Autorizzare l'accesso ai dati in Archiviazione di Azure
Ogni volta che si accede ai dati nell'account di archiviazione, l'applicazione client effettua una richiesta tramite HTTP/HTTPS in Archiviazione di Azure. Per impostazione predefinita, ogni risorsa in Archiviazione di Azure è protetta e ogni richiesta a una risorsa sicura deve essere autorizzata. L'autorizzazione garantisce che l'applicazione client disponga delle autorizzazioni appropriate per accedere a una determinata risorsa nell'account di archiviazione.
Importante
Per una sicurezza ottimale, Microsoft consiglia di usare l'ID Entra di Microsoft con identità gestite per autorizzare le richieste nei dati blob, code e tabelle, quando possibile. L'autorizzazione con l'ID e le identità gestite di Microsoft Entra offre sicurezza e facilità di utilizzo superiori rispetto all'autorizzazione con chiave condivisa. Per altre informazioni sulle identità gestite, vedere Che cosa sono le identità gestite per le risorse di Azure. Per un esempio di come abilitare e usare un'identità gestita per un'applicazione .NET, vedere Autenticazione di app ospitate in Azure in risorse di Azure con .NET.
Per le risorse ospitate all'esterno di Azure, ad esempio le applicazioni locali, è possibile usare le identità gestite tramite Azure Arc. Ad esempio, le app in esecuzione nei server abilitati per Azure Arc possono usare le identità gestite per connettersi ai servizi di Azure. Per altre informazioni, vedere Eseguire l'autenticazione con le risorse di Azure con i server abilitati per Azure Arc.
Per gli scenari in cui vengono usate le firme di accesso condiviso, Microsoft consiglia di usare una firma di accesso condiviso di delega utente. Una firma di accesso condiviso della delega utente è protetta con le credenziali di Microsoft Entra anziché la chiave dell'account. Per informazioni sulle firme di accesso condiviso, vedere Concedere l'accesso limitato ai dati con firme di accesso condiviso. Per un esempio di come creare e usare una firma di accesso condiviso di delega utente con .NET, vedere Creare una firma di accesso condiviso di delega utente per un BLOB con .NET.
Autorizzazione per le operazioni dei dati
La sezione seguente descrive il supporto delle autorizzazioni e le raccomandazioni per ogni servizio Archiviazione di Azure.
Nella tabella seguente vengono fornite informazioni sulle opzioni di autorizzazione supportate per i BLOB:
| Opzione di autorizzazione | Indicazioni | Elemento consigliato |
|---|---|---|
| Microsoft Entra ID | Autorizzare l'accesso ai dati di Archiviazione di Azure con Microsoft Entra ID | Microsoft consiglia di usare l'ID Microsoft Entra con identità gestite per autorizzare le richieste alle risorse BLOB. |
| Chiave condivisa (chiave dell'account di archiviazione) | Autorizzare con la chiave condivisa | Microsoft consiglia di non consentire l'autorizzazione della chiave condivisa per gli account di archiviazione. |
| Firma di accesso condiviso (SAS) | Uso delle firme di accesso condiviso | Quando è necessaria l'autorizzazione della firma di accesso condiviso, Microsoft consiglia di usare la firma di accesso condiviso delegata per l'accesso limitato alle risorse BLOB. |
| Accesso in lettura anonimo | Panoramica: Correzione dell'accesso in lettura anonimo per i dati BLOB | Microsoft consiglia di disabilitare l'accesso anonimo per tutti gli account di archiviazione. |
| Archiviazione utenti locali | Supportato solo per SFTP. Per altre informazioni, vedere Autorizzare l'accesso ai Archiviazione BLOB per un client SFTP | Vedere le linee guida per le opzioni. |
La sezione seguente descrive brevemente le opzioni di autorizzazione per Archiviazione di Azure:
Autorizzazione con chiave condivisa: si applica a BLOB, file, code e tabelle. Un client che usa una chiave condivisa passa con ogni richiesta un'intestazione che viene firmata usando la chiave di accesso dell'account di archiviazione. Per altre informazioni, vedere Authorize with Shared Key (Autorizzazione con chiave condivisa).
Microsoft consiglia di non consentire l'autorizzazione della chiave condivisa per l'account di archiviazione. Quando l'autorizzazione con chiave condivisa non è consentita, i client devono usare Microsoft Entra ID o una firma di accesso condiviso della delega utente per autorizzare le richieste di dati in tale account di archiviazione. Per altre informazioni, vedere Impedire l'autorizzazione con chiave condivisa per un account di archiviazione di Azure.
Firme di accesso condiviso per BLOB, file, code e tabelle. Le firme di accesso condiviso (SAS) forniscono accesso delegato limitato alle risorse nell'account di archiviazione tramite un URL firmato. L'URL firmato specifica le autorizzazioni concesse alla risorsa e l'intervallo in cui la firma è valida. Una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account viene firmata con la chiave dell'account, mentre la firma di accesso condiviso della delega utente viene firmata con le credenziali di Microsoft Entra e si applica solo ai BLOB. Per altre informazioni, vedere Uso delle firme di accesso condiviso.
Integrazione di Microsoft Entra: si applica alle risorse BLOB, code e tabelle. Microsoft consiglia di usare le credenziali di Microsoft Entra con identità gestite per autorizzare le richieste ai dati quando possibile per una sicurezza ottimale e facilità d'uso. Per altre informazioni sull'integrazione di Microsoft Entra, vedere gli articoli relativi alle risorse BLOB, code o tabelle .
