Toegang verlenen tot blobs en wacht rijen met behulp van Azure Active DirectoryAuthorize access to blobs and queues using Azure Active Directory

Azure Storage ondersteunt het gebruik van Azure Active Directory (Azure AD) voor het machtigen van aanvragen voor Blob-en wachtrij opslag.Azure Storage supports using Azure Active Directory (Azure AD) to authorize requests to Blob and Queue storage. Met Azure AD kunt u Azure RBAC (op rollen gebaseerd toegangs beheer) gebruiken om machtigingen te verlenen aan een beveiligingsprincipal, wat een gebruiker, groep of toepassings service-principal kan zijn.With Azure AD, you can use Azure role-based access control (Azure RBAC) to grant permissions to a security principal, which may be a user, group, or application service principal. De beveiligingsprincipal wordt door Azure AD geverifieerd om een OAuth 2,0-token te retour neren.The security principal is authenticated by Azure AD to return an OAuth 2.0 token. Het token kan vervolgens worden gebruikt voor het autoriseren van een aanvraag voor BLOB-of wachtrij opslag.The token can then be used to authorize a request against Blob or Queue storage.

Het autoriseren van aanvragen voor Azure Storage met Azure AD biedt een superieure beveiliging en gebruiks gemak voor de verificatie van gedeelde sleutels.Authorizing requests against Azure Storage with Azure AD provides superior security and ease of use over Shared Key authorization. Micro soft raadt u aan Azure AD-autorisatie te gebruiken met uw Blob-en wachtrij toepassingen wanneer dat mogelijk is om mogelijke beveiligings problemen die inherent zijn aan de gedeelde sleutel, te minimaliseren.Microsoft recommends using Azure AD authorization with your blob and queue applications when possible to minimize potential security vulnerabilities inherent in Shared Key.

Verificatie met Azure AD is beschikbaar voor alle accounts voor algemeen gebruik en Blob Storage in alle open bare regio's en nationale Clouds.Authorization with Azure AD is available for all general-purpose and Blob storage accounts in all public regions and national clouds. Alleen opslag accounts die zijn gemaakt met het Azure Resource Manager implementatie model ondersteunen Azure AD-autorisatie.Only storage accounts created with the Azure Resource Manager deployment model support Azure AD authorization.

Blob-opslag biedt ook ondersteuning voor het maken van Shared Access signatures (SAS) die zijn ondertekend met Azure AD-referenties.Blob storage additionally supports creating shared access signatures (SAS) that are signed with Azure AD credentials. Zie beperkte toegang verlenen tot gegevens met hand tekeningen voor gedeelde toegangvoor meer informatie.For more information, see Grant limited access to data with shared access signatures.

Azure Files ondersteunt alleen autorisatie met AD (preview) of Azure AD DS (GA) via SMB voor Vm's die zijn toegevoegd aan een domein.Azure Files supports authorization with AD (preview) or Azure AD DS (GA) over SMB for domain-joined VMs only. Zie overzicht van Azure files op identiteit gebaseerde verificatie voor SMB-toegangvoor meer informatie over het gebruik van AD (preview) of Azure AD DS (ga) over smb voor Azure files.To learn about using AD (preview) or Azure AD DS (GA) over SMB for Azure Files, see Overview of Azure Files identity-based authentication support for SMB access.

Autorisatie met Azure AD wordt niet ondersteund voor Azure-tabel opslag.Authorization with Azure AD is not supported for Azure Table storage. Gedeelde sleutel gebruiken om aanvragen voor Table-opslag te autoriseren.Use Shared Key to authorize requests to Table storage.

