Toegang tot gegevens in Azure Storage
Telkens wanneer u toegang hebt tot gegevens in uw opslagaccount, doet uw clienttoepassing een aanvraag via HTTP/HTTPS om de Azure Storage. Standaard wordt elke resource in Azure Storage beveiligd en moet elke aanvraag voor een beveiligde resource worden geautoriseerd. Autorisatie zorgt ervoor dat de clienttoepassing de juiste machtigingen heeft voor toegang tot gegevens in uw opslagaccount.
In de volgende tabel worden de opties beschreven die Azure Storage biedt voor het autoriseren van toegang tot gegevens:
| Azure-artefact | Gedeelde sleutel (opslagaccountsleutel) | Shared Access Signature (SAS) | Azure Active Directory (Azure AD) | On-premises Active Directory Domain Services | Anonieme openbare leestoegang |
|---|---|---|---|---|---|
| Azure-blobs | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Ondersteund |
| Azure Files (SMB) | Ondersteund | Niet ondersteund | Ondersteund, alleen met AAD Domain Services | Ondersteund: referenties moeten worden gesynchroniseerd met Azure AD | Niet ondersteund |
| Azure Files (REST) | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund | Niet ondersteund |
| Azure-wachtrijen | Ondersteund | Ondersteund | Ondersteund | Niet ondersteund | Niet ondersteund |
| Azure-tabellen | Ondersteund | Ondersteund | Ondersteund (preview) | Niet ondersteund | Niet ondersteund |
Elke autorisatieoptie wordt hieronder kort beschreven:
Azure Active Directory (Azure AD) voor het autoriseren van aanvragen voor blob-, wachtrij- en tabelbronnen. Microsoft raadt u aan om waar mogelijk Azure AD-referenties te gebruiken om aanvragen voor gegevens te autor toestemming te geven voor optimale beveiliging en gebruiksgemak. Zie de artikelen voor blob-, wachtrij-of tabelresources voor meer informatie over Azure AD-integratie.
U kunt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om de machtigingen van een beveiligingsprincipal voor blob-, wachtrij- en tabelbronnen in een opslagaccount te beheren. U kunt ook op kenmerken gebaseerd toegangsbeheer (ABAC) van Azure gebruiken om voorwaarden toe te voegen aan Azure-roltoewijzingen voor blob-resources. Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC)?voor meer informatie over RBAC. Zie Wat is op kenmerken gebaseerd toegangsbeheer van Azure (Azure ABAC)? voor meer informatie over ABAC. (preview).
Azure Active Directory Domain Services-verificatie (Azure AD DS) voor Azure Files. Azure Files ondersteunt op identiteit gebaseerde autorisatie via Server Message Block (SMB) via Azure AD DS. U kunt Azure RBAC gebruiken voor een fijncontrole over de toegang van een client tot Azure Files resources in een opslagaccount. Zie het overzicht voor Azure Files verificatie met behulp van domeinservices.
On-premises Active Directory Domain Services (AD DS of on-premises AD DS) voor Azure Files. Azure Files ondersteunt op identiteit gebaseerde autorisatie via SMB via AD DS. Uw AD DS kan worden gehost op on-premises machines of in Azure-VM's. SMB-toegang tot bestanden wordt ondersteund AD DS referenties van computers die lid zijn van een domein, on-premises of in Azure. U kunt een combinatie van Azure RBAC gebruiken voor toegangsbeheer op shareniveau en NTFS-DACL's voor het afdwingen van machtigingen op map-/bestandsniveau. Zie het overzicht voor Azure Files verificatie met behulp van domeinservices.
Gedeelde sleutelautorisatie voor blobs, bestanden, wachtrijen en tabellen. Een client die gedeelde sleutel gebruikt, geeft een header door bij elke aanvraag die is ondertekend met behulp van de toegangssleutel voor het opslagaccount. Zie Autor toestemming geven met gedeelde sleutel voor meer informatie.
U kunt autorisatie van gedeelde sleutels voor een opslagaccount niet verlenen. Wanneer gedeelde sleutelautorisatie niet is toegestaan, moeten clients Azure AD gebruiken om aanvragen voor gegevens in dat opslagaccount te autorisatie. Zie Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account voor meer informatie.
Shared Access Signatures voor blobs, bestanden, wachtrijen en tabellen. Shared Access Signatures (SAS) bieden beperkte gedelegeerde toegang tot resources in een opslagaccount. Het toevoegen van beperkingen aan het tijdsinterval waarvoor de handtekening geldig is of op machtigingen die worden verleend, biedt flexibiliteit bij het beheren van toegang. Zie Shared Access Signatures (SAS) gebruikenvoor meer informatie.
Anonieme openbare leestoegang voor containers en blobs. Wanneer anonieme toegang is geconfigureerd, kunnen clients blobgegevens lezen zonder autorisatie. Zie Anonieme leestoegang tot containers en blobs beheren voor meer informatie.
U kunt anonieme openbare leestoegang voor een opslagaccount niet verlenen. Wanneer anonieme openbare leestoegang niet is toegestaan, kunnen gebruikers geen containers configureren voor anonieme toegang en moeten alle aanvragen worden geautoriseerd. Zie Anonieme openbare leestoegang tot containers en blobs voorkomen voor meer informatie.
Volgende stappen
- Geef toegang met Azure Active Directory toegang tot blob-, wachtrij-of tabelbronnen.
- Autoriseren met gedeelde sleutel
- Beperkte toegang verlenen tot Azure Storage resources met behulp van Shared Access Signatures (SAS)