Configure Azure Storage connection strings (Az Azure Storage kapcsolati sztringek konfigurálása)

A kapcsolati sztring tartalmazzák azokat az engedélyezési információkat, amelyekre az alkalmazásnak szüksége van ahhoz, hogy futtatókörnyezetben, megosztott kulcsos hitelesítéssel hozzáférjen az Azure Storage-fiók adataihoz. A kapcsolati sztring a következőre konfigurálhatók:

• Csatlakozás az Azurite storage emulátorhoz.
• Tárfiók elérése az Azure-ban.
• A megadott erőforrások elérése az Azure-ban egy közös hozzáférésű jogosultságkódon (SAS) keresztül.

A fiókelérési kulcsok megtekintéséről és a kapcsolati sztring másolásáról a Tárfiók hozzáférési kulcsok kezelése című témakörben olvashat.

A hozzáférési kulcsok védelme

A tárfiók hozzáférési kulcsai teljes hozzáférést biztosítanak a tárfiók konfigurációihoz, valamint az adatokhoz. Mindig ügyeljen a hozzáférési kulcsok védelmére. Az Azure Key Vault használatával biztonságosan kezelheti és elforgathatja a kulcsokat. A megosztott kulcshoz való hozzáférés teljes hozzáférést biztosít a felhasználónak a tárfiók konfigurációihoz és adataihoz. A megosztott kulcsokhoz való hozzáférést gondosan korlátozni és figyelni kell. Korlátozott hozzáférési hatókörrel rendelkező SAS-jogkivonatok használata olyan esetekben, amikor a Microsoft Entra ID-alapú hitelesítés nem használható. Kerülje a hozzáférési kulcsok kódolását vagy mentését bárhol, egyszerű, mások számára elérhető szövegben. Forgassa el a kulcsokat, ha úgy véli, hogy feltörték őket.

Fontos

A Microsoft azt javasolja, hogy a Microsoft Entra ID használatával engedélyezze a blob-, üzenetsor- és táblaadatokra irányuló kérelmeket, ha lehetséges, a fiókkulcsok használata helyett (megosztott kulcs engedélyezése). A Microsoft Entra ID azonosítóval történő engedélyezés kiváló biztonságot és egyszerű használatot biztosít a megosztott kulcsok engedélyezésével szemben. Az alkalmazásokBól származó Microsoft Entra-engedélyezés használatáról további információt a .NET-alkalmazások Azure-szolgáltatásokkal való hitelesítése című témakörben talál. SMB Azure-fájlmegosztások esetén a Microsoft a helyi Active Directory Domain Services (AD DS) integrációját vagy a Microsoft Entra Kerberos-hitelesítés használatát javasolja.

Ha meg szeretné akadályozni, hogy a felhasználók megosztott kulccsal férhessenek hozzá a tárfiók adataihoz, letilthatja a tárfiók megosztott kulcsának engedélyezését. Ajánlott biztonsági eljárásként ajánlott a minimális jogosultságokkal rendelkező adatokhoz való részletes hozzáférés. A Microsoft Entra ID-alapú hitelesítést az OAuth-t támogató forgatókönyvekhez kell használni. Kerberost vagy SMTP-t kell használni az Azure Fileshoz SMB-en keresztül. A REST-en keresztüli Azure Files esetében SAS-jogkivonatok használhatók. A megosztott kulcs hozzáférését le kell tiltani, ha nincs szükség a véletlen használat megakadályozására. További információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.

Az Azure Storage-fiók Microsoft Entra feltételes hozzáférési szabályzatokkal való védelméhez le kell tiltania a tárfiók megosztott kulcsának engedélyezését.

Ha letiltotta a megosztott kulcshoz való hozzáférést, és a diagnosztikai naplókban a megosztott kulcs engedélyezését látja, az azt jelzi, hogy a rendszer megbízható hozzáférést használ a tárterület eléréséhez. További információ: Az előfizetésben regisztrált erőforrások megbízható hozzáférése.

