos további információkért tekintse meg az Azure RBAC ajánlott eljárásait.

Ezek a szerepkörök nem biztosítanak hozzáférést a tárfiókban lévő adatokhoz a Microsoft Entra-azonosítón keresztül. Ezek közé tartozik azonban a Microsoft.Storage/StorageAccounts/listkeys/action, amely hozzáférést biztosít a fiók hozzáférési kulcsaihoz. Ezzel az engedéllyel a felhasználó a fiók hozzáférési kulcsaival hozzáférhet a tárfiók összes adatához.

A Microsoft.Storage/storageAccounts/listkeys/action maga biztosít adathozzáférést a fiókkulcsokon keresztül, de nem teszi lehetővé a felhasználó számára a tárfiók AllowBlobPublicAccess tulajdonságának módosítását. Azoknak a felhasználóknak, akiknek hozzá kell férnie a tárfiók adataihoz, de nem módosíthatják a tárfiók konfigurációját, érdemes lehet olyan szerepköröket hozzárendelni, mint a Storage Blob Data Contributor, a Storage Blob Data Reader vagy az Reader and Data Access.

Megjegyzés:

A klasszikus előfizetés-rendszergazdai szerepkörök a Service Rendszergazda istrator és a Co-Rendszergazda istrator az Azure Resource Manager tulajdonosi szerepkörével egyenértékűek. A Tulajdonos szerepkör minden műveletet tartalmaz, így az ilyen felügyeleti szerepkörökkel rendelkező felhasználók tárfiókokat is létrehozhatnak, és kezelhetik a fiókkonfigurációt. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.

A tárfiók AllowBlobPublicAccess tulajdonságának beállítása

A tárfiók névtelen hozzáférésének engedélyezéséhez vagy letiltásához állítsa be a fiók AllowBlobPublicAccess tulajdonságát. Ez a tulajdonság az Azure Resource Manager-alapú üzemi modellel létrehozott összes tárfiókhoz elérhető. További információ: Tárfiókok áttekintése.

Azure Portal

Ha engedélyezni vagy letiltani szeretné a névtelen hozzáférést egy tárfiókhoz az Azure Portalon, kövesse az alábbi lépéseket:

1. Az Azure Portalon nyissa meg a tárfiókot.

2. Keresse meg a konfigurációs beállítást a Gépház alatt.

3. Állítsa be a Blob névtelen hozzáférésénekengedélyezése engedélyezve vagy letiltva beállítását.

   

PowerShell

Ha engedélyezni vagy letiltani szeretné a névtelen hozzáférést egy tárfiókhoz a PowerShell-lel, telepítse az Azure PowerShell 4.4.0-s vagy újabb verzióját. Ezután konfigurálja az AllowBlobPublicAccess tulajdonságot egy új vagy meglévő tárfiókhoz.

Az alábbi példa létrehoz egy tárfiókot, és explicit módon hamisra állítja az AllowBlobPublicAccess tulajdonságot. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account with AllowBlobPublicAccess explicitly set to false.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_GRS `
    -AllowBlobPublicAccess $false

# Read the AllowBlobPublicAccess property for the newly created storage account.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowBlobPublicAccess

Azure CLI

Ha engedélyezni vagy letiltani szeretné a névtelen hozzáférést egy tárfiókhoz az Azure CLI-vel, telepítse az Azure CLI 2.9.0-s vagy újabb verzióját. További információ: Az Azure CLI telepítése. Ezután konfigurálja az allowBlobPublicAccess tulajdonságot egy új vagy meglévő tárfiókhoz.

Az alábbi példa létrehoz egy tárfiókot, és explicit módon hamisra állítja az allowBlobPublicAccess tulajdonságot. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --kind StorageV2 \
    --location <location> \
    --allow-blob-public-access false

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowBlobPublicAccess \
    --output tsv

Sablon

Ha sablonnal szeretné engedélyezni vagy letiltani a névtelen hozzáférést egy tárfiókhoz, hozzon létre egy sablont, amelynek AllowBlobPublicAccess tulajdonsága igaz vagy hamis. Az alábbi lépések bemutatják, hogyan hozhat létre sablont az Azure Portalon.

1. Az Azure Portalon válassza az Erőforrás létrehozása lehetőséget.

2. A Search szolgáltatás és a piactéren írja be a sablon üzembe helyezését, majd nyomja le az ENTER billentyűt.

3. Válassza a Sablontelepítés (üzembe helyezés egyéni sablonok használatával) lehetőséget, válassza a Létrehozás lehetőséget, majd válassza a Saját sablon létrehozása lehetőséget a szerkesztőben.

