Autorizzare le richieste ad Archiviazione di Azure
Ogni richiesta effettuata su una risorsa protetta nei servizi BLOB, file, di accodamento o di archiviazione tabelle deve essere autorizzata. L'autorizzazione garantisce che le risorse nell'account di archiviazione siano accessibili solo quando si vuole e solo agli utenti o alle applicazioni a cui si concede l'accesso.
Importante
Per una sicurezza ottimale, Microsoft consiglia di usare Microsoft Entra ID con identità gestite per autorizzare le richieste sui dati BLOB, code e tabelle, quando possibile. L'autorizzazione con Microsoft Entra ID e identità gestite offre sicurezza e facilità d'uso superiori rispetto all'autorizzazione con chiave condivisa. Per altre informazioni, vedere Autorizzare con Microsoft Entra ID. Per altre informazioni sulle identità gestite, vedere Informazioni sulle identità gestite per le risorse di Azure.
Per le risorse ospitate all'esterno di Azure, ad esempio le applicazioni locali, è possibile usare le identità gestite tramite Azure Arc. Ad esempio, le app in esecuzione nei server abilitati per Azure Arc possono usare le identità gestite per connettersi ai servizi di Azure. Per altre informazioni, vedere Eseguire l'autenticazione con le risorse di Azure con i server abilitati per Azure Arc.
Per gli scenari in cui vengono usate le firme di accesso condiviso, Microsoft consiglia di usare una firma di accesso condiviso delega utente. Una firma di accesso condiviso della delega utente è protetta con le credenziali Microsoft Entra anziché la chiave dell'account. Per informazioni sulle firme di accesso condiviso, vedere Create una firma di accesso condiviso di delega utente.
La tabella seguente descrive le opzioni offerte da Archiviazione di Azure per autorizzare l'accesso alle risorse:
| Artefatto di Azure | Chiave condivisa (chiave dell'account di archiviazione) | Firma di accesso condiviso | Microsoft Entra ID | Istanza locale di Active Directory Domain Services | Accesso in lettura pubblico anonimo |
|---|---|---|---|---|---|
| BLOB di Azure | Supportato | Supportato | Supportato | Non supportato | Supporto |
| File di Azure (SMB) | Supportato | Non supportato | Supportato con Microsoft Entra Domain Services o kerberos Microsoft Entra | Supportate, le credenziali devono essere sincronizzate con Microsoft Entra ID | Non supportato |
| File di Azure (REST) | Supportato | Supportato | Supportato | Non supportato | Non supportato |
| Code di Azure | Supportato | Supportato | Supportato | Non supportato | Non supportato |
| Tabelle di Azure | Supportato | Supportato | Supportato | Non supportato | Non supportato |
Ogni opzione di autorizzazione è descritta brevemente di seguito:
Microsoft Entra ID:Microsoft Entra è il servizio di gestione delle identità e degli accessi basato sul cloud di Microsoft. Microsoft Entra ID'integrazione è disponibile per i servizi BLOB, file, code e tabelle. Con Microsoft Entra ID, è possibile assegnare un accesso granulare a utenti, gruppi o applicazioni tramite il controllo degli accessi in base al ruolo. Per informazioni sull'integrazione di Microsoft Entra ID con Archiviazione di Azure, vedere Autorizzare con Microsoft Entra ID.
autorizzazione Microsoft Entra Domain Services per File di Azure. File di Azure supporta l'autorizzazione basata sull'identità su SMB (Server Message Block) tramite Microsoft Entra Domain Services. È possibile usare il controllo degli accessi in base al ruolo per controllare con granularità fine l'accesso di un client alle risorse di File di Azure in un account di archiviazione. Per altre informazioni sull'autenticazione File di Azure tramite servizi di dominio, vedere File di Azure'autorizzazione basata sull'identità.
Autorizzazione di Active Directory (AD) per File di Azure. File di Azure supporta l'autorizzazione basata su identità tramite SMB tramite AD. Il servizio di dominio AD può essere ospitato in computer locali o in macchine virtuali di Azure. L'accesso SMB ai file è supportato usando le credenziali di Active Directory dai computer aggiunti a un dominio, in locale o in Azure. È possibile usare il controllo degli accessi in base al ruolo per il controllo di accesso a livello di condivisione e gli elenchi DACL NTFS per l'imposizione delle autorizzazioni a livello di directory e file. Per altre informazioni sull'autenticazione File di Azure tramite servizi di dominio, vedere File di Azure'autorizzazione basata sull'identità.
Chiave condivisa: L'autorizzazione con chiave condivisa si basa sulle chiavi di accesso dell'account e su altri parametri per produrre una stringa di firma crittografata passata alla richiesta nell'intestazione authorization . Per altre informazioni sull'autorizzazione di chiave condivisa, vedere Autorizzare con chiave condivisa.
Firme di accesso condiviso: Le firme di accesso condiviso delegano l'accesso a una determinata risorsa nell'account con autorizzazioni specificate e in un intervallo di tempo specificato. Per altre informazioni sulla firma di accesso condiviso, vedere Delegare l'accesso con una firma di accesso condiviso.
Accesso anonimo a contenitori e BLOB: Facoltativamente, è possibile rendere pubbliche le risorse BLOB a livello di contenitore o BLOB. Un contenitore o un BLOB pubblico è accessibile a qualsiasi utente per l'accesso in lettura anonimo. Le richieste di lettura a contenitori e BLOB pubblici non richiedono l'autorizzazione. Per altre informazioni, vedere Abilitare l'accesso in lettura pubblico per contenitori e BLOB nell'archiviazione BLOB di Azure.
Suggerimento
L'autenticazione e l'autorizzazione dell'accesso ai dati BLOB, file, code e tabelle con Microsoft Entra ID offre sicurezza e facilità d'uso superiori rispetto ad altre opzioni di autorizzazione. Ad esempio, usando Microsoft Entra ID, evitare di dover archiviare la chiave di accesso dell'account con il codice, come si fa con l'autorizzazione chiave condivisa. Anche se è possibile continuare a usare l'autorizzazione con chiave condivisa con le applicazioni BLOB e code, Microsoft consiglia di passare a Microsoft Entra ID laddove possibile.
Analogamente, è possibile continuare a usare firme di accesso condiviso (SAS) per concedere l'accesso con granularità fine alle risorse nell'account di archiviazione, ma Microsoft Entra ID offre funzionalità simili senza la necessità di gestire i token di firma di accesso condiviso o preoccuparsi di revocare una firma di accesso condiviso compromessa.
Per altre informazioni sull'integrazione di Microsoft Entra ID in Archiviazione di Azure, vedere Autorizzare l'accesso a BLOB e code di Azure usando Microsoft Entra ID.