Autorizzazione dell'accesso ai dati in archiviazione di AzureAuthorizing access to data in Azure Storage

Ogni volta che si accede ai dati nell'account di archiviazione, il client effettua una richiesta tramite HTTP/HTTPS ad Archiviazione di Azure.Each time you access data in your storage account, your client makes a request over HTTP/HTTPS to Azure Storage. Ogni richiesta a una risorsa sicura deve essere autorizzata, in modo che il servizio possa verificare che il client ha le autorizzazioni necessarie per accedere ai dati.Every request to a secure resource must be authorized, so that the service ensures that the client has the permissions required to access the data.

La tabella seguente descrive le opzioni offerte da archiviazione di Azure per autorizzare l'accesso alle risorse:The following table describes the options that Azure Storage offers for authorizing access to resources:

Artefatto di AzureAzure artifact Chiave condivisa (chiave dell'account di archiviazione)Shared Key (storage account key) Firma di accesso condivisoShared access signature (SAS) Azure Active Directory (Azure AD)Azure Active Directory (Azure AD) Active Directory Domain Services locale (anteprima)On-premises Active Directory Domain Services (preview) Accesso in lettura pubblico AnonimoAnonymous public read access
BLOB di AzureAzure Blobs SupportatoSupported SupportatoSupported SupportatoSupported Non supportatoNot supported SupportoSupported
File di Azure (SMB)Azure Files (SMB) SupportatoSupported Non supportatoNot supported Supportato solo con servizi di dominio AADSupported, only with AAD Domain Services Supportato, le credenziali devono essere sincronizzate con Azure ADSupported, credentials must be synced to Azure AD Non supportatoNot supported
File di Azure (REST)Azure Files (REST) SupportatoSupported SupportatoSupported Non supportatoNot supported Non supportatoNot supported Non supportatoNot supported
Code di AzureAzure Queues SupportatoSupported SupportatoSupported SupportatoSupported Non supportatoNot Supported Non supportatoNot supported
Tabelle di AzureAzure Tables SupportatoSupported SupportatoSupported Non supportatoNot supported Non supportatoNot supported Non supportatoNot supported

Ogni opzione di autorizzazione viene descritta brevemente di seguito:Each authorization option is briefly described below:

  • Integrazione di Azure Active Directory (Azure ad) per i BLOB e le code.Azure Active Directory (Azure AD) integration for blobs, and queues. Azure fornisce il controllo degli accessi in base al ruolo di Azure (RBAC di Azure) per controllare l'accesso di un client alle risorse in un account di archiviazione.Azure provides Azure role-based access control (Azure RBAC) for control over a client's access to resources in a storage account. Per altre informazioni sull'integrazione Azure AD per i BLOB e le code, vedere autorizzare l'accesso a BLOB e code di Azure usando Azure Active Directory.For more information regarding Azure AD integration for blobs and queues, see Authorize access to Azure blobs and queues using Azure Active Directory.

  • Autenticazione Azure Active Directory Domain Services (Azure AD DS) per file di Azure.Azure Active Directory Domain Services (Azure AD DS) authentication for Azure Files. File di Azure supporta l'autorizzazione basata sull'identità su Server Message Block (SMB) tramite Azure AD DS.Azure Files supports identity-based authorization over Server Message Block (SMB) through Azure AD DS. È possibile usare il controllo degli accessi in base al ruolo di Azure per un controllo con granularità fine sull'accesso di un client a File di Azure risorse in un account di archiviazione.You can use Azure RBAC for fine-grained control over a client's access to Azure Files resources in a storage account. Per ulteriori informazioni sull'autenticazione File di Azure utilizzando servizi di dominio, vedere la Panoramica.For more information regarding Azure Files authentication using domain services, refer to the overview.

  • L'autenticazione Active Directory Domain Services locale (servizi di dominio Active Directory o Active Directory Domain Services locale) (anteprima) per file di Azure.On-premises Active Directory Domain Services (AD DS, or on-premises AD DS) authentication (preview) for Azure Files. File di Azure supporta l'autorizzazione basata sull'identità su SMB tramite servizi di dominio Active Directory.Azure Files supports identity-based authorization over SMB through AD DS. L'ambiente di dominio Active Directory può essere ospitato in computer locali o in macchine virtuali di Azure.Your AD DS environment can be hosted in on-premises machines or in Azure VMs. L'accesso SMB ai file è supportato tramite le credenziali di servizi di dominio Active Directory da computer aggiunti a un dominio, sia in locale che in Azure.SMB access to Files is supported using AD DS credentials from domain joined machines, either on-premises or in Azure. È possibile usare una combinazione di RBAC di Azure per il controllo di accesso a livello di condivisione e DACL NTFS per l'imposizione delle autorizzazioni a livello di directory/file.You can use a combination of Azure RBAC for share level access control and NTFS DACLs for directory/file level permission enforcement. Per ulteriori informazioni sull'autenticazione File di Azure utilizzando servizi di dominio, vedere la Panoramica.For more information regarding Azure Files authentication using domain services, refer to the overview.

  • Autorizzazione con chiave condivisa per BLOB, file, code e tabelle.Shared Key authorization for blobs, files, queues, and tables. Un client che usa una chiave condivisa passa con ogni richiesta un'intestazione che viene firmata usando la chiave di accesso dell'account di archiviazione.A client using Shared Key passes a header with every request that is signed using the storage account access key. Per altre informazioni, vedere Authorize with Shared Key (Autorizzazione con chiave condivisa).For more information, see Authorize with Shared Key.

  • Firme di accesso condiviso per BLOB, file, code e tabelle.Shared access signatures for blobs, files, queues, and tables. Le firme di accesso condiviso concedono accesso delegato limitato alle risorse in un account di archiviazione.Shared access signatures (SAS) provide limited delegated access to resources in a storage account. L'aggiunta di vincoli per l'intervallo di tempo durante il quale la firma è valida o per le autorizzazioni concesse fornisce flessibilità di gestione dell'accesso.Adding constraints on the time interval for which the signature is valid or on permissions it grants provides flexibility in managing access. Per altre informazioni, vedere Uso delle firme di accesso condiviso.For more information, see Using shared access signatures (SAS).

  • Accesso in lettura pubblico anonimo per contenitori e BLOB.Anonymous public read access for containers and blobs. L'autorizzazione non è necessaria.Authorization is not required. Per altre informazioni, vedere Gestire l'accesso in lettura anonimo a contenitori e BLOB.For more information, see Manage anonymous read access to containers and blobs.

Per impostazione predefinita, tutte le risorse in Archiviazione di Azure sono protette e sono disponibili solo per il proprietario dell'account.By default, all resources in Azure Storage are secured, and are available only to the account owner. Anche se è possibile usare una delle strategie di autorizzazione descritte in precedenza per concedere ai client l'accesso alle risorse nell'account di archiviazione, Microsoft consiglia di usare Azure AD ogni volta che è possibile per garantire la massima sicurezza e semplicità d'uso.Although you can use any of the authorization strategies outlined above to grant clients access to resources in your storage account, Microsoft recommends using Azure AD when possible for maximum security and ease of use.

Passaggi successiviNext steps