Toegang tot wachtrijen met behulp van Azure Active Directory

Azure Storage ondersteunt het gebruik van Azure Active Directory (Azure AD) om aanvragen voor gegevens in de wachtrij toe te staan. Met Azure AD kunt u op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om machtigingen te verlenen aan een beveiligingsprincipaal, die een gebruiker, groep of toepassingsservice-principal kan zijn. De beveiligingsprincipaal wordt geverifieerd door Azure AD om een OAuth 2.0-token te retourneren. Het token kan vervolgens worden gebruikt om een aanvraag voor de Queue-service.

Het autoriseren van Azure Storage met Azure AD biedt een betere beveiliging en gebruiksgemak dan gedeelde sleutelautorisatie. Microsoft raadt u aan om waar mogelijk Azure AD-autorisatie met uw wachtrijtoepassingen te gebruiken om toegang met minimale vereiste bevoegdheden te garanderen.

Autorisatie met Azure AD is beschikbaar voor alle opslagaccounts voor algemeen gebruik in alle openbare regio's en nationale clouds. Alleen opslagaccounts die zijn gemaakt met het Azure Resource Manager implementatiemodel ondersteunen Azure AD-autorisatie.

Overzicht van Azure AD voor wachtrijen

Wanneer een beveiligingsprincipaal (een gebruiker, groep of toepassing) toegang probeert te krijgen tot een wachtrijresource, moet de aanvraag worden geautoriseerd. Met Azure AD is toegang tot een resource een proces in twee stappen. Eerst wordt de identiteit van de beveiligingsprincipaal geverifieerd en wordt een OAuth 2.0-token geretourneerd. Vervolgens wordt het token doorgegeven als onderdeel van een aanvraag aan de Queue-service en gebruikt door de service om toegang te verlenen tot de opgegeven resource.

De verificatiestap vereist dat een toepassing tijdens runtime een OAuth 2.0-toegangsteken aanvraagt. Als een toepassing wordt uitgevoerd vanuit een Azure-entiteit, zoals een Azure-VM, een virtuele-machineschaalset of een Azure Functions-app, kan deze een beheerde identiteit gebruiken voor toegang tot wachtrijen. Zie Toegang verlenen tot wachtrijen met Azure Active Directory en beheerde identiteiten voor Azure-resources voor meer informatie over het machtigen van aanvragen van een beheerde identiteit.

Voor de autorisatiestap moeten een of meer Azure-rollen worden toegewezen aan de beveiligingsprincipaal. Azure Storage biedt Azure-rollen die algemene sets machtigingen voor wachtrijgegevens omvatten. De rollen die zijn toegewezen aan een beveiligingsprincipaal bepalen de machtigingen die die principal heeft. Zie Assign an Azure role for access to queue data (Een Azure-rol toewijzen voor toegang tot wachtrijgegevens) voor meer informatie over het toewijzen van Azure-rollen voor toegang tot wachtrijen.

Native toepassingen en webtoepassingen die aanvragen bij de Azure-Queue-service kunnen ook toegang verlenen met Azure AD. Zie Toegang verlenen tot toegang tot Azure Storage met Azure AD vanuit een Azure Storage voor meer informatie over het aanvragen van een toegangs token en het gebruiken om aanvragen te autoreren.

Azure-rollen toewijzen voor toegangsrechten

Azure Active Directory (Azure AD) autoreert toegangsrechten voor beveiligde resources via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure Storage definieert een set ingebouwde Azure-rollen die algemene sets machtigingen omvatten die worden gebruikt voor toegang tot wachtrijgegevens. U kunt ook aangepaste rollen definiƫren voor toegang tot wachtrijgegevens.

Wanneer een Azure-rol wordt toegewezen aan een Azure AD-beveiligingsprincipaal, verleent Azure toegang tot deze resources voor die beveiligingsprincipaal. Een Azure AD-beveiligingsprincipaal kan een gebruiker, een groep, een toepassingsservice-principal of een beheerde identiteit voor Azure-resources zijn.

Resourcebereik

Voordat u een Azure RBAC-rol toewijst aan een beveiligingsprincipaal, moet u het toegangsbereik bepalen dat de beveiligingsprincipaal moet hebben. Uit best practices blijkt dat het het beste is om het nauwst mogelijke bereik toe te wijzen. Azure RBAC-rollen die op een breder bereik zijn gedefinieerd, worden overgenomen door de resources eronder.

U kunt toegang tot Azure-wachtrij-resources op de volgende niveaus beperken, te beginnen met het kleinste bereik:

  • Een afzonderlijke wachtrij. In dit bereik is een roltoewijzing van toepassing op berichten in de wachtrij, evenals op wachtrij-eigenschappen en metagegevens.
  • Het opslagaccount. In dit bereik is een roltoewijzing van toepassing op alle wachtrijen en hun berichten.
  • De resourcegroep. In dit bereik is een roltoewijzing van toepassing op alle wachtrijen in alle opslagaccounts in de resourcegroep.
  • Het abonnement. In dit bereik is een roltoewijzing van toepassing op alle wachtrijen in alle opslagaccounts in alle resourcegroepen in het abonnement.
  • Een beheergroep. In dit bereik is een roltoewijzing van toepassing op alle wachtrijen in alle opslagaccounts in alle resourcegroepen in alle abonnementen in de beheergroep.

Zie Bereik voor Azure RBAC begrijpen voor meer informatie over het bereik voor Azure RBAC-roltoewijzingen.

