PowerShell-parancsok futtatása a Microsoft Entra hitelesítő adataival az üzenetsoradatok eléréséhez

Az Azure Storage bővítményeket biztosít a PowerShellhez, amelyek lehetővé teszik a Microsoft Entra hitelesítő adataival való bejelentkezést és szkriptelési parancsok futtatását. Amikor Microsoft Entra-hitelesítő adatokkal jelentkezik be a PowerShellbe, a rendszer egy OAuth 2.0 hozzáférési jogkivonatot ad vissza. A PowerShell automatikusan ezt a jogkivonatot használja a Queue Storage-on végzett további adatműveletek engedélyezéséhez. A támogatott műveletekhez már nem kell átadnia egy fiókkulcsot vagy SAS-jogkivonatot a paranccsal.

Az azure-beli szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyeket rendelhet az üzenetsoradatokhoz egy Microsoft Entra biztonsági taghoz. Az Azure Storage Azure-szerepköreivel kapcsolatos további információkért lásd : Azure Storage-adatokhoz való hozzáférési jogosultságok kezelése az Azure RBAC-vel.

Támogatott műveletek

Az Azure Storage-bővítmények támogatottak az üzenetsor-adatokon végzett műveletekhez. A meghívható műveletek a Microsoft Entra azon biztonsági tagjának engedélyétől függenek, amellyel bejelentkezik a PowerShellbe. Az üzenetsorokhoz tartozó engedélyek az Azure RBAC-en keresztül vannak hozzárendelve. Ha például a Queue Data Reader szerepkörhöz van hozzárendelve, futtathat szkriptelési parancsokat, amelyek adatokat olvasnak az üzenetsorból. Ha hozzá lett rendelve a Queue Data Contributor szerepkörhöz, futtathat szkriptelési parancsokat, amelyek olvasási, írási vagy törlési üzenetsort vagy az általuk tárolt adatokat olvasnak, írnak vagy törölnek.

Az egyes Azure Storage-műveletekhez szükséges engedélyekkel kapcsolatos részletekért tekintse meg az OAuth-jogkivonatokkal rendelkező tárolási műveletek meghívása című témakört.

Fontos

Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárolnak, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Ezért, ha a fiók olvasási zárolással van zárolva, a fiókkulcsokkal még nem rendelkező felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférniük az üzenetsor adataihoz. A PowerShellben adja meg az -UseConnectedAccount AzureStorageContext objektum létrehozásához szükséges paramétert a Microsoft Entra hitelesítő adataival.

PowerShell-parancsok meghívása a Microsoft Entra hitelesítő adataival

Megjegyzés:

We recommend that you use the Azure Az PowerShell module to interact with Azure. See Install Azure PowerShell to get started. To learn how to migrate to the Az PowerShell module, see Migrate Azure PowerShell from AzureRM to Az.

Ha az Azure PowerShell használatával szeretne bejelentkezni az Azure Storage-ba, és futtatni szeretné az azt követő műveleteket a Microsoft Entra hitelesítő adataival, hozzon létre egy tárolási környezetet a tárfiókra való hivatkozáshoz, és adja meg a paramétert -UseConnectedAccount .

Az alábbi példa bemutatja, hogyan hozhat létre üzenetsort egy új tárfiókban az Azure PowerShellből a Microsoft Entra hitelesítő adataival. Ne felejtse el lecserélni a szögletes zárójelek helyőrző értékeit a saját értékeire:

1. Jelentkezzen be azure-fiókjába az Csatlakozás-AzAccount paranccsal:

   Connect-AzAccount
   

   További információ az Azure-ba a PowerShell-lel való bejelentkezésről: Bejelentkezés az Azure PowerShell-lel.

2. Hozzon létre egy Azure-erőforráscsoportot a New-AzResourceGroup meghívásával.

   $resourceGroup = "sample-resource-group-ps"
   $location = "eastus"
   New-AzResourceGroup -Name $resourceGroup -Location $location
   

3. Hozzon létre egy tárfiókot a New-AzStorageAccount meghívásával.

   $storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
     -Name "<storage-account>" `
     -SkuName Standard_LRS `
     -Location $location `
   

4. Kérje le az új tárfiókot meghatározó tárfiók-környezetet a New-AzStorageContext meghívásával. Tárfiókon való működéskor a hitelesítő adatok ismételt átadása helyett hivatkozhat a környezetre. Adja meg azt a -UseConnectedAccount paramétert, amely meghívja az esetleges további adatműveleteket a Microsoft Entra hitelesítő adataival:

   $ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccount
   

5. Az üzenetsor létrehozása előtt rendelje hozzá saját magának a Storage Queue Data Közreműködő szerepkört. Annak ellenére, hogy Ön a fiók tulajdonosa, explicit engedélyekre van szüksége a tárfiókon végzett adatműveletek végrehajtásához. További információ az Azure-szerepkörök hozzárendeléséről: Azure-szerepkör hozzárendelése az üzenetsoradatokhoz való hozzáféréshez.

   Fontos

   Az Azure-szerepkör-hozzárendelések propagálása eltarthat néhány percig.

6. Hozzon létre egy üzenetsort a New-AzStorageQueue meghívásával. Mivel ez a hívás az előző lépésekben létrehozott környezetet használja, a rendszer a Microsoft Entra hitelesítő adataival hozza létre az üzenetsort.

   $queueName = "sample-queue"
   New-AzStorageQueue -Name $queueName -Context $ctx
   

Következő lépések

• Azure-szerepkör hozzárendelése az üzenetsoradatokhoz való hozzáféréshez
• Hozzáférés engedélyezése az Azure Storage-beli adatokhoz