Eseguire comandi di PowerShell con le credenziali di Microsoft Entra per accedere ai dati della coda
Archiviazione di Azure fornisce estensioni per PowerShell che consentono di accedere ed eseguire comandi di scripting con le credenziali di Microsoft Entra. Quando si accede a PowerShell con le credenziali di Microsoft Entra, viene restituito un token di accesso OAuth 2.0. Tale token viene usato automaticamente da PowerShell per autorizzare le operazioni successive sui dati in Queue Archiviazione. Per le operazioni supportate, non è più necessario passare un chiave dell'account o un token di firma di accesso condiviso con il comando.
È possibile assegnare autorizzazioni ai dati della coda a un'entità di sicurezza Di Microsoft Entra tramite il controllo degli accessi in base al ruolo di Azure. Per altre informazioni sui ruoli di Azure in Archiviazione di Azure, vedere Gestire i diritti di accesso per Archiviazione di Azure dati con il controllo degli accessi in base al ruolo di Azure.
Operazioni supportate
Le estensioni Archiviazione di Azure sono supportate per le operazioni sui dati della coda. Le operazioni che è possibile chiamare dipendono dalle autorizzazioni concesse all'entità di sicurezza Microsoft Entra con cui si accede a PowerShell. Le autorizzazioni per le code vengono assegnate tramite il controllo degli accessi in base al ruolo di Azure. Ad esempio, se è stato assegnato il ruolo Lettore dati coda, è possibile eseguire comandi di scripting che leggono dati da una coda. Se è stato assegnato il ruolo Collaboratore dati coda, è possibile eseguire comandi di scripting che leggono, scrivono o eliminano una coda o i dati che contengono.
Per informazioni dettagliate sulle autorizzazioni necessarie per ogni operazione di Archiviazione di Azure in una coda, vedere Chiamare le operazioni di archiviazione con token OAuth.
Importante
Quando un account di archiviazione è bloccato con un blocco ReadOnly di Azure Resource Manager, l'operazione List Keys non è consentita per tale account di archiviazione. List Keys è un'operazione POST e tutte le operazioni POST vengono impedite quando viene configurato un blocco ReadOnly per l'account. Per questo motivo, quando l'account è bloccato con un blocco ReadOnly , gli utenti che non possiedono già le chiavi dell'account devono usare le credenziali di Microsoft Entra per accedere ai dati della coda. In PowerShell includere il -UseConnectedAccount parametro per creare un oggetto Azure Archiviazione Context con le credenziali di Microsoft Entra.
Chiamare i comandi di PowerShell usando le credenziali di Microsoft Entra
Nota
È consigliabile usare il modulo Azure Az PowerShell per interagire con Azure. Per iniziare, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo AZ PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.
Per usare Azure PowerShell per accedere ed eseguire le operazioni successive su Archiviazione di Azure usando le credenziali di Microsoft Entra, creare un contesto di archiviazione per fare riferimento all'account di archiviazione e includere il -UseConnectedAccount parametro .
L'esempio seguente illustra come creare una coda in un nuovo account di archiviazione da Azure PowerShell usando le credenziali di Microsoft Entra. È necessario ricordare di sostituire i valori segnaposto tra parentesi uncinate con i valori personalizzati:
Accedere all'account Azure con il comando Connessione-AzAccount:
Connect-AzAccountPer altre informazioni sull'accesso ad Azure con PowerShell, vedere Accedere con Azure PowerShell.
Creare un gruppo di risorse di Azure chiamando New-AzResourceGroup.
$resourceGroup = "sample-resource-group-ps" $location = "eastus" New-AzResourceGroup -Name $resourceGroup -Location $locationCreare un account di archiviazione chiamando New-Az Archiviazione Account.
$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup ` -Name "<storage-account>" ` -SkuName Standard_LRS ` -Location $location `Ottenere il contesto dell'account di archiviazione che specifica il nuovo account di archiviazione chiamando New-Az Archiviazione Context. Quando si agisce su un account di archiviazione, è possibile fare riferimento al contesto anziché passare ripetutamente le credenziali. Includere il
-UseConnectedAccountparametro per chiamare eventuali operazioni di dati successive usando le credenziali di Microsoft Entra:$ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccountPrima di creare la coda, assegnare il ruolo collaboratore ai dati della coda di Archiviazione a se stessi. Anche se si è il proprietario dell'account, sono necessarie autorizzazioni esplicite per eseguire operazioni sui dati sull'account di archiviazione. Per altre informazioni sull'assegnazione dei ruoli di Azure, vedere Assegnare un ruolo di Azure per l'accesso ai dati della coda.
Importante
La propagazione delle assegnazioni dei ruoli può richiedere alcuni minuti.
Creare una coda chiamando New-Az Archiviazione Queue. Poiché questa chiamata usa il contesto creato nei passaggi precedenti, la coda viene creata usando le credenziali di Microsoft Entra.
$queueName = "sample-queue" New-AzStorageQueue -Name $queueName -Context $ctx