Anonieme leestoegang tot containers en blobs configureren

Azure Storage biedt ondersteuning voor optionele anonieme leestoegang voor containers en blobs. Anonieme toegang tot uw gegevens is standaard nooit toegestaan. Tenzij u expliciet anonieme toegang inschakelt, moeten alle aanvragen voor een container en de bijbehorende blobs worden geautoriseerd. Wanneer u de instelling op toegangsniveau van een container configureert om anonieme toegang toe te laten, kunnen clients gegevens in die container lezen zonder de aanvraag te autoriseren.

Waarschuwing

Wanneer een container is geconfigureerd voor anonieme toegang, kan elke client gegevens in die container lezen. Anonieme toegang vormt een mogelijk beveiligingsrisico, dus als uw scenario dit niet vereist, raden we u aan anonieme toegang voor het opslagaccount op te lossen.

In dit artikel wordt beschreven hoe u anonieme leestoegang configureert voor een container en de bijbehorende blobs. Zie een van de volgende artikelen voor informatie over het herstellen van anonieme toegang voor optimale beveiliging:

• Anonieme leestoegang tot blobgegevens herstellen (Azure Resource Manager-implementaties)
• Anonieme leestoegang tot blobgegevens herstellen (klassieke implementaties)

Over anonieme leestoegang

Anonieme toegang tot uw gegevens is altijd standaard verboden. Er zijn twee afzonderlijke instellingen die van invloed zijn op anonieme toegang:

1. Instelling voor anonieme toegang voor het opslagaccount. Een Azure Resource Manager-opslagaccount biedt een instelling om anonieme toegang voor het account toe te staan of te weigeren. Microsoft raadt aan om anonieme toegang voor uw opslagaccounts niet toe tewijsen voor optimale beveiliging.

   Wanneer anonieme toegang is toegestaan op accountniveau, zijn blobgegevens niet beschikbaar voor anonieme leestoegang, tenzij de gebruiker de extra stap neemt om de instelling voor anonieme toegang van de container expliciet te configureren.

2. Configureer de instelling voor anonieme toegang van de container. De instelling voor anonieme toegang van een container is standaard uitgeschakeld, wat betekent dat autorisatie vereist is voor elke aanvraag voor de container of de bijbehorende gegevens. Een gebruiker met de juiste machtigingen kan de instelling voor anonieme toegang van een container wijzigen om anonieme toegang alleen in te schakelen als anonieme toegang is toegestaan voor het opslagaccount.

De volgende tabel geeft een overzicht van de invloed van de twee instellingen op anonieme toegang voor een container.

	Anoniem toegangsniveau voor de container is ingesteld op Privé (standaardinstelling)	Anoniem toegangsniveau voor de container is ingesteld op Container	Anoniem toegangsniveau voor de container is ingesteld op Blob
Anonieme toegang is niet toegestaan voor het opslagaccount	Geen anonieme toegang tot een container in het opslagaccount.	Geen anonieme toegang tot een container in het opslagaccount. De instelling van het opslagaccount overschrijft de containerinstelling.	Geen anonieme toegang tot een container in het opslagaccount. De instelling van het opslagaccount overschrijft de containerinstelling.
Anonieme toegang is toegestaan voor het opslagaccount	Geen anonieme toegang tot deze container (standaardconfiguratie).	Anonieme toegang is toegestaan voor deze container en de bijbehorende blobs.	Anonieme toegang is toegestaan voor blobs in deze container, maar niet voor de container zelf.

Wanneer anonieme toegang is toegestaan voor een opslagaccount en is geconfigureerd voor een specifieke container, wordt een aanvraag voor het lezen van een blob in die container die wordt doorgegeven zonder autorisatieheader geaccepteerd door de service en worden de gegevens van de blob geretourneerd in het antwoord.

Anonieme leestoegang voor een opslagaccount toestaan of weigeren

Wanneer anonieme toegang is toegestaan voor een opslagaccount, kan een gebruiker met de juiste machtigingen de instelling voor anonieme toegang van een container wijzigen om anonieme toegang tot de gegevens in die container in te schakelen. Blobgegevens zijn nooit beschikbaar voor anonieme toegang, tenzij de gebruiker de extra stap neemt om de instelling voor anonieme toegang van de container expliciet te configureren.