Kapcsolati sztring tárolása

Az alkalmazásnak futtatókörnyezetben kell hozzáférnie a kapcsolati sztring az Azure Storage-ba irányuló kérések engedélyezéséhez. Számos lehetősége van a fiók hozzáférési kulcsainak vagy kapcsolati sztring tárolására:

• A fiókkulcsokat biztonságosan tárolhatja az Azure Key Vaultban. További információ: Az Azure Key Vault által felügyelt tárfiókkulcsok ismertetése.
• A kapcsolati sztring egy környezeti változóban tárolhatja.
• Egy alkalmazás tárolhatja a kapcsolati sztring egy app.config vagy web.config fájlban. Adja hozzá a kapcsolati sztring a fájlok Alkalmazás Gépház szakaszához.

Figyelmeztetés:

A fiók hozzáférési kulcsainak vagy kapcsolati sztring tiszta szövegben való tárolása biztonsági kockázatot jelent, ezért nem ajánlott. Tárolja a fiókkulcsokat titkosított formátumban, vagy migrálja az alkalmazásokat a Microsoft Entra-hitelesítés használatára a tárfiókhoz való hozzáféréshez.

Kapcsolati sztring konfigurálása az Azurite-hoz

Az emulátor egyetlen rögzített fiókot és egy jól ismert hitelesítési kulcsot támogat a megosztott kulcsú hitelesítéshez. Ez a fiók és kulcs az egyetlen közös kulcsú hitelesítő adat, amely az emulátorhoz használható. Ezek a következők:

Account name: devstoreaccount1
Account key: Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==

Megjegyzés:

Az emulátor által támogatott hitelesítési kulcs csak az ügyfél-hitelesítési kód funkcióinak tesztelésére szolgál. Nem szolgál semmilyen biztonsági célt. Az éles tárfiókot és -kulcsot nem használhatja az emulátorhoz. Ne használja a fejlesztési fiókot éles adatokkal.

Az emulátor csak HTTP-en keresztül támogatja a kapcsolatot. Azonban a HTTPS az ajánlott protokoll egy éles Azure-tárfiók erőforrásainak eléréséhez.

Csatlakozás az emulátorfiókba a parancsikon használatával

Az emulátorhoz az alkalmazásból a legegyszerűbben úgy csatlakozhat, ha konfigurál egy kapcsolati sztring az alkalmazás konfigurációs fájljában, amely a parancsikonra hivatkozikUseDevelopmentStorage=true. A parancsikon egyenértékű az emulátor teljes kapcsolati sztring, amely meghatározza a fiók nevét, a fiókkulcsot és az emulátorvégpontokat az egyes Azure Storage-szolgáltatásokhoz:

DefaultEndpointsProtocol=http;AccountName=devstoreaccount1;
AccountKey=Eby8vdM02xNOcqFlqUwJPLlmEtlCDXJ1OUzFT50uSRZ6IFsuFq2UVErCz4I6tq/K1SZFPTOtr/KBHBeksoGMGw==;
BlobEndpoint=http://127.0.0.1:10000/devstoreaccount1;
QueueEndpoint=http://127.0.0.1:10001/devstoreaccount1;
TableEndpoint=http://127.0.0.1:10002/devstoreaccount1;

Az alábbi .NET-kódrészlet bemutatja, hogyan használhatja a parancsikont egy kapcsolati sztring használó metódusból. A BlobContainerClient(Sztring, Sztring) konstruktor például egy kapcsolati sztring vesz igénybe.

BlobContainerClient blobContainerClient = new BlobContainerClient("UseDevelopmentStorage=true", "sample-container");
blobContainerClient.CreateIfNotExists();

Győződjön meg arról, hogy az emulátor fut, mielőtt meghívja a kódot a kódrészletben.

Az Azurite-ról további információt az Azurite emulátor használata a helyi Azure Storage-fejlesztéshez című témakörben talál.

Kapcsolati sztring konfigurálása Azure Storage-fiókhoz

Ha kapcsolati sztring szeretne létrehozni az Azure Storage-fiókjához, használja az alábbi formátumot. Adja meg, hogy https (ajánlott) vagy HTTP használatával szeretne-e csatlakozni a tárfiókhoz, cserélje le myAccountName a tárfiók nevére, és cserélje le myAccountKey a fiók hozzáférési kulcsára:

DefaultEndpointsProtocol=[http|https];AccountName=myAccountName;AccountKey=myAccountKey

A kapcsolati sztring például a következőhöz hasonlóan nézhet ki:

DefaultEndpointsProtocol=https;AccountName=storagesample;AccountKey=<account-key>

Bár az Azure Storage a HTTP-t és a HTTPS-t is támogatja egy kapcsolati sztring, a HTTPS használata erősen ajánlott.

