Verbinding maken met uw Azure-opslagaccount

  • 10 minuten

U hebt de vereiste clientbibliotheken toegevoegd aan uw toepassing en kunt nu verbinding maken met uw Azure-opslagaccount.

Als u wilt werken met gegevens in een opslagaccount, heeft de app twee dingen nodig:

  • Toegangssleutel
  • Eindpunt van de REST-API

Toegangssleutels voor beveiliging

Elk opslagaccount heeft twee unieke toegangssleutels die worden gebruikt om het opslagaccount te beveiligen. Als uw app verbinding moet maken met meerdere opslagaccounts, heeft de app voor elk opslagaccount een aparte toegangssleutel nodig.

An illustration showing an application connected to two different storage accounts in the cloud. Each storage account is accessible with a unique key.

Eindpunt van de REST-API

Naast toegangssleutels voor verificatie voor opslagaccounts moet uw app de eindpunten van de opslagservice kennen om de REST-aanvragen uit te geven.

Het REST-eindpunt is een combinatie van de naam van uw opslagaccount, het gegevenstype en een bekend domein. Bijvoorbeeld:

Gegevenstype Voorbeeld van eindpunt
Blobs https://[name].blob.core.windows.net/
Wachtrijen https://[name].queue.core.windows.net/
Tabel https://[name].table.core.windows.net/
Files https://[name].file.core.windows.net/

Als u een aangepast domein hebt gekoppeld aan Azure, kunt u ook een aangepaste domein-URL maken voor het eindpunt.

Verbindingsreeksen

U kunt het beste verbindingsreeksen voor opslagaccounts gebruiken om toegangssleutels en eindpunt-URL's in toepassingen te verwerken. Een verbindingsreeks bevat alle benodigde verbindingsgegevens in één tekenreeks.

De Azure Storage-verbindingsreeksen lijken op het volgende voorbeeld, maar bevatten uw eigen toegangssleutel en de naam van uw opslagaccount:

DefaultEndpointsProtocol=https;AccountName={your-storage};
   AccountKey={your-access-key};
   EndpointSuffix=core.windows.net

Beveiliging

Toegangssleutels zijn essentieel voor het verlenen van toegang tot uw opslagaccount. Als gevolg hiervan moet u ze niet geven aan een systeem of persoon die u geen toegang tot uw opslagaccount wilt hebben. Toegangssleutels zijn het equivalent van een gebruikersnaam en wachtwoord, zoals u bijvoorbeeld gebruikt voor toegang tot uw computer.

Connectiviteitsgegevens voor opslagaccounts worden doorgaans opgeslagen in een omgevingsvariabele, database of configuratiebestand.

Belangrijk

Het opslaan van deze informatie in een configuratiebestand kan gevaarlijk zijn als u dat bestand in broncodebeheer opneemt en opslaat in een openbare opslagplaats. Dit is een veelvoorkomende fout en betekent dat iedereen door uw broncode in de openbare opslagplaats kan bladeren en de verbindingsgegevens van uw opslagaccount kan bekijken.

Elk opslagaccount heeft twee toegangssleutels. Hierdoor kunnen sleutels periodiek worden geroteerd (opnieuw gegenereerd) als onderdeel van de aanbevolen beveiligingsprocedures om uw opslagaccount veilig te houden. U kunt dit doen vanuit Azure Portal of het opdrachtregelprogramma van Azure CLI/PowerShell.

Als u een sleutel roteert, wordt de oorspronkelijke sleutelwaarde onmiddellijk ongeldig en wordt de toegang ingetrokken tot iedereen die de sleutel ongepast heeft verkregen. Dankzij de ondersteuning voor twee sleutels kunt u ze altijd afwisselen zonder dat er downtime ontstaat in de toepassingen waarin gebruik wordt gemaakt van de sleutels. Uw app kan overstappen naar de alternatieve toegangssleutel terwijl de andere sleutel opnieuw wordt gegenereerd. Als u meerdere apps hebt waarvoor dit opslagaccount wordt gebruikt, moet bij al die apps dezelfde sleutel worden gebruikt, anders werkt deze methode niet. Dit is het uitgangspunt:

  1. Werk de verbindingsreeks s in uw toepassingscode bij om te verwijzen naar de secundaire toegangssleutel van het opslagaccount.
  2. Genereer de primaire toegangssleutel van uw opslagaccount opnieuw met behulp van de Azure-portal of het opdrachtregelprogramma.
  3. Werk de verbindingsreeksen in uw code bij, zodat deze verwijzen naar de nieuwe primaire toegangssleutel.
  4. Genereer de secundaire toegangssleutel op dezelfde manier opnieuw.

Tip

We raden u ten zeerste aan uw toegangssleutels periodiek te roteren om ervoor te zorgen dat ze privé blijven, net zoals het wijzigen van uw wachtwoorden. Als u de sleutel in een servertoepassing gebruikt, kunt u een Azure Key Vault gebruiken om de toegangssleutel voor u op te slaan. Key Vault biedt ondersteuning voor rechtstreekse synchronisatie met het opslagaccount en het automatisch periodiek roteren van de sleutels. Als u kiest voor Azure Key Vault, beschikt u over een extra beveiligingslaag, zodat uw app nooit rechtstreeks met een toegangssleutel hoeft te werken.

Shared Access Signatures (SAS)

Toegangssleutels zijn de eenvoudigste manier om de toegang tot een opslagaccount te verifiëren. Ze bieden echter volledige toegang tot alles in het opslagaccount, vergelijkbaar met een hoofdwachtwoord op een computer.

Voor opslagaccounts is een afzonderlijke verificatiemethode beschikbaar, Shared Access Signatures genaamd. Deze methode biedt ondersteuning voor het laten verlopen en het beperken van machtigingen in scenario's waarbij toegang moet worden beperkt. U moet deze methode gebruiken wanneer u andere gebruikers toestaat gegevens te lezen en te schrijven naar uw opslagaccount. Aan het einde van de module vindt u koppelingen naar onze documentatie over dit geavanceerde onderwerp.