Houd er rekening mee dat anonieme toegang tot een container altijd standaard is uitgeschakeld en expliciet moet worden geconfigureerd om anonieme aanvragen toe te staan. Ongeacht de instelling voor het opslagaccount zijn uw gegevens nooit beschikbaar voor anonieme toegang, tenzij een gebruiker met de juiste machtigingen deze extra stap neemt om anonieme toegang in te schakelen voor de container.

Het ongedaan maken van anonieme toegang voor het opslagaccount overschrijft de toegangsinstellingen voor alle containers in dat opslagaccount, waardoor anonieme toegang tot blobgegevens in dat account wordt voorkomen. Wanneer anonieme toegang niet is toegestaan voor het account, is het niet mogelijk om de toegangsinstelling voor een container te configureren om anonieme toegang toe tegestaan en eventuele toekomstige anonieme aanvragen voor dat account mislukken. Voordat u deze instelling wijzigt, moet u weten wat de gevolgen zijn voor clienttoepassingen die mogelijk anoniem toegang hebben tot gegevens in uw opslagaccount. Zie Anonieme leestoegang tot containers en blobs voorkomen voor meer informatie.

Belangrijk

Nadat anonieme toegang niet is toegestaan voor een opslagaccount, vinden clients die gebruikmaken van de anonieme bearer-uitdaging dat Azure Storage een 403-fout (verboden) retourneert in plaats van een 401-fout (niet geautoriseerd). U wordt aangeraden alle containers privé te maken om dit probleem te verhelpen. Zie Het toegangsniveau voor een container instellen voor meer informatie over het wijzigen van de instelling voor anonieme toegang voor containers.

Anonieme toegang toestaan of de toewijzing ervan ongedaan maken vereist versie 2019-04-01 of hoger van de Azure Storage-resourceprovider. Zie de REST API van Azure Storage-resourceprovider voor meer informatie.

Machtigingen voor het ongedaan maken van anonieme toegang

Als u de eigenschap AllowBlobAnonymousAccess voor het opslagaccount wilt instellen, moet een gebruiker machtigingen hebben voor het maken en beheren van opslagaccounts. Rollen voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) die deze machtigingen bieden, omvatten de actie Microsoft.Storage/storageAccounts/write . Ingebouwde rollen met deze actie zijn onder andere:

• De rol Azure Resource Manager-eigenaar
• De rol Azure Resource Manager-inzender
• De rol Inzender voor opslagaccounts

Roltoewijzingen moeten worden toegewezen aan het niveau van het opslagaccount of hoger, zodat een gebruiker anonieme toegang voor het opslagaccount niet toestaat. Zie Bereik begrijpen voor Azure RBAC voor meer informatie over rolbereik.

Wees voorzichtig met het beperken van de toewijzing van deze rollen aan gebruikers met beheerdersrechten die de mogelijkheid nodig hebben om een opslagaccount te maken of de eigenschappen ervan bij te werken. Gebruik het principe van minimale bevoegdheden om ervoor te zorgen dat gebruikers de minste machtigingen hebben die ze nodig hebben om hun taken uit te voeren. Zie Best practices voor Azure RBAC voor meer informatie over het beheren van toegang met Azure RBAC.

Deze rollen bieden geen toegang tot gegevens in een opslagaccount via Microsoft Entra-id. Ze bevatten echter de Microsoft.Storage/storageAccounts/listkeys/action, die toegang verleent tot de accounttoegangssleutels. Met deze machtiging kan een gebruiker de toegangssleutels voor het account gebruiken om toegang te krijgen tot alle gegevens in een opslagaccount.

De Microsoft.Storage/storageAccounts/listkeys/action zelf verleent gegevenstoegang via de accountsleutels, maar verleent een gebruiker niet de mogelijkheid om de eigenschap AllowBlobPublicAccess voor een opslagaccount te wijzigen. Voor gebruikers die toegang nodig hebben tot gegevens in uw opslagaccount, maar niet de mogelijkheid hebben om de configuratie van het opslagaccount te wijzigen, kunt u overwegen rollen toe te wijzen, zoals Inzender voor opslagblobgegevens, Opslagblobgegevenslezer of Lezer en Gegevenstoegang.

