Mengotorisasi permintaan ke Azure Storage

Setiap permintaan yang dibuat terhadap sumber daya yang diamankan di layanan Blob, File, Queue, atau Table harus diotorisasi. Otorisasi memastikan bahwa sumber daya di akun penyimpanan Anda hanya dapat diakses saat Anda menginginkannya, dan hanya untuk pengguna atau aplikasi yang Anda beri akses.

Tabel berikut ini menjelaskan opsi yang ditawarkan Microsoft Azure Storage untuk mengotorisasi akses ke sumber daya:

Artefak Azure Kunci Bersama (kunci akun penyimpanan) Tanda tangan akses bersama (SAS) Microsoft Azure Active Directory (Azure AD) Active Directory Domain Services (AD DS) lokal Akses baca publik anonim
Azure Blobs Didukung Didukung Didukung Tidak didukung Didukung
Azure Files (SMB) Didukung Tidak didukung Didukung, hanya dengan AAD Domain Services Didukung, kredensial harus disinkronkan ke Azure AD Tidak didukung
File Azure (REST) Didukung Didukung Tidak didukung Tidak didukung Tidak didukung
Antrean Azure Didukung Didukung Didukung Tidak Didukung Tidak didukung
Azure Tables Didukung Didukung Didukung Tidak didukung Tidak didukung

Setiap opsi otorisasi dijelaskan secara singkat di bawah ini:

  • Azure Active Directory (Azure AD):Azure AD adalah layanan manajemen identitas dan akses berbasis cloud Microsoft. Azure AD tersedia untuk layanan Blob, Antrean, dan Tabel. Dengan Microsoft Azure AD, Anda dapat menetapkan akses yang terperinci ke pengguna, grup, atau aplikasi melalui kontrol akses berbasis peran (RBAC). Untuk informasi tentang integrasi Azure AD dengan Azure Storage, lihat Mengotorisasi dengan Azure Active Directory.

  • Otorisasi Azure Active Directory Domain Services (Azure AD Domain Services) untuk Azure Files. Azure Files mendukung otorisasi berbasis identitas melalui Blok Pesan Server (SMB) melalui Azure AD DS. Anda dapat menggunakan RBAC untuk kontrol terperinci atas akses klien ke sumber daya Azure Files di akun penyimpanan. Untuk informasi selengkapnya mengenai autentikasi Azure Files menggunakan layanan domain, lihat Azure Files otorisasi berbasis identitas.

  • Otorisasi Direktori Aktif (AD) untuk Azure Files. Azure Files mendukung otorisasi berbasis identitas melalui SMB melalui AD. Layanan domain AD Anda dapat dihosting di komputer lokal atau di Azure VM. Akses SMB ke File didukung menggunakan kredensial AD dari komputer yang bergabung dengan domain, baik lokal atau di Azure. Anda dapat menggunakan RBAC untuk kontrol akses tingkat berbagi dan DACL NTFS untuk penegakan izin tingkat direktori dan file. Untuk informasi selengkapnya mengenai autentikasi Azure Files menggunakan layanan domain, lihat Azure Files otorisasi berbasis identitas.

  • Kunci Bersama: Otorisasi Kunci Bersama bergantung pada kunci akses akun Anda dan parameter lain untuk menghasilkan string tanda tangan terenkripsi yang diteruskan pada permintaan di header Otorisasi . Untuk informasi selengkapnya tentang otorisasi Kunci Bersama, lihat Mengotorisasi dengan Kunci Bersama.

  • Tanda tangan akses bersama: Tanda tangan akses bersama (SAS) mendelegasikan akses ke sumber daya tertentu di akun Anda dengan izin yang ditentukan dan selama interval waktu tertentu. Untuk informasi selengkapnya tentang SAS, lihat Mendelegasikan akses dengan tanda tangan akses bersama.

  • Akses anonim ke kontainer dan blob: Anda dapat secara opsional membuat sumber daya blob menjadi publik di tingkat kontainer atau blob. Kontainer atau blob publik dapat diakses oleh semua pengguna untuk akses baca anonim. Permintaan baca ke kontainer dan blob publik tidak memerlukan otorisasi. Untuk informasi selengkapnya, lihat Mengaktifkan akses baca publik untuk kontainer dan blob di penyimpanan Azure Blob.

Tip

Mengautentikasi dan mengotorisasi akses ke data blob, antrean, dan tabel dengan Azure AD memberikan keamanan yang unggul dan kemudahan penggunaan atas opsi otorisasi lainnya. Misalnya, dengan menggunakan Microsoft Azure AD, Anda tidak perlu menyimpan kunci akses akun anda dengan kode anda, seperti yang anda lakukan dengan otorisasi Kunci Bersama. Meskipun Anda dapat terus menggunakan otorisasi Kunci Bersama dengan aplikasi blob dan antrean Anda, Microsoft merekomendasikan untuk pindah ke Microsoft Azure AD jika memungkinkan.

Demikian pula, Anda dapat terus menggunakan tanda tangan akses bersama (SAS) untuk memberikan akses terperinci ke sumber daya di akun penyimpanan Anda, tetapi Microsoft Azure AD menawarkan kemampuan serupa tanpa perlu mengelola token SAS atau khawatir mencabut SAS yang disusupi.

Untuk informasi selengkapnya tentang integrasi Azure AD di Azure Storage, lihat Mengotorisasi akses ke blob dan antrean Azure menggunakan Azure Active Directory.