Autoryzowanie żądań do usługi Azure Storage

Każde żądanie wykonane względem zabezpieczonego zasobu w usłudze Blob, File, Queue lub Table musi być autoryzowane. Autoryzacja zapewnia, że zasoby na koncie magazynu są dostępne tylko wtedy, gdy mają być, i tylko dla tych użytkowników lub aplikacji, którym przyznasz dostęp.

W poniższej tabeli opisano opcje, które usługa Azure Storage oferuje w celu autoryzowania dostępu do zasobów:

Artefakt platformy Azure Klucz wspólny (klucz konta magazynu) Sygnatura dostępu współdzielonego (SAS) Azure Active Directory (Azure AD) Lokalne Active Directory Domain Services Anonimowy publiczny dostęp do odczytu
Obiekty blob platformy Azure Obsługiwane Obsługiwane Obsługiwane Nieobsługiwane Obsługiwane
Azure Files (SMB) Obsługiwane Nieobsługiwane Obsługiwane tylko w usługach AAD Domain Services Obsługiwane, poświadczenia muszą być synchronizowane z usługą Azure AD Nieobsługiwane
Azure Files (REST) Obsługiwane Obsługiwane Nieobsługiwane Nieobsługiwane Nieobsługiwane
Azure Queues Obsługiwane Obsługiwane Obsługiwane Nieobsługiwane Nieobsługiwane
Tabele platformy Azure Obsługiwane Obsługiwane Obsługiwane Nieobsługiwane Nieobsługiwane

Każda opcja autoryzacji jest krótko opisana poniżej:

  • Azure Active Directory (Azure AD): Azure AD to oparta na chmurze usługa firmy Microsoft do zarządzania tożsamościami i dostępem. Integracja z usługą Azure AD jest dostępna dla usług Blob, Queue i Table. Za pomocą usługi Azure AD można przypisać dostęp do użytkowników, grup lub aplikacji za pośrednictwem kontroli dostępu opartej na rolach (RBAC). Aby uzyskać informacje na temat integracji usługi Azure AD z usługą Azure Storage, zobacz Authorize with Azure Active Directory (Autoryzacja za pomocą Azure Active Directory).

  • Azure Active Directory usług domenowych (Azure AD DS) na Azure Files. Azure Files obsługuje autoryzację opartą na tożsamościach za pośrednictwem bloku komunikatów serwera (SMB) za pośrednictwem Azure AD DS. Kontroli RBAC można użyć w celu uzyskania precyzyjnej kontroli nad dostępem klienta do Azure Files zasobów na koncie magazynu. Aby uzyskać więcej informacji dotyczących uwierzytelniania Azure Files przy użyciu usług domenowych, zobacz Azure Files autoryzacji opartej na tożsamościach.

  • Autoryzacja usługi Active Directory (AD) na Azure Files. Azure Files obsługuje autoryzację opartą na tożsamościach za pośrednictwem SMB za pośrednictwem usługi AD. Usługa ad domain service może być hostowana na maszynach lokalnych lub na maszynach wirtualnych platformy Azure. Dostęp SMB do plików jest obsługiwany przy użyciu poświadczeń usługi AD z maszyn przyłączone do domeny, lokalnie lub na platformie Azure. Kontroli dostępu na podstawie ról można używać do kontroli dostępu na poziomie udziału i kontroli dostępu na poziomie udziału oraz do wymuszania uprawnień na poziomie katalogów i plików na poziomie systemu plików. Aby uzyskać więcej informacji dotyczących uwierzytelniania Azure Files przy użyciu usług domenowych, zobacz Azure Files autoryzacji opartej na tożsamościach.

  • Klucz wspólny: Autoryzacja klucza wspólnego zależy od kluczy dostępu do konta i innych parametrów w celu uzyskania zaszyfrowanego ciągu podpisu przekazywanego w żądaniu w nagłówku autoryzacji. Aby uzyskać więcej informacji na temat autoryzacji klucza wspólnego, zobacz Autoryzowanie za pomocą klucza wspólnego.

  • Sygnatury dostępu współdzielonych: Sygnatury dostępu współdzielonego (SAS) delegowają dostęp do określonego zasobu na koncie z określonymi uprawnieniami i w określonym przedziale czasu. Aby uzyskać więcej informacji na temat sygnatury dostępu współdzielonego, zobacz Delegowanie dostępu przy użyciu sygnatury dostępu współdzielonego.

  • Anonimowy dostęp do kontenerów i obiektów blob: Opcjonalnie możesz publicznie udostępnić zasoby obiektów blob na poziomie kontenera lub obiektu blob. Publiczny kontener lub obiekt blob jest dostępny dla każdego użytkownika w celu uzyskania anonimowego dostępu do odczytu. Żądania odczytu do publicznych kontenerów i obiektów blob nie wymagają autoryzacji. Aby uzyskać więcej informacji, zobacz Włączanie publicznego dostępu do odczytu dla kontenerów i obiektów blob w usłudze Azure Blob Storage.

Porada

Uwierzytelnianie i autoryzacja dostępu do danych obiektów blob, kolejek i tabel w usłudze Azure AD zapewnia doskonałe zabezpieczenia i łatwość użycia w przypadku innych opcji autoryzacji. Na przykład przy użyciu usługi Azure AD można uniknąć konieczności przechowywania klucza dostępu do konta przy użyciu kodu, tak jak w przypadku autoryzacji klucza wspólnego. Mimo że możesz nadal używać autoryzacji klucza wspólnego z aplikacjami obiektów blob i kolejek, firma Microsoft zaleca przejście do usługi Azure AD tam, gdzie to możliwe.

Podobnie można nadal używać sygnatur dostępu współdzielonego (SAS) w celu udzielania precyzyjnego dostępu do zasobów na koncie magazynu, ale usługa Azure AD oferuje podobne możliwości bez konieczności zarządzania tokenami SAS ani martwienia się o odwołanie naruszonej sygnatury dostępu współdzielonego.

Aby uzyskać więcej informacji na temat integracji usługi Azure AD w usłudze Azure Storage, zobacz Autoryzowaniedostępu do obiektów blob i kolejek platformy Azure przy użyciu Azure Active Directory .