Tipp.

A tárfiók kapcsolati sztring az Azure Portalon található. A tárfiók beállításai között keresse meg a Biztonság+ hálózatkezelési>hozzáférési kulcsokat, és tekintse meg az elsődleges és a másodlagos hozzáférési kulcsok kapcsolati sztring.

Kapcsolati sztring létrehozása közös hozzáférésű jogosultságkód használatával

Ha rendelkezik egy közös hozzáférésű jogosultságkód (SAS) URL-címével, amely hozzáférést biztosít a tárfiók erőforrásaihoz, használhatja az SAS-t egy kapcsolati sztring. Mivel az SAS tartalmazza a kérelem hitelesítéséhez szükséges információkat, egy SAS-vel rendelkező kapcsolati sztring biztosítja a protokollt, a szolgáltatásvégpontot és az erőforrás eléréséhez szükséges hitelesítő adatokat.

Ha közös hozzáférésű jogosultságkódot tartalmazó kapcsolati sztring szeretne létrehozni, adja meg a sztringet a következő formátumban:

BlobEndpoint=myBlobEndpoint;
QueueEndpoint=myQueueEndpoint;
TableEndpoint=myTableEndpoint;
FileEndpoint=myFileEndpoint;
SharedAccessSignature=sasToken

Az egyes szolgáltatásvégpontok megadása nem kötelező, bár a kapcsolati sztring legalább egyet tartalmaznia kell.

Megjegyzés:

Ajánlott eljárásként ajánlott a HTTPS sassal való használata.

Ha sast ad meg egy konfigurációs fájl kapcsolati sztring, előfordulhat, hogy speciális karaktereket kell kódolnia az URL-címben.

Példa szolgáltatás SAS-ra

Íme egy példa egy kapcsolati sztring, amely tartalmaz egy szolgáltatás SAS-t a Blob Storage-hoz:

BlobEndpoint=https://storagesample.blob.core.windows.net;
SharedAccessSignature=sv=2015-04-05&sr=b&si=tutorial-policy-635959936145100803&sig=9aCzs76n0E7y5BpEi2GvsSv433BZa22leDOZXX%2BXXIU%3D

Íme egy példa az URL-kódolással rendelkező kapcsolati sztring:

BlobEndpoint=https://storagesample.blob.core.windows.net;
SharedAccessSignature=sv=2015-04-05&sr=b&si=tutorial-policy-635959936145100803&sig=9aCzs76n0E7y5BpEi2GvsSv433BZa22leDOZXX%2BXXIU%3D

Példa fiók SAS-fiókra

Íme egy példa egy kapcsolati sztring, amely tartalmaz egy fiók SAS-t a Blobhoz és a Fájltárolóhoz. Vegye figyelembe, hogy mindkét szolgáltatás végpontjai meg vannak adva:

BlobEndpoint=https://storagesample.blob.core.windows.net;
FileEndpoint=https://storagesample.file.core.windows.net;
SharedAccessSignature=sv=2015-07-08&sig=iCvQmdZngZNW%2F4vw43j6%2BVz6fndHF5LI639QJba4r8o%3D&spr=https&st=2016-04-12T03%3A24%3A31Z&se=2016-04-13T03%3A29%3A31Z&srt=s&ss=bf&sp=rwl

Íme egy példa az URL-kódolással rendelkező kapcsolati sztring:

BlobEndpoint=https://storagesample.blob.core.windows.net;
FileEndpoint=https://storagesample.file.core.windows.net;
SharedAccessSignature=sv=2015-07-08&sig=iCvQmdZngZNW%2F4vw43j6%2BVz6fndHF5LI639QJba4r8o%3D&spr=https&st=2016-04-12T03%3A24%3A31Z&se=2016-04-13T03%3A29%3A31Z&srt=s&ss=bf&sp=rwl

Kapcsolati sztring létrehozása explicit tárolási végponthoz

Az alapértelmezett végpontok helyett explicit szolgáltatásvégpontokat is megadhat a kapcsolati sztring. Explicit végpontot meghatározó kapcsolati sztring létrehozásához adja meg az egyes szolgáltatások teljes szolgáltatásvégpontjait, beleértve a protokoll specifikációját (HTTPS (ajánlott) vagy HTTP-t is, a következő formátumban:

