Выбор способа авторизации доступа к данным очереди на портале Azure

  • Статья

При получении доступа к данным очереди с помощью портала Azure портал отправляет запросы к службе хранилища Azure. Для запросов к службе хранилища Azure можно выполнять проверку подлинности с учетной записью Microsoft Entra или с ключом доступа к учетной записи хранения. Портал указывает, какой метод используется, и позволяет выбрать любой из двух методов, если есть соответствующие разрешения.

Разрешения, требуемые для получения доступа к данным очереди

В зависимости желаемого способа авторизации доступа к данным очереди на портале Azure вам потребуются определенные разрешения. В большинстве случаев эти разрешения предоставляются посредством управления доступом на основе ролей Azure (Azure RBAC). Дополнительные сведения об Azure RBAC см. в статье Что такое управление доступом на основе ролей в Azure (Azure RBAC)?.

Использование ключа доступа учетной записи

Чтобы получить доступ к данным очереди с помощью ключа доступа к учетной записи, вам должна быть назначена роль Azure, которая включает действие Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Эта роль Azure может быть встроенной или настраиваемой. Ниже перечислены встроенные роли с поддержкой Microsoft.Storage/storageAccounts/listkeys/action (от минимального до максимального уровня разрешений):

При попытке получить доступ к данным очереди на портале Azure портал сначала проверяет, назначена ли вам роль с действием Microsoft.Storage/storageAccounts/listkeys/action. Если вам назначена роль с этим действием, портал будет использовать ключ учетной записи для доступа к данным очереди. Если вы не назначили роль с этим действием, портал пытается получить доступ к данным с помощью учетной записи Microsoft Entra.

Важно!

Если учетная запись хранения заблокирована с использованием блокировки Azure Resource Manager ReadOnly, операция Список ключей не разрешена для этой учетной записи хранения. Список ключей — операция POST, и все операции POST блокируются, если для учетной записи настроена блокировка ReadOnly. По этой причине, когда учетная запись заблокирована с блокировкой ReadOnly , пользователи должны использовать учетные данные Microsoft Entra для доступа к данным очереди на портале. Сведения о доступе к данным очереди на портале с помощью идентификатора Microsoft Entra см. в статье "Использование учетной записи Microsoft Entra".

Примечание.

Роли администратора классической подписки Администратор службы и Соадминистратор включают эквивалент роли Owner Azure Resource Manager. Роль Владелец включает все действия, в том числе Microsoft.Storage/storageAccounts/listkeys/action, поэтому пользователь с одной из этих административных ролей также может получать доступ к данным очереди с помощью ключа учетной записи. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Использование учетной записи Microsoft Entra

Чтобы получить доступ к данным очереди из портал Azure с помощью учетной записи Microsoft Entra, оба из следующих инструкций должны быть верными для вас:

  • вам назначена встроенная или пользовательская роль, предоставляющая доступ к данным очереди;
  • Вам назначена роль Читатель Azure Resource Manager как минимум на уровне учетной записи хранения или на более высоком уровне. Роль Читатель предоставляет наиболее ограниченные разрешения, однако можно использовать и другую роль Azure Resource Manager, которая предоставляет доступ к ресурсам управления учетными записями хранения.

Роль Читатель Azure Resource Manager позволяет просматривать ресурсы учетной записи хранения, но не изменять их. Она предоставляет разрешения на чтение не данных в службе хранилища Azure, а только ресурсов управления учетной записью. Роль Читатель требуется, чтобы пользователи могли переходить к очередям на портале Azure.

Сведения о встроенных ролях, поддерживающих доступ к данным очереди, см. в разделе "Авторизация доступа к очередям" с помощью идентификатора Microsoft Entra.

Пользовательские роли могут поддерживать различные комбинации тех же разрешений, которые предоставляются встроенными ролями. Дополнительные сведения о создании пользовательских ролей Azure см. в разделе Пользовательские роли Azure и Определения ролей для ресурсов Azure.

Чтобы просмотреть данные очереди на портале, перейдите в раздел Обзор учетной записи хранения и щелкните ссылку Очереди. Кроме того, можно перейти к разделу Служба очередей в меню.

Screenshot showing how to navigate to queue data in the Azure portal

Определение текущего метода проверки подлинности

При переходе к очереди портал Azure указывает, используете ли вы ключ доступа к учетной записи или учетную запись Microsoft Entra для проверки подлинности.

Проверка подлинности с помощью ключа доступа учетной записи

Если проверка подлинности выполняется с помощью ключа доступа учетной записи, вы увидите, что в качестве метода проверки подлинности на портале указан ключ доступа.

Screenshot showing user currently accessing queues with the account key

Чтобы перейти на использование учетной записи Microsoft Entra, щелкните ссылку, выделенную на изображении. Если в назначенных вам ролях Azure имеются соответствующие разрешения, вы сможете продолжить работу. Однако если у вас нет нужных разрешений, появится сообщение об ошибке:

Error shown if Microsoft Entra account does not support access

Обратите внимание, что в списке нет очередей, если учетная запись Microsoft Entra не имеет разрешений для их просмотра. Щелкните ссылку Использовать ключ доступа, чтобы снова использовать ключ доступа для проверки подлинности.

Проверка подлинности с помощью учетной записи Microsoft Entra

Если вы выполняете проверку подлинности с помощью учетной записи Microsoft Entra, вы увидите учетную запись пользователя Microsoft Entra, указанную в качестве метода проверки подлинности на портале:

Screenshot showing user currently accessing queues with Microsoft Entra account

Чтобы вместо этого использовать ключ доступа к учетной записи, щелкните ссылку, выделенную на изображении. Если у вас есть доступ к ключу учетной записи, вы сможете продолжить работу. Но если у вас нет доступа к ключу учетной записи, на портале Azure появится сообщение об ошибке.

Очереди не отобразятся на портале, если у вас нет доступа к ключам учетной записи. Щелкните ссылку "Переключиться на учетную запись пользователя Microsoft Entra", чтобы снова использовать учетную запись Microsoft Entra для проверки подлинности.

По умолчанию авторизация Microsoft Entra в портал Azure

При создании новой учетной записи хранения можно указать, что портал Azure по умолчанию будет авторизации с идентификатором Microsoft Entra при переходе пользователя к данным очереди. Этот параметр также можно настроить для существующей учетной записи хранения. Этот параметр определяет только способ авторизации по умолчанию, поэтому пользователь может переопределить его и включить авторизацию доступа к данным с помощью ключа учетной записи.

Чтобы указать, что портал будет использовать авторизацию Microsoft Entra по умолчанию для доступа к данным при создании учетной записи хранения, выполните следующие действия.

  1. Создайте учетную запись хранения, следуя инструкциям в разделе Создание учетной записи хранения.

  2. На вкладке "Дополнительно" в разделе "Безопасность" проверка поле рядом с авторизацией Microsoft Entra по умолчанию в портал Azure.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account.

  3. Чтобы запустить проверку и создать учетную запись, нажмите кнопку Просмотреть и создать.

Чтобы изменить этот параметр для существующей учетной записи хранения, выполните следующие действия.

  1. Перейдите в раздел с общими сведениями об учетной записи на портале Azure.

  2. В разделе Параметры выберите пункт Конфигурация.

  3. Установите для параметра "По умолчанию авторизация Microsoft Entra" в портал Azure значение "Включено".

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for existing account.

Следующие шаги