Ingebouwde Azure-rollen voor wachtrijen

Azure RBAC biedt een aantal ingebouwde rollen voor het autoriseren van toegang tot wachtrijgegevens met behulp van Azure AD en OAuth. Enkele voorbeelden van rollen die machtigingen bieden voor gegevensbronnen in Azure Storage zijn:

Zie Assign an Azure role for access to queue data (Een Azure-rol toewijzen voor toegang tot wachtrijgegevens) voor meer informatie over het toewijzen van een ingebouwde Azure-rol aan een beveiligingsprincipaal. Zie Azure-roldefinities weergeven voor meer informatie over het weergeven van Azure RBAC-rollen en hun machtigingen.

Zie Roldefinities begrijpen voor meer informatie over hoe ingebouwde rollen Azure Storage gedefinieerd. Zie Aangepaste Azure-rollen voor meer informatie over het maken van aangepaste Azure-rollen.

Alleen rollen die expliciet zijn gedefinieerd voor gegevenstoegang staan een beveiligingsprincipaal toe om toegang te krijgen tot wachtrijgegevens. Ingebouwde rollen, zoals Eigenaar, Inzender en Inzender voor Storage-account, staan een beveiligingsprincipal toe om een opslagaccount te beheren, maar bieden geen toegang tot de wachtrijgegevens binnen dat account via Azure AD. Als een rol echter Microsoft.Storage/storageAccounts/listKeys/action bevat, heeft een gebruiker aan wie deze rol is toegewezen toegang tot gegevens in het opslagaccount via gedeelde sleutelautorisatie met de toegangssleutels voor het account. Zie Choose how to authorize access to blob data in the Azure Portal (Kiezen hoe u toegang tot blobgegevens autor Azure Portal) voor meer Azure Portal.

Voor gedetailleerde informatie over ingebouwde rollen van Azure voor Azure Storage voor zowel de gegevensservices als de beheerservice raadpleegt u de sectie Storage in Ingebouwde Azure-rollen voor Azure RBAC. Zie voor meer informatie over de verschillende soorten rollen die machtigingen bieden in Azure Klassieke abonnementsbeheerdersrollen, Azure-rollen en Azure AD-rollen.

Belangrijk

Het kan tot 30 minuten duren voordat Azure-roltoewijzingen zijn doorgegeven.

Toegangsmachtigingen voor gegevensbewerkingen

Zie Machtigingen voor het aanroepen van gegevensbewerkingen voor meer informatie over de machtigingen die nodig zijn Queue-service voor het aanroepen van specifieke bewerkingen.

Toegang tot gegevens met een Azure AD-account

Toegang tot wachtrijgegevens via de Azure Portal, PowerShell of Azure CLI kan worden geautoriseerd met behulp van het Azure AD-account van de gebruiker of met behulp van de toegangssleutels voor het account (gedeelde sleutelautorisatie).

Gegevenstoegang vanaf de Azure Portal

De Azure Portal kunt uw Azure AD-account of de toegangssleutels voor het account gebruiken om toegang te krijgen tot wachtrijgegevens in een Azure-opslagaccount. Welk autorisatieschema Azure Portal gebruikt, is afhankelijk van de Azure-rollen die aan u zijn toegewezen.

Wanneer u toegang probeert te krijgen tot wachtrijgegevens, controleert de Azure Portal eerst of aan u een Azure-rol is toegewezen met Microsoft.Storage/storageAccounts/listkeys/action. Als aan u een rol is toegewezen met deze actie, gebruikt de Azure Portal de accountsleutel voor toegang tot wachtrijgegevens via gedeelde sleutelautorisatie. Als aan u geen rol is toegewezen met deze actie, probeert de Azure Portal toegang te krijgen tot gegevens met behulp van uw Azure AD-account.

Als u toegang wilt krijgen tot wachtrijgegevens van de Azure Portal met behulp van uw Azure AD-account, hebt u machtigingen nodig voor toegang tot wachtrijgegevens en hebt u ook machtigingen nodig om door de resources van het opslagaccount in de Azure Portal. De ingebouwde rollen die worden geleverd door Azure Storage toegang verlenen tot wachtrijbronnen, maar ze verlenen geen machtigingen voor opslagaccountbronnen. Daarom moet voor toegang tot de portal ook een Azure Resource Manager-rol zijn toegewezen, zoals de rol Lezer, toegepast op opslagaccountniveau of hoger. De rol Lezer verleent de beperktste machtigingen, maar een andere Azure Resource Manager die toegang verleent tot opslagaccountbeheerbronnen is ook acceptabel. Zie Assign an Azure role for access to queue data (Een Azure-rol toewijzen voor toegang tot wachtrijgegevens) of Assign an Azure role for access to queue data (Een Azure-rol toewijzen voor toegang tot wachtrijgegevens) of Assign an Azure role for access to queue data(Een Azure-rol toewijzen voor toegang tot wachtrijgegevens) voor meer informatie over het toewijzen van machtigingen aan gebruikers voor gegevenstoegang in de Azure Portal met een Azure AD-account.

De Azure Portal geeft aan welk autorisatieschema wordt gebruikt wanneer u naar een wachtrij navigeert. Zie Choose how to authorize access to queue data in the Azure Portal (Kiezen hoe toegang tot wachtrijgegevens in de Azure Portal toestaan) en Choose how to authorize access to queue data in the Azure Portal (Kiezen hoe u toegang tot wachtrijgegevens in de Azure Portal) voor meer informatie over gegevenstoegang in de portal.

Gegevenstoegang vanuit PowerShell of Azure CLI

Azure CLI en PowerShell bieden ondersteuning voor aanmelden met Azure AD-referenties. Nadat u zich hebt aanmelden, wordt uw sessie uitgevoerd onder deze referenties. Zie een van de volgende artikelen voor meer informatie:

Volgende stappen