Autorizzare le richieste ad Archiviazione di Azure

Ogni richiesta effettuata su una risorsa protetta nei servizi BLOB, file, di accodamento o di archiviazione tabelle deve essere autorizzata. L'autorizzazione garantisce che le risorse nell'account di archiviazione siano accessibili solo quando si vuole e solo agli utenti o alle applicazioni a cui si concede l'accesso.

La tabella seguente descrive le opzioni offerte da Archiviazione di Azure per l'autorizzazione dell'accesso alle risorse:

Artefatto di Azure Chiave condivisa (chiave dell'account di archiviazione) Firma di accesso condiviso Microsoft Entra ID Istanza locale di Active Directory Domain Services Accesso in lettura pubblico anonimo
BLOB di Azure Supportato Supportato Supportato Non supportato Supporto
File di Azure (SMB) Supportato Non supportato Supportato con Microsoft Entra Domain Services o Kerberos Microsoft Entra Le credenziali supportate devono essere sincronizzate con Microsoft Entra ID Non supportato
File di Azure (REST) Supportato Supportato Supportato Non supportato Non supportato
Code di Azure Supportato Supportato Supportato Non supportato Non supportato
Tabelle di Azure Supportato Supportato Supportato Non supportato Non supportato

Ogni opzione di autorizzazione è brevemente descritta di seguito:

  • Microsoft Entra ID:Microsoft Entra è il servizio di gestione delle identità e dell'accesso basato sul cloud di Microsoft. Microsoft Entra ID integrazione è disponibile per i servizi BLOB, File, Coda e Tabella. Con Microsoft Entra ID è possibile assegnare l'accesso con granularità fine agli utenti, ai gruppi o alle applicazioni tramite controllo degli accessi in base al ruolo. Per informazioni sull'integrazione Microsoft Entra ID con Archiviazione di Azure, vedere Autorizzare con Microsoft Entra ID.

  • Microsoft Entra Domain Services autorizzazione per File di Azure. File di Azure supporta l'autorizzazione basata sull'identità su Server Message Block (SMB) tramite Microsoft Entra Domain Services. È possibile usare il controllo degli accessi in base al ruolo per controllare con granularità fine l'accesso di un client alle risorse File di Azure in un account di archiviazione. Per altre informazioni sull'autenticazione File di Azure usando i servizi di dominio, vedere File di Azure autorizzazione basata sull'identità.

  • Autorizzazione di Active Directory (AD) per File di Azure. File di Azure supporta l'autorizzazione basata su identità tramite SMB tramite AD. Il servizio di dominio AD può essere ospitato in computer locali o in macchine virtuali di Azure. L'accesso SMB ai file è supportato usando le credenziali di Active Directory dai computer aggiunti al dominio, in locale o in Azure. È possibile usare il controllo degli accessi in base al ruolo per il controllo degli accessi a livello di condivisione e le dll NTFS per l'applicazione delle autorizzazioni a livello di directory e file. Per altre informazioni sull'autenticazione File di Azure usando i servizi di dominio, vedere File di Azure autorizzazione basata sull'identità.

  • Chiave condivisa: L'autorizzazione chiave condivisa si basa sulle chiavi di accesso dell'account e altri parametri per produrre una stringa di firma crittografata passata alla richiesta nell'intestazione Di autorizzazione . Per altre informazioni sull'autorizzazione della chiave condivisa, vedere Autorizzare con chiave condivisa.

  • Firme di accesso condiviso: Le firme di accesso condiviso (SAS) delegano l'accesso a una determinata risorsa nell'account con autorizzazioni specificate e in un intervallo di tempo specificato. Per altre informazioni sulla firma di accesso condiviso, vedere Delegare l'accesso con una firma di accesso condiviso.

  • Accesso anonimo ai contenitori e ai BLOB: Facoltativamente, è possibile rendere pubbliche le risorse BLOB a livello di contenitore o BLOB. Un contenitore o un BLOB pubblico è accessibile a qualsiasi utente per l'accesso in lettura anonimo. Le richieste di lettura a contenitori e BLOB pubblici non richiedono l'autorizzazione. Per altre informazioni, vedere Abilitare l'accesso in lettura pubblico per contenitori e BLOB nell'archiviazione BLOB di Azure.

Suggerimento

L'autenticazione e l'autorizzazione dell'accesso ai dati BLOB, file, coda e tabella con Microsoft Entra ID offre una sicurezza e una facilità di utilizzo superiori rispetto ad altre opzioni di autorizzazione. Ad esempio, usando Microsoft Entra ID, è possibile evitare di archiviare la chiave di accesso dell'account con il codice, come si fa con l'autorizzazione di chiave condivisa. Anche se è possibile continuare a usare l'autorizzazione di chiave condivisa con le applicazioni BLOB e code, Microsoft consiglia di passare a Microsoft Entra ID, se possibile.

Analogamente, è possibile continuare a usare firme di accesso condiviso (SAS) per concedere l'accesso con granularità fine alle risorse nell'account di archiviazione, ma Microsoft Entra ID offre funzionalità simili senza la necessità di gestire i token di firma di accesso condiviso o preoccuparsi di revocare una firma di accesso condiviso compromesso.

Per altre informazioni sull'integrazione Microsoft Entra ID in Archiviazione di Azure, vedere Autorizzare l'accesso ai BLOB e alle code di Azure usando Microsoft Entra ID.