PowerShell-opdrachten uitvoeren met Microsoft Entra-referenties voor toegang tot wachtrijgegevens
Azure Storage biedt extensies voor PowerShell waarmee u zich kunt aanmelden en scriptopdrachten kunt uitvoeren met Microsoft Entra-referenties. Wanneer u zich met Microsoft Entra-referenties aanmeldt bij PowerShell, wordt er een OAuth 2.0-toegangstoken geretourneerd. Dit token wordt automatisch door PowerShell gebruikt om volgende gegevensbewerkingen te autoriseren voor Queue Storage. Voor ondersteunde bewerkingen hoeft u geen accountsleutel of SAS-token meer door te geven met de opdracht.
U kunt machtigingen toewijzen aan een Microsoft Entra-beveiligingsprincipaal via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Zie Toegangsrechten voor Azure Storage-gegevens beheren met Azure RBAC voor meer informatie over Azure-rollen in Azure Storage.
Ondersteunde bewerkingen
De Azure Storage-extensies worden ondersteund voor bewerkingen op wachtrijgegevens. Welke bewerkingen u kunt aanroepen, is afhankelijk van de machtigingen die zijn verleend aan de Microsoft Entra-beveiligingsprincipaal waarmee u zich aanmeldt bij PowerShell. Machtigingen voor wachtrijen worden toegewezen via Azure RBAC. Als u bijvoorbeeld de rol Wachtrijgegevenslezer hebt toegewezen, kunt u scriptopdrachten uitvoeren waarmee gegevens uit een wachtrij worden gelezen. Als u de rol Inzender voor wachtrijgegevens hebt toegewezen, kunt u scriptopdrachten uitvoeren die een wachtrij lezen, schrijven of verwijderen of de gegevens die ze bevatten.
Zie Opslagbewerkingen aanroepen met OAuth-tokens voor meer informatie over de machtigingen die vereist zijn voor elke Azure Storage-bewerking in een wachtrij.
Belangrijk
Wanneer een opslagaccount is vergrendeld met een Azure Resource Manager ReadOnly-vergrendeling , is de bewerking Lijstsleutels niet toegestaan voor dat opslagaccount. Lijstsleutels is een POST-bewerking en alle POST-bewerkingen worden voorkomen wanneer een ReadOnly-vergrendeling is geconfigureerd voor het account. Als het account daarom is vergrendeld met een ReadOnly-vergrendeling , moeten gebruikers die nog niet beschikken over de accountsleutels Microsoft Entra-referenties gebruiken om toegang te krijgen tot wachtrijgegevens. Neem in PowerShell de -UseConnectedAccount parameter op om een AzureStorageContext-object te maken met uw Microsoft Entra-referenties.
PowerShell-opdrachten aanroepen met behulp van Microsoft Entra-referenties
Notitie
Het wordt aanbevolen de Azure Az PowerShell-module te gebruiken om te communiceren met Azure. Zie Azure PowerShell installeren om aan de slag te gaan. Raadpleeg Azure PowerShell migreren van AzureRM naar Az om te leren hoe u naar de Azure PowerShell-module migreert.
Als u Azure PowerShell wilt gebruiken om u aan te melden en volgende bewerkingen uit te voeren voor Azure Storage met behulp van Microsoft Entra-referenties, maakt u een opslagcontext om te verwijzen naar het opslagaccount en neemt u de -UseConnectedAccount parameter op.
In het volgende voorbeeld ziet u hoe u een wachtrij maakt in een nieuw opslagaccount vanuit Azure PowerShell met behulp van uw Microsoft Entra-referenties. Vergeet niet om de waarden van de tijdelijke aanduidingen tussen de punthaken te vervangen door uw eigen waarden:
Meld u aan bij uw Azure-account met de opdracht Verbinding maken-AzAccount:
Connect-AzAccountZie Aanmelden met Azure PowerShell voor meer informatie over aanmelden bij Azure met PowerShell.
Maak een Azure-resourcegroep door New-AzResourceGroup aan te roepen.
$resourceGroup = "sample-resource-group-ps" $location = "eastus" New-AzResourceGroup -Name $resourceGroup -Location $locationMaak een opslagaccount door New-AzStorageAccount aan te roepen.
$storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup ` -Name "<storage-account>" ` -SkuName Standard_LRS ` -Location $location `Haal de context van het opslagaccount op waarmee het nieuwe opslagaccount wordt opgegeven door New-AzStorageContext aan te roepen. Wanneer u op een opslagaccount werkt, kunt u verwijzen naar de context in plaats van herhaaldelijk de referenties door te geven. Neem de
-UseConnectedAccountparameter op om eventuele volgende gegevensbewerkingen aan te roepen met behulp van uw Microsoft Entra-referenties:$ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccountVoordat u de wachtrij maakt, wijst u de rol Inzender voor opslagwachtrijgegevens aan uzelf toe . Hoewel u de accounteigenaar bent, hebt u expliciete machtigingen nodig om gegevensbewerkingen uit te voeren voor het opslagaccount. Zie Een Azure-rol toewijzen voor toegang tot wachtrijgegevens voor meer informatie over het toewijzen van Azure-rollen.
Belangrijk
Het kan enkele minuten duren voordat Azure-roltoewijzingen worden doorgegeven.
Maak een wachtrij door New-AzStorageQueue aan te roepen. Omdat deze aanroep gebruikmaakt van de context die in de vorige stappen is gemaakt, wordt de wachtrij gemaakt met behulp van uw Microsoft Entra-referenties.
$queueName = "sample-queue" New-AzStorageQueue -Name $queueName -Context $ctx