4. A sablonszerkesztőben illessze be a következő JSON-t egy új fiók létrehozásához, és állítsa az AllowBlobPublicAccess tulajdonságot igaz vagy hamis értékre. Ne felejtse el lecserélni a szögletes zárójelek helyőrzőit a saját értékeire.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "storageAccountName": "[concat(uniqueString(subscription().subscriptionId), 'template')]"
       },
       "resources": [
           {
           "name": "[variables('storageAccountName')]",
           "type": "Microsoft.Storage/storageAccounts",
           "apiVersion": "2019-06-01",
           "location": "<location>",
           "properties": {
               "allowBlobPublicAccess": false
           },
           "dependsOn": [],
           "sku": {
             "name": "Standard_GRS"
           },
           "kind": "StorageV2",
           "tags": {}
           }
       ]
   }
   

5. Mentse a sablont.

6. Adja meg az erőforráscsoport paraméterét, majd válassza a Véleményezés + létrehozás gombot a sablon üzembe helyezéséhez, és hozzon létre egy tárfiókot az allowBlobPublicAccess tulajdonság konfigurálásával.

Megjegyzés:

A tárfiókok névtelen hozzáférésének letiltása nem érinti az adott tárfiókban üzemeltetett statikus webhelyeket. A $web tároló mindig nyilvánosan elérhető.

A tárfiók névtelen hozzáférési beállításának frissítése után a módosítás teljes propagálása akár 30 másodpercig is eltarthat.

Ha egy tároló névtelen hozzáférésre van konfigurálva, a tárolóban lévő blobok olvasására irányuló kéréseket nem kell engedélyezni. A tárfiókhoz konfigurált tűzfalszabályok azonban érvényben maradnak, és letiltják a forgalmat a konfigurált ACL-ekkel.

A névtelen hozzáférés engedélyezéséhez vagy letiltásához az Azure Storage-erőforrás-szolgáltató 2019-04-01-es vagy újabb verziójára van szükség. További információ: Azure Storage Resource Provider REST API.

Az ebben a szakaszban szereplő példák azt mutatták be, hogyan olvashatja el a tárfiók AllowBlobPublicAccess tulajdonságát annak megállapításához, hogy a névtelen hozzáférés jelenleg engedélyezett vagy nem engedélyezett-e. Ha szeretné megtudni, hogyan ellenőrizheti, hogy egy fiók névtelen hozzáférési beállítása konfigurálva van-e a névtelen hozzáférés megakadályozására, olvassa el a tárfiók névtelen hozzáférésének szervizelését ismertető témakört.

Tároló névtelen hozzáférési szintjének beállítása

Ha névtelen felhasználók számára olvasási hozzáférést szeretne biztosítani egy tárolóhoz és annak blobjaihoz, először engedélyezze a névtelen hozzáférést a tárfiókhoz, majd állítsa be a tároló névtelen hozzáférési szintjét. Ha a tárfiókhoz megtagadja a névtelen hozzáférést, nem fogja tudni konfigurálni a tároló névtelen hozzáférését.

Figyelmeztetés

A Microsoft azt javasolja, hogy ne engedélyezhessen névtelen hozzáférést a blobadatokhoz a tárfiókban.

Ha névtelen hozzáférés engedélyezett egy tárfiókhoz, konfigurálhat egy tárolót a következő engedélyekkel:

• Nincs nyilvános olvasási hozzáférés: A tároló és a blobok csak engedélyezett kéréssel érhetők el. Ez a beállítás az összes új tároló alapértelmezett beállítása.
• Csak blobok nyilvános olvasási hozzáférése: A tárolón belüli blobok névtelen kéréssel olvashatók, de a tároló adatai névtelenül nem érhetők el. A névtelen ügyfelek nem tudják számbavenni a tárolón belüli blobokat.
• Nyilvános olvasási hozzáférés a tárolóhoz és annak blobjaihoz: A tároló- és blobadatok névtelen kéréssel olvashatók, kivéve a tárolóengedély-beállításokat és a tároló metaadatait. Az ügyfelek névtelen kéréssel számba tudják venni a tárolón belüli blobokat, de a tárfiókon belüli tárolókat nem tudják számba venni.

Az egyes blobok névtelen hozzáférési szintjét nem módosíthatja. A névtelen hozzáférési szint csak a tároló szintjén van beállítva. A tároló létrehozásakor beállíthatja a tároló névtelen hozzáférési szintjét, vagy frissítheti a beállítást egy meglévő tárolón.

Azure Portal

Ha frissíteni szeretné egy vagy több meglévő tároló névtelen hozzáférési szintjét az Azure Portalon, kövesse az alábbi lépéseket:

1. Nyissa meg a tárfiók áttekintését az Azure Portalon.

2. A menüpanel Adattárolás területén válassza a Tárolók lehetőséget.

3. Válassza ki azokat a tárolókat, amelyekhez meg szeretné adni a névtelen hozzáférési szintet.

4. A hozzáférési szint módosítása gombbal megjelenítheti a névtelen hozzáférési beállításokat.

5. Válassza ki a kívánt névtelen hozzáférési szintet a Névtelen hozzáférési szint legördülő listában, majd az OK gombra kattintva alkalmazza a módosítást a kijelölt tárolókra.

