Autorizzare l'accesso ai dati in Archiviazione di Azure
Ogni volta che si accede ai dati nell'account di archiviazione, l'applicazione client effettua una richiesta tramite HTTP/HTTPS per Archiviazione di Azure. Per impostazione predefinita, ogni risorsa in Archiviazione di Azure è protetta e ogni richiesta a una risorsa sicura deve essere autorizzata. L'autorizzazione garantisce che l'applicazione client disponga delle autorizzazioni appropriate per accedere a una determinata risorsa nell'account di archiviazione.
Informazioni sull'autorizzazione per le operazioni sui dati
Nella tabella seguente vengono descritte le opzioni offerte Archiviazione di Azure per autorizzare l'accesso ai dati:
| Artefatto di Azure | Chiave condivisa (chiave dell'account di archiviazione) | Firma di accesso condiviso | Microsoft Entra ID | Istanza locale di Active Directory Domain Services | accesso in lettura anonimo | Archiviazione utenti locali |
|---|---|---|---|---|---|---|
| BLOB di Azure | Supportato | Supportato | Supportato | Non supportato | Supportato ma non consigliato | Supportato, solo per SFTP |
| File di Azure (SMB) | Supportato | Non supportato | Supportato, solo con Microsoft Entra Domain Services per solo cloud o Microsoft Entra Kerberos per le identità ibride | Supportate, le credenziali devono essere sincronizzate con Microsoft Entra ID | Non supportato | Non supportato |
| File di Azure (REST) | Supportato | Supportato | Supportato | Non supportato | Non supportato | Non supportato |
| Code di Azure | Supportato | Supportato | Supportato | Non supportato | Non supportato | Non supportato |
| Tabelle di Azure | Supportato | Supportato | Supportato | Non supportato | Non supportato | Non supportato |
Ogni opzione di autorizzazione è descritta brevemente di seguito:
Autorizzazione con chiave condivisa per BLOB, file, code e tabelle. Un client che usa una chiave condivisa passa con ogni richiesta un'intestazione che viene firmata usando la chiave di accesso dell'account di archiviazione. Per altre informazioni, vedere Authorize with Shared Key (Autorizzazione con chiave condivisa).
Microsoft consiglia di non consentire l'autorizzazione della chiave condivisa per l'account di archiviazione. Quando l'autorizzazione con chiave condivisa non è consentita, i client devono usare l'ID Microsoft Entra o una firma di accesso condiviso della delega utente per autorizzare le richieste di dati in tale account di archiviazione. Per altre informazioni, vedere Impedire l'autorizzazione con chiave condivisa per un account Archiviazione di Azure.
Firme di accesso condiviso per BLOB, file, code e tabelle. Le firme di accesso condiviso forniscono accesso delegato limitato alle risorse in un account di archiviazione tramite un URL firmato. L'URL firmato specifica le autorizzazioni concesse alla risorsa e l'intervallo in cui la firma è valida. Una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account viene firmata con la chiave dell'account, mentre la firma di accesso condiviso della delega utente viene firmata con le credenziali di Microsoft Entra e si applica solo ai BLOB. Per altre informazioni, vedere Uso delle firme di accesso condiviso.
Integrazione di Microsoft Entra per autorizzare le richieste alle risorse BLOB, code e tabelle. Microsoft consiglia di usare le credenziali di Microsoft Entra per autorizzare le richieste ai dati quando possibile per una sicurezza ottimale e una facilità d'uso. Per altre informazioni sull'integrazione di Microsoft Entra, vedere gli articoli relativi a BLOB, code o risorse di tabella .
È possibile usare il controllo degli accessi in base al ruolo di Azure per gestire le autorizzazioni di un'entità di sicurezza per le risorse BLOB, code e tabelle in un account di archiviazione. È anche possibile usare il controllo degli accessi in base all'attributo di Azure per aggiungere condizioni alle assegnazioni di ruolo di Azure per le risorse BLOB.
Per altre informazioni sul controllo degli accessi in base al ruolo, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?.
Per altre informazioni sul controllo degli accessi in base al ruolo e sul relativo stato di funzionalità, vedere:
Che cos'è il controllo degli accessi in base all'attributo di Azure?
Stato delle funzionalità della condizione del controllo degli accessi in base al ruolo
Autenticazione di Microsoft Entra Domain Services per File di Azure. File di Azure supporta l'autorizzazione basata sull'identità su Server Message Block (SMB) tramite Microsoft Entra Domain Services. È possibile usare il controllo degli accessi in base al ruolo di Azure per controllare in modo granulare l'accesso di un client alle risorse File di Azure in un account di archiviazione. Per altre informazioni sull'autenticazione File di Azure tramite servizi di dominio, vedere la panoramica.
