Kérelmek engedélyezése az Azure Storage-nakAuthorize requests to Azure Storage

A Blob, A fájl, a várólista vagy a table szolgáltatás biztonságos erőforrásával szemben i.Every request made against a secured resource in the Blob, File, Queue, or Table service must be authorized. Az engedélyezés biztosítja, hogy a tárfiókban lévő erőforrások csak akkor legyenek elérhetők, ha azt szeretné, hogy azok legyenek, és csak azok nak a felhasználóknak vagy alkalmazásoknak, akiknek hozzáférést ad.Authorization ensures that resources in your storage account are accessible only when you want them to be, and only to those users or applications to whom you grant access.

Az alábbi táblázat azokat a beállításokat ismerteti, amelyeket az Azure Storage kínál az erőforrásokhoz való hozzáférés engedélyezéséhez:The following table describes the options that Azure Storage offers for authorizing access to resources:

Megosztott kulcs (tárfiók kulcsa)Shared Key (storage account key) Közös hozzáférésű jogosultságkód (SAS)Shared access signature (SAS) Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) Active Directory (előzetes verzió)Active Directory (preview) Névtelen nyilvános olvasási hozzáférésAnonymous public read access
Azure BlobsAzure Blobs TámogatottSupported TámogatottSupported TámogatottSupported Nem támogatottNot supported TámogatottSupported
Azure-fájlok (SMB)Azure Files (SMB) TámogatottSupported Nem támogatottNot supported Támogatott, csak az Azure AD tartományi szolgáltatásokkalSupported, only with Azure AD Domain Services Támogatott, a hitelesítő adatokat szinkronizálni kell az Azure AD-velSupported, credentials must be synced to Azure AD Nem támogatottNot supported
Azure-fájlok (REST)Azure Files (REST) TámogatottSupported TámogatottSupported Nem támogatottNot supported Nem támogatottNot supported Nem támogatottNot supported
Azure QueuesAzure Queues TámogatottSupported TámogatottSupported TámogatottSupported Nem támogatottNot Supported Nem támogatottNot supported
Azure-táblákAzure Tables TámogatottSupported TámogatottSupported Nem támogatottNot supported Nem támogatottNot supported Nem támogatottNot supported

Az egyes engedélyezési lehetőségeket röviden ismertetjük az alábbiakban:Each authorization option is briefly described below:

  • Azure Active Directory (Azure AD): Az Azure AD a Microsoft felhőalapú identitás- és hozzáférés-kezelési szolgáltatása.Azure Active Directory (Azure AD): Azure AD is Microsoft's cloud-based identity and access management service. Az Azure AD-integráció érhető el a Blob és a Várólista-szolgáltatások.Azure AD integration is available for the Blob and Queue services. Az Azure AD használatával részletes hozzáférést rendelhet a felhasználókhoz, csoportokhoz vagy alkalmazásokhoz szerepköralapú hozzáférés-vezérlés (RBAC) keresztül.With Azure AD, you can assign fine-grained access to users, groups, or applications via role-based access control (RBAC). Az Azure AD-integráció az Azure Storage-szal kapcsolatos további információkért olvassa el az Engedélyezés az Azure Active Directoryval című témakört.For information about Azure AD integration with Azure Storage, see Authorize with Azure Active Directory.

  • Az Azure Active Directory tartományi szolgáltatások (Azure AD DS) engedélyezése az Azure Files.Azure Active Directory Domain Services (Azure AD DS) authorization for Azure Files. Az Azure Files támogatja az identitásalapú engedélyezést a kiszolgálói üzenetblokkon (SMB) az Azure AD DS-en keresztül.Azure Files supports identity-based authorization over Server Message Block (SMB) through Azure AD DS. Az RBAC segítségével részletesen szabályozhatja az ügyfél azure-fájlok hoz való hozzáférését egy tárfiókban.You can use RBAC for fine-grained control over a client's access to Azure Files resources in a storage account. Az Azure Files tartományi szolgáltatások használatával történő hitelesítésével kapcsolatos további információkért lásd: Azure Files identity-based authorization.For more information regarding Azure Files authentication using domain services, see Azure Files identity-based authorization.