È possibile usare il controllo degli accessi in base al ruolo di Azure per gestire le autorizzazioni di un'entità di sicurezza per le risorse BLOB, code e tabelle in un account di archiviazione. È anche possibile usare il controllo degli accessi in base all'attributo di Azure per aggiungere condizioni alle assegnazioni di ruolo di Azure per le risorse BLOB.
Per altre informazioni sul controllo degli accessi in base al ruolo, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?.
Per altre informazioni sul controllo degli accessi in base al ruolo, vedere Che cos'è il controllo degli accessi in base all'attributo di Azure?. Per informazioni sullo stato delle funzionalità del controllo degli accessi in base al ruolo, vedere Stato delle funzionalità delle condizioni del controllo degli accessi in base al ruolo in Archiviazione di Azure.
Autenticazione di Microsoft Entra Domain Services: si applica a File di Azure. File di Azure supporta l'autorizzazione basata sull'identità su Server Message Block (SMB) tramite Microsoft Entra Domain Services. È possibile usare il controllo degli accessi in base al ruolo di Azure per il controllo granulare dell'accesso di un client alle risorse di File di Azure in un account di archiviazione. Per altre informazioni sull'autenticazione File di Azure tramite servizi di dominio, vedere Panoramica delle opzioni di autenticazione basate sull'identità File di Azure per l'accesso SMB.
Autenticazione di Servizi di Dominio di Active Directory locali (AD DS o Active Directory Domain Services locale): si applica a File di Azure. File di Azure supporta l'autorizzazione basata sull'identità su MB tramite AD DS. L'ambiente di Active Directory Domain Services può essere ospitato in computer locali o in macchine virtuali di Azure. L'accesso SMB ai file è supportato usando le credenziali di Active Directory Domain Services dai computer aggiunti a un dominio, in locale o in Azure. È possibile usare una combinazione di Controllo degli accessi in base al ruolo di Azure per il controllo di accesso a livello di condivisione e le licenze DACL NTFS per l'imposizione delle autorizzazioni a livello di directory/file. Per altre informazioni sull'autenticazione File di Azure tramite servizi di dominio, vedere la panoramica.
Accesso in lettura anonimo: si applica alle risorse BLOB. Questa opzione non è consigliata. Quando è configurato l'accesso anonimo, i client possono leggere i dati BLOB senza autorizzazione. È consigliabile disabilitare l'accesso anonimo per tutti gli account di archiviazione. Per altre informazioni, vedere Panoramica: Correzione dell'accesso in lettura anonimo per i dati BLOB.
Archiviazione utenti locali: si applica ai BLOB con SFTP o file con SMB. Archiviazione utenti locali supporta le autorizzazioni a livello di contenitore per l'autorizzazione. Vedere Connessione per Archiviazione BLOB di Azure usando SSH File Transfer Protocol (SFTP) per altre informazioni su come usare Archiviazione utenti locali con SFTP.
Proteggere le chiavi di accesso
Le chiavi di accesso dell'account di archiviazione forniscono l'accesso completo alla configurazione di un account di archiviazione e ai dati. Fare sempre attenzione a proteggere le chiavi di accesso. Usare Azure Key Vault per gestire e ruotare le chiavi in modo sicuro. L'accesso alla chiave condivisa concede all’utente l'accesso completo alla configurazione di un account di archiviazione e ai relativi dati. L'accesso alle chiavi condivise deve essere limitato e monitorato con attenzione. Usare i token sas di delega utente con un ambito limitato di accesso negli scenari in cui non è possibile usare l'autorizzazione basata su ID Entra di Microsoft. Evitare chiavi di accesso con codifica fissa o salvarle in qualsiasi punto del testo normale che sia accessibile ad altri utenti. Ruotare le chiavi se si ritiene che potrebbero essere state compromesse.
Importante
Per evitare che gli utenti accedano ai dati nell'account di archiviazione con Chiave condivisa, è possibile non consentire l'autorizzazione con chiave condivisa per tale account. L'accesso granulare ai dati con privilegi minimi necessari è consigliato come procedura ottimale di protezione. Per gli scenari che supportano OAuth, è consigliabile usare l'autorizzazione basata su ID Entra di Microsoft usando le identità gestite. Kerberos o SMTP deve essere usato per File di Azure tramite SMB. Per File di Azure tramite REST, è possibile usare i token di firma di accesso condiviso. L'accesso con chiave condivisa deve essere disabilitato, se non necessario, per evitarne l'uso involontario. Per altre informazioni, vedere Impedire l'autorizzazione con chiave condivisa per un account di archiviazione di Azure.
Per proteggere un account di Archiviazione di Azure con i criteri di accesso condizionale di Microsoft Entra, è necessario non consentire l'autorizzazione di Chiave condivisa per tale account.
Se è stato disabilitato l'accesso con chiave condivisa e viene visualizzata l'autorizzazione di Chiave condivisa nei log di diagnostica, significa che l'accesso attendibile viene usato per accedere all'archiviazione. Per altri dettagli, vedere Accesso attendibile per le risorse registrate nella sottoscrizione.
Passaggi successivi
- Autorizzare l'accesso con Microsoft Entra ID a risorse BLOB, code o tabelle .
- Autorizzare con la chiave condivisa
- Concedere accesso limitato alle risorse di Archiviazione di Azure tramite firme di accesso condiviso