Использование поставщика ресурсов службы хранилища Azure для доступа к ресурсам управления
Azure Resource Manager — это служба развертывания и управления для Azure. Поставщик ресурсов службы хранилища Azure — это служба, которая основана на Azure Resource Manager и предоставляет доступ к ресурсам управления для службы хранилища Azure. Поставщик ресурсов службы хранилища Azure можно использовать для создания, обновления, управления и удаления ресурсов, таких как учетные записи хранения, частные конечные точки и ключи доступа к учетным записям. Дополнительные сведения см. в статье Общие сведения об Azure Resource Manager.
Вы можете использовать поставщик ресурсов службы хранилища Azure для выполнения таких действий, как создание, удаление учетной записи хранения или получение списка учетных записей хранения в подписке. Чтобы авторизовать запросы к поставщику ресурсов служба хранилища Azure, используйте идентификатор Microsoft Entra. В этой статье описывается, как назначать разрешения для ресурсов управления, а также приведены примеры, демонстрирующие выполнение запросов к поставщику ресурсов службы хранилища Azure.
Ресурсы управления и ресурсы данных
Корпорация Microsoft предоставляет два интерфейса API для работы с ресурсами службы хранилища Azure. Эти API образуют базу для всех действий, которые можно выполнять с хранилищем Azure. REST API службы хранилища Azure позволяет работать с данными в учетной записи хранения, включая данные больших двоичных объектов, очередей, файлов и таблиц. Поставщик ресурсов службы хранилища Azure REST API позволяет работать с учетной записью хранения и связанными ресурсами.
Для запроса, считывающего или записывающего данные большого двоичного объекта, требуются разрешения, отличные от разрешений на запрос, выполняющий операцию управления. Azure RBAC обеспечивает детальный контроль над разрешениями для обоих типов ресурсов. При назначении роли Azure субъекту безопасности убедитесь, что вы понимаете разрешения, которые будет предоставлять участник. Подробные справочные сведения о действиях, связанных с каждой встроенной ролью Azure, см. в статье встроенные роли Azure.
служба хранилища Azure поддерживает использование идентификатора Microsoft Entra для авторизации запросов к хранилищу BLOB-объектов и очередей. Сведения о ролях Azure для операций с данными BLOB-объектов и очередей см. в разделе авторизация доступа к BLOB-объектам и очередям с помощью Active Directory.
Назначение разрешений управления с помощью управления доступом на основе ролей в Azure (Azure RBAC)
Каждая подписка Azure имеет связанный идентификатор Microsoft Entra, который управляет пользователями, группами и приложениями. Пользователь, группа или приложение также называются субъектом безопасности в контексте платформы Microsoft Identity. Вы можете предоставить доступ к ресурсам в подписке субъекту безопасности, определенному в Active Directory, с помощью управления доступом на основе ролей Azure (Azure RBAC).
При назначении роли Azure субъекту безопасности также указывается область действия разрешений, предоставленных этой ролью. Для операций управления можно назначить роль на уровне подписки, группы ресурсов или учетной записи хранения. Роль Azure можно назначить субъекту безопасности с помощью портала Azure, классического CLI Azure, PowerShellили REST API поставщика ресурсов службы хранилища Azure.
Дополнительные сведения см. в статье "Что такое управление доступом на основе ролей Azure(Azure RBAC)" и роли Azure, роли Microsoft Entra и роли администратора классической подписки.
Встроенные роли для операций управления
Azure предоставляет встроенные роли, предоставляющие разрешения на вызов операций управления. Служба хранилища Azure также предоставляет встроенные роли, специально предназначенные для использования с поставщиком ресурсов службы хранилища Azure.
Встроенные роли, предоставляющие разрешения на вызов операций управления хранилищем, включают в себя роли, описанные в следующей таблице.
| Роль Azure | Description | Включает доступ к ключам учетной записи? |
|---|---|---|
| Ответственное лицо | Может управлять всеми ресурсами хранилища и доступом к ресурсам. | Да, предоставляет разрешения на просмотр и повторное создание ключей учетной записи хранения. |
| Участник | Может управлять всеми ресурсами хранилища, но не может управлять доступом к ресурсам. | Да, предоставляет разрешения на просмотр и повторное создание ключей учетной записи хранения. |
| Читатель | Может просматривать сведения об учетной записи хранения, но не может просматривать ключи учетной записи. | Нет. |
| Участник учетной записи хранения | Может управлять учетной записью хранения, получать информацию о ресурсах и группах ресурсов, создавать развертывания групп ресурсов подписки и управлять ими. | Да, предоставляет разрешения на просмотр и повторное создание ключей учетной записи хранения. |
| Администратор доступа пользователей | Может управлять доступом к учетной записи хранения. | Да, позволяет субъекту безопасности назначать любые разрешения себе и другим пользователям. |
| Участник виртуальной машины | Может управлять виртуальными машинами, но не учетными записями хранения, к которым они подключены. | Да, предоставляет разрешения на просмотр и повторное создание ключей учетной записи хранения. |
Третий столбец в таблице указывает, поддерживает ли встроенная роль действие Microsoft.Storage/storageAccounts/listkeys/action. Это действие предоставляет разрешения на чтение и повторное создание ключей учетной записи хранения. Разрешения на доступ к ресурсам управления службой хранилища Azure также не включают разрешения на доступ к данным. Однако если у пользователя есть доступ к ключам учетной записи, они смогут использовать ключи учетной записи для доступа к данным службы хранилища Azure через авторизацию с общим ключом.
Пользовательские роли для операций управления
Azure также поддерживает определение пользовательских ролей Azure для доступа к ресурсам управления. Дополнительные сведения о настраиваемых ролях см. в статье Настраиваемые роли Azure.
Примеры кода
Примеры кода, демонстрирующие авторизацию и вызов операций управления библиотеками управления хранилищем Azure, см. в следующих примерах.
Azure Resource Manager в сравнении с классическими развертываниями
Модель развертывания с помощью Azure Resource Manager и классическая модель представляют собой два разных способа развертывания решений Azure и управления ими. Корпорация Microsoft рекомендует использовать модель развертывания Azure Resource Manager при создании новой учетной записи хранения. Если это возможно, корпорация Microsoft также рекомендует повторно создать существующие классические учетные записи хранения с моделью диспетчер ресурсов. Хотя вы можете создать учетную запись хранения с помощью классической модели развертывания, классическая модель является менее гибкой и в конечном итоге будет устаревшей.
Дополнительные сведения о моделях развертывания Azure, см. в статье Resource Manager и классическое развертывание.