  • Active Directory (AD) engedélyezési (előzetes verzió) az Azure Files.Active Directory (AD) authorization (preview) for Azure Files. Az Azure Files támogatja az identitásalapú engedélyezést az SMB-n keresztül az AD-n keresztül.Azure Files supports identity-based authorization over SMB through AD. Az AD tartományi szolgáltatás üzemeltethető a helyszíni gépeken vagy az Azure-beli virtuális gépeken.Your AD domain service can be hosted on on-premises machines or in Azure VMs. SMB-hozzáférés a fájlokhoz a tartományhoz csatlakozó gépek AD-hitelesítő adataival támogatott, akár a helyszínen, akár az Azure-ban.SMB access to Files is supported using AD credentials from domain joined machines, either on-premises or in Azure. Az RBAC segítségével megosztásszintű hozzáférés-vezérléshez és NTFS dakta-khoz használható a címtár- és fájlszintű engedély-kényszerítéshez.You can use RBAC for share level access control and NTFS DACLs for directory and file level permission enforcement. Az Azure Files tartományi szolgáltatások használatával történő hitelesítésével kapcsolatos további információkért lásd: Azure Files identity-based authorization.For more information regarding Azure Files authentication using domain services, see Azure Files identity-based authorization.

  • Megosztott kulcs: A megosztott kulcs engedélyezése a fiók hozzáférési kulcsaira és más paraméterekre támaszkodik egy titkosított aláírási karakterlánc létrehozásához, amely az engedélyezési fejlécben lévő kérésen átkerül.Shared Key: Shared Key authorization relies on your account access keys and other parameters to produce an encrypted signature string that is passed on the request in the Authorization header. A megosztott kulcs engedélyezéséről további információt az Engedélyezés megosztott kulccsalcímű témakörben talál.For more information about Shared Key authorization, see Authorize with Shared Key.

  • Megosztott hozzáférésű aláírások: A megosztott hozzáférésű aláírások (SAS) hozzáférést biztosítanak a fiók egy adott erőforrásához a megadott engedélyekkel és egy megadott időintervallumban.Shared access signatures: Shared access signatures (SAS) delegate access to a particular resource in your account with specified permissions and over a specified time interval. A SAS-ről a Hozzáférés delegálása megosztott hozzáférésű aláírássalcímű témakörben talál további információt.For more information about SAS, see Delegate access with a shared access signature.

  • Névtelen hozzáférés a tárolókhoz és blobokhoz: A blob-erőforrásokat szükség esetén a tároló vagy a blob szintjén is nyilvánossá teheti.Anonymous access to containers and blobs: You can optionally make blob resources public at the container or blob level. Egy nyilvános tároló vagy blob érhető el minden felhasználó számára a névtelen olvasási hozzáférés.A public container or blob is accessible to any user for anonymous read access. A nyilvános tárolók és blobok olvasási kérelmek nem igényelnek engedélyt.Read requests to public containers and blobs do not require authorization. További információ: Nyilvános olvasási hozzáférés engedélyezése tárolókhoz és blobokhoz az Azure Blob storage-ban.For more information, see Enable public read access for containers and blobs in Azure Blob storage.

Tipp

A blob- és várólista-adatokhoz való hozzáférés hitelesítése és engedélyezése az Azure AD-vel kiváló biztonságot és egyszerű használatot biztosít más engedélyezési beállításokkal szemben.Authenticating and authorizing access to blob and queue data with Azure AD provides superior security and ease of use over other authorization options. Például az Azure AD használatával elkerüli, hogy a fiók hozzáférési kulcsát a kóddal tárolja, ahogy a megosztott kulcs engedélyezésével teszi.For example, by using Azure AD, you avoid having to store your account access key with your code, as you do with Shared Key authorization. Bár továbbra is használhatja a megosztott kulcs engedélyezése a blob és a várólista-alkalmazások, a Microsoft azt javasolja, hogy az Azure AD, ahol lehetséges.While you can continue to use Shared Key authorization with your blob and queue applications, Microsoft recommends moving to Azure AD where possible.

Hasonlóképpen továbbra is használhatja a megosztott hozzáférésű aláírások (SAS) a tárfiókban lévő erőforrások részletes eléréséhez való hozzáférést, de az Azure AD hasonló képességeket kínál anélkül, hogy kezelnie kellene a SAS-jogkivonatokat, vagy aggódnia kellene egy feltört SAS visszavonása miatt.Similarly, you can continue to use shared access signatures (SAS) to grant fine-grained access to resources in your storage account, but Azure AD offers similar capabilities without the need to manage SAS tokens or worry about revoking a compromised SAS.

Az Azure AD-integráció az Azure Storage-ban további információt az Azure-blobokhoz és várólistákhoz való hozzáférés engedélyezéseaz Azure Active Directory használatával című témakörben talál.For more information about Azure AD integration in Azure Storage, see Authorize access to Azure blobs and queues using Azure Active Directory.