Notitie

De klassieke abonnementsbeheerdersrollen Service Beheer istrator en Co-Beheer istrator bevatten het equivalent van de azure Resource Manager-eigenaarrol. De rol Eigenaar bevat alle acties, zodat een gebruiker met een van deze beheerdersrollen ook opslagaccounts kan maken en accountconfiguratie kan beheren. Zie Azure-rollen, Microsoft Entra-rollen en klassieke abonnementsbeheerdersrollen voor meer informatie.

De eigenschap AllowBlobPublicAccess van het opslagaccount instellen

Als u anonieme toegang voor een opslagaccount wilt toestaan of weigeren, stelt u de eigenschap AllowBlobPublicAccess van het account in. Deze eigenschap is beschikbaar voor alle opslagaccounts die zijn gemaakt met het Azure Resource Manager-implementatiemodel. Zie het overzicht van het Opslagaccount voor meer informatie.

Azure-portal

Als u anonieme toegang voor een opslagaccount in Azure Portal wilt toestaan of weigeren, voert u de volgende stappen uit:

1. Ga in Azure Portal naar uw opslagaccount.

2. Zoek de configuratie-instelling onder Instellingen.

3. Stel Anonieme toegang tot Blob toestaan in op Ingeschakeld of Uitgeschakeld.

   

PowerShell

Als u anonieme toegang voor een opslagaccount met PowerShell wilt toestaan of weigeren, installeert u Azure PowerShell versie 4.4.0 of hoger. Configureer vervolgens de eigenschap AllowBlobPublicAccess voor een nieuw of bestaand opslagaccount.

In het volgende voorbeeld wordt een opslagaccount gemaakt en wordt de eigenschap AllowBlobPublicAccess expliciet ingesteld op false. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account with AllowBlobPublicAccess explicitly set to false.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_GRS `
    -AllowBlobPublicAccess $false

# Read the AllowBlobPublicAccess property for the newly created storage account.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowBlobPublicAccess

Azure-CLI

Als u anonieme toegang voor een opslagaccount met Azure CLI wilt toestaan of weigeren, installeert u Azure CLI versie 2.9.0 of hoger. Zie De Azure CLI installeren voor meer informatie. Configureer vervolgens de eigenschap allowBlobPublicAccess voor een nieuw of bestaand opslagaccount.

In het volgende voorbeeld wordt een opslagaccount gemaakt en wordt de eigenschap allowBlobPublicAccess expliciet ingesteld op false. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --kind StorageV2 \
    --location <location> \
    --allow-blob-public-access false

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowBlobPublicAccess \
    --output tsv

Sjabloon

Als u anonieme toegang voor een opslagaccount met een sjabloon wilt toestaan of weigeren, maakt u een sjabloon met de eigenschap AllowBlobPublicAccess ingesteld op waar of onwaar. In de volgende stappen wordt beschreven hoe u een sjabloon maakt in Azure Portal.

1. Kies een resource maken in Azure Portal.

2. Typ in Search-service s en Marketplace de sjabloonimplementatie en druk op Enter.

3. Kies Sjabloonimplementatie (implementeren met aangepaste sjablonen), kies Maken en kies vervolgens Uw eigen sjabloon maken in de editor.

4. Plak in de sjablooneditor de volgende JSON om een nieuw account te maken en stel de eigenschap AllowBlobPublicAccess in op waar of onwaar. Vergeet niet om de tijdelijke aanduidingen tussen punthaken te vervangen door uw eigen waarden.

   {
       "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {},
       "variables": {
           "storageAccountName": "[concat(uniqueString(subscription().subscriptionId), 'template')]"
       },
       "resources": [
           {
           "name": "[variables('storageAccountName')]",
           "type": "Microsoft.Storage/storageAccounts",
           "apiVersion": "2019-06-01",
           "location": "<location>",
           "properties": {
               "allowBlobPublicAccess": false
           },
           "dependsOn": [],
           "sku": {
             "name": "Standard_GRS"
           },
           "kind": "StorageV2",
           "tags": {}
           }
       ]
   }
   

5. Sla de sjabloon op.

6. Geef de resourcegroepparameter op en kies vervolgens de knop Beoordelen en maken om de sjabloon te implementeren en maak een opslagaccount met de eigenschap allowBlobPublicAccess geconfigureerd.

Notitie

Het ongedaan maken van anonieme toegang voor een opslagaccount heeft geen invloed op statische websites die in dat opslagaccount worden gehost. De $web-container is altijd openbaar toegankelijk.