DefaultEndpointsProtocol=[http|https];
BlobEndpoint=myBlobEndpoint;
FileEndpoint=myFileEndpoint;
QueueEndpoint=myQueueEndpoint;
TableEndpoint=myTableEndpoint;
AccountName=myAccountName;
AccountKey=myAccountKey

Az egyik eset, amikor explicit végpontot szeretne megadni, az az, amikor a Blob Storage-végpontot egy egyéni tartományra képezte le. Ebben az esetben megadhatja a Blob Storage egyéni végpontját a kapcsolati sztring. Ha az alkalmazás használja őket, megadhatja a többi szolgáltatás alapértelmezett végpontjait.

Íme egy példa egy kapcsolati sztring, amely explicit végpontot határoz meg a Blob szolgáltatáshoz:

# Blob endpoint only
DefaultEndpointsProtocol=https;
BlobEndpoint=http://www.mydomain.com;
AccountName=storagesample;
AccountKey=<account-key>

Ez a példa az összes szolgáltatás explicit végpontjait határozza meg, beleértve a Blob szolgáltatás egyéni tartományát is:

# All service endpoints
DefaultEndpointsProtocol=https;
BlobEndpoint=http://www.mydomain.com;
FileEndpoint=https://myaccount.file.core.windows.net;
QueueEndpoint=https://myaccount.queue.core.windows.net;
TableEndpoint=https://myaccount.table.core.windows.net;
AccountName=storagesample;
AccountKey=<account-key>

A kapcsolati sztring végpontértékei a kérelem URI-jainak a tárolási szolgáltatásokhoz való létrehozására szolgálnak, és a kódhoz visszaadott URI-k formáját diktálják.

Ha egy tárvégpontot egy egyéni tartományra képezett le, és kihagyta ezt a végpontot egy kapcsolati sztring, akkor az adott kapcsolati sztring nem fogja tudni elérni a szolgáltatásban lévő adatokat a kódból.

Az egyéni tartomány Azure Storage-beli konfigurálásáról további információt az Egyéni tartomány leképezése Azure Blob Storage-végpontra című témakörben talál.

Fontos

A szolgáltatásvégpontok kapcsolati sztring értékeinek megfelelően formázott URI-knak kell lenniük, beleértve (https://ajánlott) vagy http://.

Kapcsolati sztring létrehozása végponti utótaggal

Ha kapcsolati sztring szeretne létrehozni egy tárolási szolgáltatáshoz különböző végponti utótagokkal rendelkező régiókban vagy példányokban, például a 21Vianet vagy az Azure Government által üzemeltetett Microsoft Azure esetében, használja az alábbi kapcsolati sztring formátumot. Adja meg, hogy HTTPS-n vagy HTTP-n keresztül szeretne-e csatlakozni a tárfiókhoz, cserélje le myAccountName a tárfiók nevére, cserélje le myAccountKey a fiók hozzáférési kulcsára, és cserélje le mySuffix az URI utótagot:

DefaultEndpointsProtocol=[http|https];
AccountName=myAccountName;
AccountKey=myAccountKey;
EndpointSuffix=mySuffix;

Íme egy példa a 21Vianet által üzemeltetett Azure-beli tárolási szolgáltatások kapcsolati sztring:

DefaultEndpointsProtocol=https;
AccountName=storagesample;
AccountKey=<account-key>;
EndpointSuffix=core.chinacloudapi.cn;

Hozzáférés engedélyezése megosztott kulccsal

Az Azure Storage-hozzáférés fiókkulccsal vagy kapcsolati sztring történő engedélyezéséről az alábbi cikkek egyikében olvashat:

• Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz a .NET-tel
• Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz Java használatával
• Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz JavaScript használatával
• Hozzáférés engedélyezése és csatlakozás a Blob Storage-hoz a Pythonnal

Következő lépések

• Korlátozott hozzáférés engedélyezése az Azure Storage-erőforrásokhoz közös hozzáférésű jogosultságkódokkal
• Az Azurite emulátor használata helyi Azure Storage-fejlesztéshez