Overzicht van Azure AD voor blobs en wacht rijenOverview of Azure AD for blobs and queues

Wanneer een beveiligingsprincipal (een gebruiker, groep of toepassing) probeert toegang te krijgen tot een BLOB of wachtrij resource, moet de aanvraag worden geautoriseerd, tenzij het een blob is die beschikbaar is voor anonieme toegang.When a security principal (a user, group, or application) attempts to access a blob or queue resource, the request must be authorized, unless it is a blob available for anonymous access. Met Azure AD is toegang tot een resource een proces dat uit twee stappen bestaat.With Azure AD, access to a resource is a two-step process. Eerst wordt de identiteit van de beveiligingsprincipal geverifieerd en wordt een OAuth 2,0-token geretourneerd.First, the security principal's identity is authenticated and an OAuth 2.0 token is returned. Vervolgens wordt het token door gegeven als onderdeel van een aanvraag aan de BLOB of Queue-service en door de service wordt gebruikt om toegang te verlenen tot de opgegeven resource.Next, the token is passed as part of a request to the Blob or Queue service and used by the service to authorize access to the specified resource.

De verificatie stap vereist dat een toepassing tijdens runtime een OAuth 2,0-toegangs token opvraagt.The authentication step requires that an application request an OAuth 2.0 access token at runtime. Als een toepassing wordt uitgevoerd vanuit een Azure-entiteit, zoals een Azure-VM, een schaalset voor virtuele machines of een Azure Functions-app, kan deze een beheerde identiteit gebruiken om toegang te krijgen tot blobs of wacht rijen.If an application is running from within an Azure entity such as an Azure VM, a virtual machine scale set, or an Azure Functions app, it can use a managed identity to access blobs or queues. Zie toegang verlenen aan blobs en wacht rijen met Azure Active Directory en beheerde identiteiten voor Azure-resourcesvoor meer informatie over het autoriseren van aanvragen die door een beheerde identiteit worden door gegeven aan de Azure-Blob of de Queue-service.To learn how to authorize requests made by a managed identity to the Azure Blob or Queue service, see Authorize access to blobs and queues with Azure Active Directory and managed identities for Azure Resources.

De autorisatie stap vereist dat er een of meer Azure-rollen aan de beveiligingsprincipal worden toegewezen.The authorization step requires that one or more Azure roles be assigned to the security principal. Azure Storage biedt Azure-rollen die algemene sets machtigingen voor Blob-en wachtrij gegevens omvatten.Azure Storage provides Azure roles that encompass common sets of permissions for blob and queue data. De rollen die zijn toegewezen aan een beveiligingsprincipal, bepalen de machtigingen die de principal heeft.The roles that are assigned to a security principal determine the permissions that the principal will have. Voor meer informatie over het toewijzen van Azure-functies voor Azure Storage raadpleegt u toegangs rechten voor opslag gegevens beheren met Azure RBAC.To learn more about assigning Azure roles for Azure Storage, see Manage access rights to storage data with Azure RBAC.

Systeem eigen toepassingen en webtoepassingen die aanvragen indienen bij de Azure Blob of Queue-service, kunnen ook toegang verlenen met Azure AD.Native applications and web applications that make requests to the Azure Blob or Queue service can also authorize access with Azure AD. Zie toegang tot Azure Storage met Azure AD toestaan vanuit een Azure Storage toepassingvoor meer informatie over het aanvragen van een toegangs token en het gebruik ervan om aanvragen voor BLOB-of wachtrij gegevens te autoriseren.To learn how to request an access token and use it to authorize requests for blob or queue data, see Authorize access to Azure Storage with Azure AD from an Azure Storage application.

Azure-rollen toewijzen voor toegangs rechtenAssign Azure roles for access rights

Met Azure Active Directory (Azure AD) worden de toegangs rechten voor beveiligde bronnen geautoriseerd via toegangs beheer op basis van rollen (Azure RBAC).Azure Active Directory (Azure AD) authorizes access rights to secured resources through Azure role-based access control (Azure RBAC). Azure Storage definieert een set ingebouwde rollen van Azure die algemene sets machtigingen omvatten voor toegang tot Blob-en wachtrij gegevens.Azure Storage defines a set of Azure built-in roles that encompass common sets of permissions used to access blob and queue data. U kunt ook aangepaste rollen definiƫren voor toegang tot Blob-en wachtrij gegevens.You can also define custom roles for access to blob and queue data.