   

Ha a tárfiók névtelen hozzáférése nincs engedélyezve, a tároló névtelen hozzáférési szintje nem állítható be. Ha megkísérli beállítani a tároló névtelen hozzáférési szintjét, látni fogja, hogy a beállítás le van tiltva, mert a névtelen hozzáférés nem engedélyezett a fiók számára.

PowerShell

Ha egy vagy több tároló névtelen hozzáférési szintjét szeretné frissíteni a PowerShell használatával, hívja meg a Set-AzStorageContainerAcl parancsot. Engedélyezze ezt a műveletet a fiókkulcs, egy kapcsolati sztring vagy egy közös hozzáférésű jogosultságkód (SAS) átadásával. A tároló névtelen hozzáférési szintjét meghatározó Tároló ACL beállítása művelet nem támogatja a Microsoft Entra-azonosítóval való engedélyezést. További információ: A blob- és üzenetsor-adatműveletek hívásához szükséges engedélyek.

Az alábbi példa létrehoz egy névtelen hozzáféréssel rendelkező tárolót, majd frissíti a tároló névtelen hozzáférési beállítását a tárolóhoz és blobjaihoz való névtelen hozzáférés engedélyezéséhez. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

# Set variables.
$rgName = "<resource-group>"
$accountName = "<storage-account>"
# Get context object.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
# Create a new container with anonymous access setting set to Off.
$containerName = "<container>"
New-AzStorageContainer -Name $containerName -Permission Off -Context $ctx
# Read the container's anonymous access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx
# Update the container's anonymous access setting to Container.
Set-AzStorageContainerAcl -Container $containerName -Permission Container -Context $ctx
# Read the container's anonymous access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx

Ha a tárfiók névtelen hozzáférése nincs engedélyezve, a tároló névtelen hozzáférési szintje nem állítható be. Ha megkísérli beállítani a tároló névtelen hozzáférési szintjét, az Azure Storage hibát ad vissza, amely azt jelzi, hogy a névtelen hozzáférés nem engedélyezett a tárfiókban.

Azure CLI

Ha egy vagy több tároló névtelen hozzáférési szintjét szeretné frissíteni az Azure CLI-vel, hívja meg az az storage container set permission parancsot. Engedélyezze ezt a műveletet a fiókkulcs, egy kapcsolati sztring vagy egy közös hozzáférésű jogosultságkód (SAS) átadásával. A tároló névtelen hozzáférési szintjét meghatározó Tároló ACL beállítása művelet nem támogatja a Microsoft Entra-azonosítóval való engedélyezést. További információ: A blob- és üzenetsor-adatműveletek hívásához szükséges engedélyek.

Az alábbi példa létrehoz egy névtelen hozzáféréssel rendelkező tárolót, majd frissíti a tároló névtelen hozzáférési beállítását a tárolóhoz és blobjaihoz való névtelen hozzáférés engedélyezéséhez. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

az storage container create \
    --name <container-name> \
    --account-name <account-name> \
    --resource-group <resource-group>
    --public-access off \
    --account-key <account-key> \
    --auth-mode key
az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key
az storage container set-permission \
    --name <container-name> \
    --account-name <account-name> \
    --public-access container \
    --account-key <account-key> \
    --auth-mode key
az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key

Ha a tárfiók névtelen hozzáférése nincs engedélyezve, a tároló névtelen hozzáférési szintje nem állítható be. Ha megkísérli beállítani a tároló névtelen hozzáférési szintjét, az Azure Storage hibát ad vissza, amely azt jelzi, hogy a névtelen hozzáférés nem engedélyezett a tárfiókban.

Sablon

N/A.

Tárolók névtelen hozzáférési beállításának ellenőrzése

A tárolók listázásával és a névtelen hozzáférési beállítás ellenőrzésével ellenőrizhető, hogy egy vagy több tárfiók mely tárolói vannak konfigurálva névtelen hozzáférésre. Ez a megközelítés gyakorlati megoldás, ha egy tárfiók nem tartalmaz nagy számú tárolót, vagy ha kis számú tárfiókban ellenőrzi a beállítást. A teljesítmény azonban szenvedhet, ha nagy számú tárolót próbál számba adni.

Az alábbi példa a PowerShell használatával lekéri a tárfiók összes tárolójának névtelen hozzáférési beállítását. Ne felejtse el lecserélni a zárójelek helyőrző értékeit a saját értékeire:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
Get-AzStorageContainer -Context $ctx | Select Name, PublicAccess

Szolgáltatások támogatása

Ennek a funkciónak a támogatását befolyásolhatja a Data Lake Storage Gen2, a Network File System (NFS) 3.0 protokoll vagy az SSH File Transfer Protocol (SFTP) engedélyezése. Ha engedélyezte bármelyik funkciót, tekintse meg a Blob Storage szolgáltatástámogatását az Azure Storage-fiókokban a funkció támogatásának felméréséhez.

Következő lépések

• Tárolókhoz és blobokhoz való névtelen olvasási hozzáférés megakadályozása
• Nyilvános tárolók és blobok névtelen elérése a .NET használatával
• Az Azure Storage-hoz való hozzáférés engedélyezése