Kies hoe u toegang tot blobgegevens in de Azure Portal

  • Artikel
  • 5 minuten om te lezen

Wanneer u toegang krijgt tot blobgegevens met behulp Azure Portal,doet de portal aanvragen voor Azure Storage onder de dekking. Een aanvraag voor Azure Storage kan worden geautoriseerd met behulp van uw Azure AD-account of de toegangssleutel voor het opslagaccount. In de portal wordt aangegeven welke methode u gebruikt en kunt u schakelen tussen de twee als u de juiste machtigingen hebt.

U kunt ook opgeven hoe u een afzonderlijke blob-uploadbewerking in de Azure Portal. De portal maakt standaard gebruik van elke methode die u al gebruikt om een blob-uploadbewerking te autor toestemming te geven, maar u hebt de mogelijkheid om deze instelling te wijzigen wanneer u een blob uploadt.

Benodigde machtigingen voor toegang tot blobgegevens

Afhankelijk van hoe u toegang wilt verlenen tot blobgegevens in de Azure Portal, hebt u specifieke machtigingen nodig. In de meeste gevallen worden deze machtigingen verstrekt via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)?voor meer informatie over Azure RBAC.

De toegangssleutel voor het account gebruiken

Als u toegang wilt krijgen tot blobgegevens met de toegangssleutel voor het account, moet u een Azure-rol hebben die de Azure RBAC-actie Microsoft.Storage/storageAccounts/listkeys/action bevat. Deze Azure-rol kan een ingebouwde of aangepaste rol zijn. Ingebouwde rollen die ondersteuning bieden voor Microsoft.Storage/storageAccounts/listkeys/action zijn onder andere de volgende, in volgorde van minst tot hoogste machtigingen:

Wanneer u probeert toegang te krijgen tot blobgegevens in de Azure Portal, controleert de portal eerst of u een rol hebt toegewezen met Microsoft.Storage/storageAccounts/listkeys/action. Als aan u een rol is toegewezen met deze actie, gebruikt de portal de accountsleutel voor toegang tot blobgegevens. Als aan u geen rol is toegewezen met deze actie, probeert de portal toegang te krijgen tot gegevens met behulp van uw Azure AD-account.

Belangrijk

Wanneer een opslagaccount is vergrendeld met een Azure Resource Manager Alleen-lezenvergrendeling, is de bewerking Lijstsleutels niet toegestaan voor dat opslagaccount. List Keys is een POST-bewerking en alle POST-bewerkingen worden voorkomen wanneer een ReadOnly-vergrendeling is geconfigureerd voor het account. Daarom moeten gebruikers, wanneer het account is vergrendeld met een ReadOnly-vergrendeling, Azure AD-referenties gebruiken om toegang te krijgen tot blobgegevens in de portal. Zie Uw Azure AD-accountgebruiken voor meer informatie over het openen van blobgegevens in de portal met Azure AD.

Notitie

De klassieke abonnementsbeheerdersrollen Servicebeheerder en Co-Administrator omvatten het equivalent van de rol Azure Resource Manager eigenaar. De rol Eigenaar omvat alle acties, waaronder microsoft.Storage/storageAccounts/listkeys/action, zodat een gebruiker met een van deze beheerdersrollen ook toegang heeft tot blobgegevens met de accountsleutel. Zie Klassieke abonnementsbeheerdersrollen, Azure-rollen en Azure AD-beheerdersrollen voor meer informatie.

Uw Azure AD-account gebruiken

Voor toegang tot blobgegevens uit de Azure Portal uw Azure AD-account, moeten beide volgende instructies voor u waar zijn:

  • Er is een ingebouwde of aangepaste rol aan u toegewezen die toegang biedt tot blobgegevens.
  • Aan u is de rol Azure Resource Manager lezer toegewezen, die ten minste is beperkt tot het niveau van het opslagaccount of hoger. De rol Lezer verleent de beperktste machtigingen, maar een andere Azure Resource Manager die toegang verleent tot opslagaccountbeheerbronnen is ook acceptabel.

Met Azure Resource Manager lezer kunnen gebruikers resources van het opslagaccount bekijken, maar niet wijzigen. Het biedt geen leesmachtigingen voor gegevens in Azure Storage, maar alleen voor accountbeheerbronnen. De rol Lezer is nodig zodat gebruikers naar blobcontainers in de Azure Portal.