Wanneer een Azure-rol is toegewezen aan een Azure AD-beveiligings-principal, verleent Azure toegang tot de resources voor die beveiligings-principal.When an Azure role is assigned to an Azure AD security principal, Azure grants access to those resources for that security principal. De toegang kan worden beperkt tot het niveau van het abonnement, de resource groep, het opslag account of een afzonderlijke container of wachtrij.Access can be scoped to the level of the subscription, the resource group, the storage account, or an individual container or queue. Een beveiligings-principal voor Azure AD kan een gebruiker, een groep, een service-principal van de toepassing of een beheerde identiteit voor Azure-resourceszijn.An Azure AD security principal may be a user, a group, an application service principal, or a managed identity for Azure resources.

Ingebouwde rollen van Azure voor blobs en wacht rijenAzure built-in roles for blobs and queues

Azure bevat de volgende ingebouwde Azure-rollen voor het autoriseren van toegang tot blob- en wachtrijgegevens met behulp van Azure AD en OAuth:Azure provides the following Azure built-in roles for authorizing access to blob and queue data using Azure AD and OAuth:

Alleen met rollen die expliciet zijn gedefinieerd voor toegang tot gegevens, kan een beveiligingsprincipal toegang krijgen tot blob- of wachtrijgegevens.Only roles explicitly defined for data access permit a security principal to access blob or queue data. Met ingebouwde rollen zoals Eigenaar, Inzender, en Inzender voor opslagaccounts kan een beveiligingsprincipal een opslagaccount te beheren, maar heeft geen toegang tot de blob- of wachtrijgegevens binnen dat account via Azure AD.Built-in roles such as Owner, Contributor, and Storage Account Contributor permit a security principal to manage a storage account, but do not provide access to the blob or queue data within that account via Azure AD. Als een rol echter de Microsoft.Storage/storageAccounts/listKeys/action bevat, heeft een gebruiker aan wie die rol is toegewezen, toegang tot gegevens in het opslagaccount via gedeelde-sleutelautorisatie met de accounttoegangssleutels.However, if a role includes the Microsoft.Storage/storageAccounts/listKeys/action, then a user to whom that role is assigned can access data in the storage account via Shared Key authorization with the account access keys. Zie Use the Azure portal to access blob or queue data (De Azure-portal gebruiken om toegang te krijgen tot blob- of wachtrijgegevens) voor meer informatie.For more information, see Use the Azure portal to access blob or queue data.

Voor gedetailleerde informatie over ingebouwde rollen van Azure voor Azure Storage voor zowel de gegevensservices als de beheerservice raadpleegt u de sectie Storage in Ingebouwde Azure-rollen voor Azure RBAC.For detailed information about Azure built-in roles for Azure Storage for both the data services and the management service, see the Storage section in Azure built-in roles for Azure RBAC. Zie voor meer informatie over de verschillende soorten rollen die machtigingen bieden in Azure Klassieke abonnementsbeheerdersrollen, Azure-rollen en Azure AD-rollen.Additionally, for information about the different types of roles that provide permissions in Azure, see Classic subscription administrator roles, Azure roles, and Azure AD roles.

Belangrijk

Het kan tot 30 minuten duren voordat Azure-roltoewijzingen zijn door gegeven.Azure role assignments may take up to 30 minutes to propagate.

Zie een van de volgende artikelen voor meer informatie over het toewijzen van een ingebouwde Azure-rol aan een beveiligingsprincipal:To learn how to assign an Azure built-in role to a security principal, see one of the following articles:

Zie voor meer informatie over hoe ingebouwde rollen worden gedefinieerd voor Azure Storage begrijpen functie definities.For more information about how built-in roles are defined for Azure Storage, see Understand role definitions. Zie aangepaste rollen in azurevoor meer informatie over het maken van aangepaste Azure-rollen.For information about creating Azure custom roles, see Azure custom roles.

Toegangs machtigingen voor gegevens bewerkingenAccess permissions for data operations

Zie voor meer informatie over de vereiste machtigingen voor het aanroepen van specifieke BLOB-of Queue-service bewerkingen machtigingen voor het aanroepen van BLOB-en wachtrij gegevens bewerkingen.For details on the permissions required to call specific Blob or Queue service operations, see Permissions for calling blob and queue data operations.

