Aanvragen voor Azure Storage autoriseren

Elke aanvraag die is ingediend op basis van een beveiligde resource in de Blob-, File-, Queue- of Table-service, moet worden geautoriseerd. Autorisatie zorgt ervoor dat resources in uw opslagaccount alleen toegankelijk zijn wanneer u wilt dat ze zijn, en alleen voor gebruikers of toepassingen aan wie u toegang verleent.

In de volgende tabel worden de opties beschreven die Azure Storage biedt voor het autoriseren van toegang tot resources:

Azure-artefact Gedeelde sleutel (opslagaccountsleutel) Shared Access Signature (SAS) Azure Active Directory (Azure AD) On-premises Active Directory Domain Services Anonieme openbare leestoegang
Azure-blobs Ondersteund Ondersteund Ondersteund Niet ondersteund Ondersteund
Azure Files (SMB) Ondersteund Niet ondersteund Alleen ondersteund met AAD Domain Services Ondersteund, referenties moeten worden gesynchroniseerd met Azure AD Niet ondersteund
Azure Files (REST) Ondersteund Ondersteund Niet ondersteund Niet ondersteund Niet ondersteund
Azure-wachtrijen Ondersteund Ondersteund Ondersteund Niet ondersteund Niet ondersteund
Azure-tabellen Ondersteund Ondersteund Ondersteund Niet ondersteund Niet ondersteund

Elke autorisatieoptie wordt hieronder kort beschreven:

  • Azure Active Directory (Azure AD):Azure AD is de cloudservice voor identiteits- en toegangsbeheer van Microsoft. Azure AD integratie is beschikbaar voor de Blob-, Queue- en Table-services. Met Azure AD kunt u fijnmazige toegang toewijzen aan gebruikers, groepen of toepassingen via op rollen gebaseerd toegangsbeheer (RBAC). Zie Autoriseren met Azure Active Directory voor meer informatie over Azure AD integratie met Azure Storage.

  • Azure Active Directory Domain Services-autorisatie (Azure AD DS) voor Azure Files. Azure Files ondersteunt autorisatie op basis van identiteit via Server Message Block (SMB) via Azure AD DS. U kunt RBAC gebruiken voor nauwkeurige controle over de toegang van een client tot Azure Files resources in een opslagaccount. Zie Azure Files autorisatie op basis van identiteiten voor meer informatie over Azure Files verificatie met behulp van domeinservices.

  • Active Directory-autorisatie (AD) voor Azure Files. Azure Files ondersteunt autorisatie op basis van identiteiten via SMB via AD. Uw AD-domeinservice kan worden gehost op on-premises machines of in Azure-VM's. SMB-toegang tot Bestanden wordt ondersteund met BEHULP van AD-referenties van computers die lid zijn van een domein, on-premises of in Azure. U kunt RBAC gebruiken voor toegangsbeheer op shareniveau en NTFS-DACL's voor het afdwingen van machtigingen op map- en bestandsniveau. Zie Azure Files autorisatie op basis van identiteiten voor meer informatie over Azure Files verificatie met behulp van domeinservices.

  • Gedeelde sleutel: Autorisatie van gedeelde sleutels is afhankelijk van de toegangssleutels van uw account en andere parameters om een versleutelde handtekeningtekenreeks te produceren die wordt doorgegeven aan de aanvraag in de autorisatieheader . Zie Autoriseren met gedeelde sleutel voor meer informatie over gedeelde sleutelautorisatie.

  • Handtekeningen voor gedeelde toegang: Shared Access Signatures (SAS) delegeren toegang tot een bepaalde resource in uw account met opgegeven machtigingen en gedurende een opgegeven tijdsinterval. Zie Toegang delegeren met een Shared Access Signature voor meer informatie over SAS.

  • Anonieme toegang tot containers en blobs: U kunt eventueel blob-resources openbaar maken op container- of blobniveau. Een openbare container of blob is toegankelijk voor elke gebruiker voor anonieme leestoegang. Leesaanvragen voor openbare containers en blobs vereisen geen autorisatie. Zie Openbare leestoegang inschakelen voor containers en blobs in Azure Blob Storage voor meer informatie.

Tip

Het verifiëren en autoriseren van toegang tot blob-, wachtrij- en tabelgegevens met Azure AD biedt superieure beveiliging en gebruiksgemak ten opzichte van andere autorisatieopties. Als u bijvoorbeeld Azure AD gebruikt, hoeft u uw accounttoegangssleutel niet op te slaan met uw code, net als bij autorisatie van gedeelde sleutels. Hoewel u gedeelde sleutelautorisatie kunt blijven gebruiken met uw blob- en wachtrijtoepassingen, raadt Microsoft aan waar mogelijk over te stappen naar Azure AD.

Op dezelfde manier kunt u Shared Access Signatures (SAS) blijven gebruiken om verfijnde toegang te verlenen tot resources in uw opslagaccount, maar Azure AD biedt vergelijkbare mogelijkheden zonder sas-tokens te hoeven beheren of u zorgen te maken over het intrekken van een gecompromitteerde SAS.

Zie Toegang tot Azure-blobs en wachtrijen autoriseren met behulp van Azure Active Directory voor meer informatie over Azure AD-integratie in Azure Storage.