Autenticazione di Servizi Dominio di Active Directory locali (AD DS o Active Directory Domain Services) locale per File di Azure. File di Azure supporta l'autorizzazione basata su identità tramite SMB tramite Active Directory Domain Services. L'ambiente di Active Directory Domain Services può essere ospitato in computer locali o in macchine virtuali di Azure. L'accesso SMB ai file è supportato usando le credenziali di Active Directory Domain Services dai computer aggiunti a un dominio, in locale o in Azure. È possibile usare una combinazione di Controllo degli accessi in base al ruolo di Azure per il controllo di accesso a livello di condivisione e le licenze DACL NTFS per l'imposizione delle autorizzazioni a livello di directory/file. Per altre informazioni sull'autenticazione File di Azure tramite servizi di dominio, vedere la panoramica.
L'accesso in lettura anonimo per i dati BLOB è supportato, ma non consigliato. Quando è configurato l'accesso anonimo, i client possono leggere i dati BLOB senza autorizzazione. È consigliabile disabilitare l'accesso anonimo per tutti gli account di archiviazione. Per altre informazioni, vedere Panoramica: Correzione dell'accesso in lettura anonimo per i dati BLOB.
Archiviazione Gli utenti locali possono essere usati per accedere ai BLOB con SFTP o file con SMB. Archiviazione Gli utenti locali supportano le autorizzazioni a livello di contenitore per l'autorizzazione. Vedere Connessione per Archiviazione BLOB di Azure usando SSH File Transfer Protocol (SFTP) per altre informazioni su come usare Archiviazione utenti locali con SFTP.
Proteggere le chiavi di accesso
Archiviazione chiavi di accesso dell'account forniscono l'accesso completo alla configurazione di un account di archiviazione, nonché ai dati. Prestare sempre attenzione a proteggere le chiavi di accesso. Usare Azure Key Vault per gestire e ruotare le chiavi in modo sicuro. L'accesso alla chiave condivisa concede a un utente l'accesso completo alla configurazione di un account di archiviazione e ai relativi dati. L'accesso alle chiavi condivise deve essere attentamente limitato e monitorato. Usare i token di firma di accesso condiviso con ambito limitato negli scenari in cui non è possibile usare l'autorizzazione basata su ID Entra di Microsoft. Evitare di codificare in modo rigido i tasti di scelta o di salvarli in qualsiasi punto del testo normale accessibile ad altri utenti. Ruotare le chiavi se si ritiene che potrebbero essere state compromesse.
Importante
Microsoft consiglia di usare Microsoft Entra ID per autorizzare le richieste nei dati blob, code e tabelle, se possibile, anziché usare le chiavi dell'account (autorizzazione con chiave condivisa). L'autorizzazione con Microsoft Entra ID offre maggiore sicurezza e facilità d'uso tramite l'autorizzazione con chiave condivisa. Per altre informazioni sull'uso dell'autorizzazione Di Microsoft Entra dalle applicazioni, vedere Come autenticare le applicazioni .NET con i servizi di Azure. Per le condivisioni file di Azure SMB, Microsoft consiglia di usare l'integrazione Active Directory locale Domain Services (AD DS) o l'autenticazione Kerberos di Microsoft Entra.
Per impedire agli utenti di accedere ai dati nell'account di archiviazione con chiave condivisa, è possibile impedire l'autorizzazione della chiave condivisa per l'account di archiviazione. L'accesso granulare ai dati con privilegi minimi necessari è consigliato come procedura consigliata per la sicurezza. L'autorizzazione basata su ID Entra di Microsoft deve essere usata per scenari che supportano OAuth. Kerberos o SMTP deve essere usato per File di Azure tramite SMB. Per File di Azure su REST, è possibile usare i token di firma di accesso condiviso. L'accesso con chiave condivisa deve essere disabilitato se non è necessario per evitare l'uso accidentale. Per altre informazioni, vedere Impedire l'autorizzazione con chiave condivisa per un account Archiviazione di Azure.
Per proteggere un account Archiviazione di Azure con i criteri di accesso condizionale di Microsoft Entra, è necessario non consentire l'autorizzazione della chiave condivisa per l'account di archiviazione.
Se è stato disabilitato l'accesso con chiave condivisa e viene visualizzata l'autorizzazione con chiave condivisa segnalata nei log di diagnostica, indica che l'accesso attendibile viene usato per accedere all'archiviazione. Per altri dettagli, vedere Accesso attendibile per le risorse registrate nella sottoscrizione.
Passaggi successivi
- Autorizzare l'accesso con Microsoft Entra ID a risorse BLOB, code o tabelle .
- Autorizzare con la chiave condivisa
- Concedere accesso limitato alle risorse di Archiviazione di Azure tramite firme di accesso condiviso