ResourcebereikResource scope

Voordat u een Azure RBAC-rol toewijst aan een beveiligingsprincipal, bepaalt u het bereik van toegang dat de beveiligingsprincipal moet hebben.Before you assign an Azure RBAC role to a security principal, determine the scope of access that the security principal should have. Uit best practices blijkt dat het het beste is om het nauwst mogelijke bereik toe te wijzen.Best practices dictate that it's always best to grant only the narrowest possible scope. De Azure RBAC-rollen die zijn gedefinieerd voor een groter bereik, worden overgenomen door de onderliggende resources.Azure RBAC roles defined at a broader scope are inherited by the resources beneath them.

In de volgende lijst worden de niveaus beschreven waarop u toegang tot Azure-blob en -wachtrijresources kunt bepalen, beginnend met het kleinste bereik:The following list describes the levels at which you can scope access to Azure blob and queue resources, starting with the narrowest scope:

  • Een afzonderlijke container.An individual container. In dit bereik is een roltoewijzing van toepassing op alle blobs in de container, evenals containereigenschappen en metagegevens.At this scope, a role assignment applies to all of the blobs in the container, as well as container properties and metadata.
  • Een afzonderlijke wachtrij.An individual queue. In dit bereik is een roltoewijzing van toepassing op berichten in de wachtrij, evenals op wachtrij-eigenschappen en metagegevens.At this scope, a role assignment applies to messages in the queue, as well as queue properties and metadata.
  • Het opslagaccount.The storage account. In dit bereik is een roltoewijzing van toepassing op alle containers en de bijbehorende blobs, of op alle wachtrijen en hun berichten.At this scope, a role assignment applies to all containers and their blobs, or to all queues and their messages.
  • De resourcegroep.The resource group. In dit bereik is een roltoewijzing van toepassing op alle containers of wachtrijen in alle opslagaccounts in de resourcegroep.At this scope, a role assignment applies to all of the containers or queues in all of the storage accounts in the resource group.
  • Het abonnement.The subscription. In dit bereik is een roltoewijzing van toepassing op alle containers of wachtrijen in alle opslagaccounts in alle resourcegroepen in het abonnement.At this scope, a role assignment applies to all of the containers or queues in all of the storage accounts in all of the resource groups in the subscription.
  • Een beheergroep.A management group. In dit bereik is een roltoewijzing van toepassing op alle containers of wachtrijen in alle opslagaccounts in alle resourcegroepen in alle abonnementen van de beheergroep.At this scope, a role assignment applies to all of the containers or queues in all of the storage accounts in all of the resource groups in all of the subscriptions in the management group.

Raadpleeg Wat is op rollen gebaseerd toegangsbeheer in Azure (Azure RBAC)? voor meer informatie over Azure-roltoewijzingen.For more information about Azure role assignments and scope, see What is Azure role-based access control (Azure RBAC)?.

Toegang tot gegevens met een Azure AD-accountAccess data with an Azure AD account

Toegang tot BLOB-of wachtrij gegevens via de Azure Portal, Power shell of Azure CLI kan worden geautoriseerd door gebruik te maken van het Azure AD-account van de gebruiker of door gebruik te maken van de toegangs sleutels voor het account (gedeelde sleutel autorisatie).Access to blob or queue data via the Azure portal, PowerShell, or Azure CLI can be authorized either by using the user's Azure AD account or by using the account access keys (Shared Key authorization).

Toegang tot gegevens vanuit de Azure PortalData access from the Azure portal

De Azure Portal kunnen uw Azure AD-account of de toegangs sleutels voor het account gebruiken om toegang te krijgen tot Blob-en wachtrij gegevens in een Azure-opslag account.The Azure portal can use either your Azure AD account or the account access keys to access blob and queue data in an Azure storage account. Welk verificatie schema het Azure Portal gebruikt, is afhankelijk van de Azure-functies die aan u zijn toegewezen.Which authorization scheme the Azure portal uses depends on the Azure roles that are assigned to you.