Nadat u de instelling voor anonieme toegang voor het opslagaccount hebt bijgewerkt, kan het tot 30 seconden duren voordat de wijziging volledig wordt doorgegeven.

Wanneer een container is geconfigureerd voor anonieme toegang, hoeven aanvragen voor het lezen van blobs in die container niet te worden geautoriseerd. Firewallregels die zijn geconfigureerd voor het opslagaccount, blijven echter van kracht en blokkeren verkeer inline met de geconfigureerde ACL's.

Anonieme toegang toestaan of de toewijzing ervan ongedaan maken vereist versie 2019-04-01 of hoger van de Azure Storage-resourceprovider. Zie de REST API van Azure Storage-resourceprovider voor meer informatie.

In de voorbeelden in deze sectie ziet u hoe u de eigenschap AllowBlobPublicAccess voor het opslagaccount kunt lezen om te bepalen of anonieme toegang momenteel is toegestaan of niet is toegestaan. Zie Anonieme toegang voor het opslagaccount herstellen voor informatie over het controleren of de instelling voor anonieme toegang van een account is geconfigureerd om anonieme toegang te voorkomen.

Het anonieme toegangsniveau voor een container instellen

Als u anonieme gebruikers leestoegang wilt verlenen tot een container en de bijbehorende blobs, moet u eerst anonieme toegang voor het opslagaccount toestaan en vervolgens het anonieme toegangsniveau van de container instellen. Als anonieme toegang voor het opslagaccount wordt geweigerd, kunt u anonieme toegang voor een container niet configureren.

Let op

Microsoft raadt aan anonieme toegang tot blobgegevens in uw opslagaccount toe tegestaan.

Wanneer anonieme toegang is toegestaan voor een opslagaccount, kunt u een container configureren met de volgende machtigingen:

• Geen openbare leestoegang: de container en de bijbehorende blobs kunnen alleen worden geopend met een geautoriseerde aanvraag. Deze optie is de standaardinstelling voor alle nieuwe containers.
• Alleen openbare leestoegang voor blobs: Blobs in de container kunnen worden gelezen door anonieme aanvragen, maar containergegevens zijn niet anoniem beschikbaar. Anonieme clients kunnen de blobs in de container niet inventariseren.
• Openbare leestoegang voor containers en de bijbehorende blobs: Container- en blobgegevens kunnen worden gelezen door anonieme aanvraag, met uitzondering van containermachtigingsinstellingen en containermetagegevens. Clients kunnen blobs in de container opsommen op anonieme aanvraag, maar kunnen geen containers in het opslagaccount opsommen.

U kunt het anonieme toegangsniveau voor een afzonderlijke blob niet wijzigen. Anoniem toegangsniveau is alleen ingesteld op containerniveau. U kunt het anonieme toegangsniveau van de container instellen wanneer u de container maakt of u kunt de instelling voor een bestaande container bijwerken.

Azure-portal

Voer de volgende stappen uit om het anonieme toegangsniveau voor een of meer bestaande containers in Azure Portal bij te werken:

1. Navigeer naar het overzicht van uw opslagaccount in Azure Portal.

2. Selecteer Containers onder Gegevensopslag op de menublade.

3. Selecteer de containers waarvoor u het anonieme toegangsniveau wilt instellen.

4. Gebruik de knop Toegangsniveau wijzigen om de instellingen voor anonieme toegang weer te geven.

5. Selecteer het gewenste anonieme toegangsniveau in de vervolgkeuzelijst Anonieme toegangsniveau en klik op de knop OK om de wijziging toe te passen op de geselecteerde containers.

   

Wanneer anonieme toegang niet is toegestaan voor het opslagaccount, kan het anonieme toegangsniveau van een container niet worden ingesteld. Als u probeert het anonieme toegangsniveau van de container in te stellen, ziet u dat de instelling is uitgeschakeld omdat anonieme toegang niet is toegestaan voor het account.

PowerShell

Als u het anonieme toegangsniveau voor een of meer containers met PowerShell wilt bijwerken, roept u de opdracht Set-AzStorageContainerAcl aan . Autoriseren deze bewerking door uw accountsleutel, een verbindingsreeks of een Shared Access Signature (SAS) door te geven. De bewerking Container-ACL instellen waarmee het anonieme toegangsniveau van de container wordt ingesteld, biedt geen ondersteuning voor autorisatie met Microsoft Entra-id. Zie Machtigingen voor het aanroepen van blob- en wachtrijgegevensbewerkingen voor meer informatie.