Zie Toegang verlenen tot blobs met behulp van Azure Active Directory voor meer informatie over de ingebouwde rollen die toegang tot blobgegevens ondersteunen.

Aangepaste rollen kunnen verschillende combinaties van dezelfde machtigingen ondersteunen die door de ingebouwde rollen worden geleverd. Zie Aangepaste Azure-rollen en Roldefinities voor Azure-resources begrijpen voor meer informatie over het maken van aangepaste Azure-rollen.

Notitie

De preview-versie van Storage Explorer in de Azure Portal biedt geen ondersteuning voor het gebruik van Azure AD-referenties om blobgegevens weer te geven en te wijzigen. Storage Explorer in de Azure Portal gebruikt altijd de accountsleutels voor toegang tot gegevens. Als u Storage Explorer in de Azure Portal, moet aan u een rol worden toegewezen die Microsoft.Storage/storageAccounts/listkeys/action bevat.

Als u blobgegevens in de portal wilt weergeven, gaat u naar overzicht voor uw opslagaccount en klikt u op de koppelingen voor Blobs. U kunt ook naar de sectie Containers in het menu navigeren.

Schermopname die laat zien hoe u naar blobgegevens in de Azure Portal

De huidige verificatiemethode bepalen

Wanneer u naar een container navigeert, geeft Azure Portal aan of u momenteel de toegangssleutel voor het account of uw Azure AD-account gebruikt om te verifiëren.

Verifiëren met de toegangssleutel van het account

Als u verificatie gebruikt met behulp van de toegangssleutel voor het account, ziet u toegangssleutel die is opgegeven als verificatiemethode in de portal:

Schermopname van de gebruiker die momenteel toegang heeft tot containers met de accountsleutel

Als u wilt overschakelen naar een Azure AD-account, klikt u op de koppeling die in de afbeelding is gemarkeerd. Als u de juiste machtigingen hebt via de Azure-rollen die aan u zijn toegewezen, kunt u doorgaan. Als u echter niet de juiste machtigingen hebt, ziet u een foutbericht dat lijkt op het volgende:

Fout die wordt weergegeven als het Azure AD-account geen ondersteuning biedt voor toegang

U ziet dat er geen blobs worden weergegeven in de lijst als uw Azure AD-account geen machtigingen heeft om ze weer te geven. Klik op de koppeling Overschakelen naar toegangssleutel om de toegangssleutel opnieuw te gebruiken voor verificatie.

Verifiëren met uw Azure AD-account

Als u uw Azure AD-account gebruikt om te authenticeren, ziet u dat Azure AD-gebruikersaccount is opgegeven als verificatiemethode in de portal:

Schermopname van de gebruiker die momenteel toegang heeft tot containers met een Azure AD-account

Als u wilt overschakelen naar met behulp van de toegangssleutel voor het account, klikt u op de koppeling die in de afbeelding is gemarkeerd. Als u toegang hebt tot de accountsleutel, kunt u doorgaan. Als u echter geen toegang hebt tot de accountsleutel, ziet u een foutbericht dat lijkt op het volgende:

Fout die wordt weergegeven als u geen toegang hebt tot de accountsleutel

U ziet dat er geen blobs worden weergegeven in de lijst als u geen toegang hebt tot de accountsleutels. Klik op de koppeling Overschakelen naar Azure AD-gebruikersaccount om uw Azure AD-account opnieuw te gebruiken voor verificatie.

Opgeven hoe een blob-uploadbewerking moet worden geautoriseerd

Wanneer u een blob uploadt vanuit de Azure Portal, kunt u opgeven of u die bewerking wilt verifiëren en autoriseren met de accounttoegangssleutel of met uw Azure AD-referenties. De portal gebruikt standaard de huidige verificatiemethode, zoals wordt weergegeven in De huidige verificatiemethode bepalen.

Volg deze stappen om op te geven hoe u een blob-uploadbewerking autoreert:

  1. Navigeer Azure Portal de container waar u een blob wilt uploaden.

  2. Selecteer de knop Uploaden.

  3. Vouw de sectie Geavanceerd uit om de geavanceerde eigenschappen voor de blob weer te geven.

  4. Geef in het veld Verificatietype aan of u de uploadbewerking wilt autorisatie met behulp van uw Azure AD-account of met de toegangssleutel voor het account, zoals wordt weergegeven in de volgende afbeelding:

    Schermopname die laat zien hoe u de autorisatiemethode wijzigt bij het uploaden van blobs

Volgende stappen