Wanneer u probeert toegang te krijgen tot BLOB-of wachtrij gegevens, controleert de Azure Portal eerst of aan u een Azure-rol is toegewezen met micro soft. Storage/Storage accounts/listkeys ophalen/Action.When you attempt to access blob or queue data, the Azure portal first checks whether you have been assigned an Azure role with Microsoft.Storage/storageAccounts/listkeys/action. Als aan u een rol is toegewezen met deze actie, gebruikt de Azure Portal de account sleutel voor toegang tot Blob-en wachtrij gegevens via gedeelde sleutel autorisatie.If you have been assigned a role with this action, then the Azure portal uses the account key for accessing blob and queue data via Shared Key authorization. Als u geen rol aan deze actie hebt toegewezen, probeert de Azure Portal toegang te krijgen tot gegevens met uw Azure AD-account.If you have not been assigned a role with this action, then the Azure portal attempts to access data using your Azure AD account.

Als u toegang wilt krijgen tot BLOB-of wachtrij gegevens van de Azure Portal met uw Azure AD-account, hebt u machtigingen nodig voor toegang tot de BLOB-en wachtrij gegevens en hebt u ook machtigingen nodig om te navigeren door de resources van het opslag account in de Azure Portal.To access blob or queue data from the Azure portal using your Azure AD account, you need permissions to access blob and queue data, and you also need permissions to navigate through the storage account resources in the Azure portal. De ingebouwde rollen die worden geboden in Azure Storage, verlenen toegang tot blobs en wachtrijen, maar ze verlenen geen toegangsmachtigingen voor opslagaccounts.The built-in roles provided by Azure Storage grant access to blob and queue resources, but they don't grant permissions to storage account resources. Daarom moet voor toegang tot de portal ook een Azure Resource Manager-rol zijn toegewezen, zoals de rol Lezer, toegepast op opslagaccountniveau of hoger.For this reason, access to the portal also requires the assignment of an Azure Resource Manager role such as the Reader role, scoped to the level of the storage account or higher. De rol van lezer verleent de meeste beperkte machtigingen, maar een andere Azure Resource Manager rol die toegang verleent tot bronnen voor het beheer van opslag accounts is ook aanvaardbaar.The Reader role grants the most restricted permissions, but another Azure Resource Manager role that grants access to storage account management resources is also acceptable. Zie voor meer informatie over het toewijzen van machtigingen aan gebruikers voor toegang tot gegevens in de Azure Portal met een Azure AD-account, de Azure Portal gebruiken om een Azure-rol toe te wijzen voor toegang tot Blob-en wachtrij gegevens.To learn more about how to assign permissions to users for data access in the Azure portal with an Azure AD account, see Use the Azure portal to assign an Azure role for access to blob and queue data.

De Azure Portal geeft aan welk verificatie schema wordt gebruikt wanneer u naar een container of wachtrij navigeert.The Azure portal indicates which authorization scheme is in use when you navigate to a container or queue. Zie voor meer informatie over toegang tot de gegevens in de portal kiezen hoe u de toegang tot blobgegevens in de Azure Portal autoriseren en Kies hoe u de toegang tot de wachtrij gegevens in de Azure Portal wilt autoriseren.For more information about data access in the portal, see Choose how to authorize access to blob data in the Azure portal and Choose how to authorize access to queue data in the Azure portal.

Gegevens toegang vanuit Power shell of Azure CLIData access from PowerShell or Azure CLI

Azure CLI en Power shell ondersteunen het aanmelden met Azure AD-referenties.Azure CLI and PowerShell support signing in with Azure AD credentials. Nadat u zich hebt aangemeld, wordt uw sessie uitgevoerd onder deze referenties.After you sign in, your session runs under those credentials. Zie voor meer informatie Azure CLI of Power shell-opdrachten uitvoeren met Azure AD-referenties voor toegang tot BLOB-of wachtrij gegevens.To learn more, see Run Azure CLI or PowerShell commands with Azure AD credentials to access blob or queue data.

Volgende stappenNext steps