In het volgende voorbeeld wordt een container gemaakt waarvoor anonieme toegang is uitgeschakeld en wordt vervolgens de instelling voor anonieme toegang van de container bijgewerkt om anonieme toegang tot de container en de bijbehorende blobs toe te laten. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

# Set variables.
$rgName = "<resource-group>"
$accountName = "<storage-account>"
# Get context object.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
# Create a new container with anonymous access setting set to Off.
$containerName = "<container>"
New-AzStorageContainer -Name $containerName -Permission Off -Context $ctx
# Read the container's anonymous access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx
# Update the container's anonymous access setting to Container.
Set-AzStorageContainerAcl -Container $containerName -Permission Container -Context $ctx
# Read the container's anonymous access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx

Wanneer anonieme toegang niet is toegestaan voor het opslagaccount, kan het anonieme toegangsniveau van een container niet worden ingesteld. Als u probeert het anonieme toegangsniveau van de container in te stellen, retourneert Azure Storage een fout die aangeeft dat anonieme toegang niet is toegestaan in het opslagaccount.

Azure-CLI

Als u het anonieme toegangsniveau voor een of meer containers wilt bijwerken met Azure CLI, roept u de opdracht az storage container set permission aan . Autoriseren deze bewerking door uw accountsleutel, een verbindingsreeks of een Shared Access Signature (SAS) door te geven. De bewerking Container-ACL instellen waarmee het anonieme toegangsniveau van de container wordt ingesteld, biedt geen ondersteuning voor autorisatie met Microsoft Entra-id. Zie Machtigingen voor het aanroepen van blob- en wachtrijgegevensbewerkingen voor meer informatie.

In het volgende voorbeeld wordt een container gemaakt waarvoor anonieme toegang is uitgeschakeld en wordt vervolgens de instelling voor anonieme toegang van de container bijgewerkt om anonieme toegang tot de container en de bijbehorende blobs toe te laten. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

az storage container create \
    --name <container-name> \
    --account-name <account-name> \
    --resource-group <resource-group>
    --public-access off \
    --account-key <account-key> \
    --auth-mode key
az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key
az storage container set-permission \
    --name <container-name> \
    --account-name <account-name> \
    --public-access container \
    --account-key <account-key> \
    --auth-mode key
az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key

Wanneer anonieme toegang niet is toegestaan voor het opslagaccount, kan het anonieme toegangsniveau van een container niet worden ingesteld. Als u probeert het anonieme toegangsniveau van de container in te stellen, retourneert Azure Storage een fout die aangeeft dat anonieme toegang niet is toegestaan in het opslagaccount.

Sjabloon

N.v.t.

Controleer de instelling voor anonieme toegang voor een set containers

Het is mogelijk om te controleren welke containers in een of meer opslagaccounts zijn geconfigureerd voor anonieme toegang door de containers weer te geven en de instelling voor anonieme toegang te controleren. Deze aanpak is een praktische optie wanneer een opslagaccount geen groot aantal containers bevat of wanneer u de instelling controleert voor een klein aantal opslagaccounts. De prestaties kunnen echter lijden als u probeert een groot aantal containers op te sommen.

In het volgende voorbeeld wordt PowerShell gebruikt om de instelling voor anonieme toegang voor alle containers in een opslagaccount op te halen. Vergeet niet om de tijdelijke aanduidingen tussen haakjes te vervangen door uw eigen waarden:

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
Get-AzStorageContainer -Context $ctx | Select Name, PublicAccess

Functieondersteuning

Ondersteuning voor deze functie kan worden beïnvloed door het inschakelen van Data Lake Storage Gen2, het NFS-protocol (Network File System) 3.0 of het SSH File Transfer Protocol (SFTP). Als u een van deze mogelijkheden hebt ingeschakeld, raadpleegt u de ondersteuning voor Blob Storage-functies in Azure Storage-accounts om ondersteuning voor deze functie te beoordelen.

Volgende stappen

• Anonieme leestoegang tot containers en blobs voorkomen
• Anonieme toegang tot openbare containers en blobs met .NET
• Toegang tot Azure Storage autoriseren