Aanvragen voor Azure Storage

Elke aanvraag voor een beveiligde resource in de blob-, bestands-, wachtrij- of tabelservice moet worden geautoriseerd. Autorisatie zorgt ervoor dat resources in uw opslagaccount alleen toegankelijk zijn wanneer u dat wilt en alleen voor gebruikers of toepassingen aan wie u toegang verleent.

In de volgende tabel worden de opties beschreven die Azure Storage biedt voor het autoriseren van toegang tot resources:

Azure-artefact Gedeelde sleutel (opslagaccountsleutel) Shared Access Signature (SAS) Azure Active Directory (Azure AD) On-premises Active Directory Domain Services Anonieme openbare leestoegang
Azure-blobs Ondersteund Ondersteund Ondersteund Niet ondersteund Ondersteund
Azure Files (SMB) Ondersteund Niet ondersteund Ondersteund, alleen met AAD Domain Services Ondersteund: referenties moeten worden gesynchroniseerd met Azure AD Niet ondersteund
Azure Files (REST) Ondersteund Ondersteund Niet ondersteund Niet ondersteund Niet ondersteund
Azure-wachtrijen Ondersteund Ondersteund Ondersteund Niet ondersteund Niet ondersteund
Azure-tabellen Ondersteund Ondersteund Ondersteund Niet ondersteund Niet ondersteund

Elke autorisatieoptie wordt hieronder kort beschreven:

  • Azure Active Directory (Azure AD): Azure AD is de identiteits- en toegangsbeheerservice van Microsoft in de cloud. Azure AD-integratie is beschikbaar voor de blob-, wachtrij- en tabelservices. Met Azure AD kunt u een fijnfelijk toegangsbeheer toewijzen aan gebruikers, groepen of toepassingen via op rollen gebaseerd toegangsbeheer (RBAC). Zie Autor met Azure Storage voor meer informatie over Azure AD-integratie met Azure Active Directory.

  • Azure Active Directory Domain Services (Azure AD DS) voor Azure Files. Azure Files ondersteunt op identiteit gebaseerde autorisatie via Server Message Block (SMB) via Azure AD DS. U kunt RBAC gebruiken voor een fijncontrole over de toegang van een client tot Azure Files resources in een opslagaccount. Zie voor meer informatie Azure Files verificatie met behulp van domeinservices Azure Files op identiteit gebaseerde autorisatie.

  • Active Directory-autorisatie (AD) voor Azure Files. Azure Files ondersteunt op identiteit gebaseerde autorisatie via SMB via AD. Uw AD-domeinservice kan worden gehost op on-premises machines of op azure-VM's. SMB-toegang tot bestanden wordt ondersteund met ad-referenties van computers die lid zijn van een domein, on-premises of in Azure. U kunt RBAC gebruiken voor toegangsbeheer op shareniveau en NTFS-DACL's voor het afdwingen van machtigingen op map- en bestandsniveau. Zie voor meer informatie Azure Files verificatie met behulp van domeinservices Azure Files op identiteit gebaseerde autorisatie.

  • Gedeelde sleutel: Autorisatie met gedeelde sleutels is afhankelijk van de toegangssleutels van uw account en andere parameters om een versleutelde handtekeningreeks te produceren die wordt doorgegeven aan de aanvraag in de autorisatie-header. Zie Autorisatie met gedeelde sleutel voor meer informatie over gedeelde sleutelautorisatie.

  • Handtekeningen voor gedeelde toegang: Shared Access Signatures (SAS) delegeert toegang tot een bepaalde resource in uw account met opgegeven machtigingen en gedurende een opgegeven tijdsinterval. Zie Toegang delegeren met een Shared Access Signature voor meer informatie over SAS.

  • Anonieme toegang tot containers en blobs: U kunt blobresources desgewenst openbaar maken op container- of blobniveau. Een openbare container of blob is toegankelijk voor elke gebruiker voor anonieme leestoegang. Leesaanvragen voor openbare containers en blobs vereisen geen autorisatie. Zie Openbare leestoegang inschakelen voor containers en blobs in Azure Blob Storage voor meer informatie.

Tip

Het authenticeren en autoriseren van toegang tot blob-, wachtrij- en tabelgegevens met Azure AD biedt een betere beveiliging en gebruiksgemak dan andere autorisatieopties. Als u bijvoorbeeld Azure AD gebruikt, hoeft u de toegangssleutel van uw account niet met uw code op te slaan, net als bij gedeelde-sleutelautorisatie. Hoewel u gedeelde sleutelautorisatie kunt blijven gebruiken met uw blob- en wachtrijtoepassingen, raadt Microsoft u aan om waar mogelijk over te gaan naar Azure AD.

Op dezelfde manier kunt u shared access signatures (SAS) blijven gebruiken om uitgebreide toegang te verlenen tot resources in uw opslagaccount, maar Azure AD biedt vergelijkbare mogelijkheden zonder sas-tokens te hoeven beheren of u zorgen te maken over het inroepen van een aangetaste SAS.

Zie Toegang verlenen tot Azure-blobsen -wachtrijen met behulp van Azure Storage voor meer informatie over Azure AD-integratie in Azure Active Directory.