Авторизация запросов на служба хранилища Azure
Каждый запрос к защищенному ресурсу в службе больших двоичных объектов, файлов, очередей или таблиц должен быть уполномочен. Авторизация гарантирует, что ресурсы в вашей учетной записи хранения будут доступны только тогда, когда они должны быть и только тем пользователям или приложениям, которым вы предоставляете доступ.
В приведенной ниже таблице перечислены возможности, которые служба хранилища Azure предлагает для авторизации доступа к ресурсам.
| Артефакт Azure | Общий ключ (ключ учетной записи хранения) | Подписанный URL-адрес (SAS) | Azure Active Directory (Azure AD) | Локальные доменные службы Active Directory | Анонимный общий доступ на чтение |
|---|---|---|---|---|---|
| Большие двоичные объекты Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Поддерживается |
| Файлы Azure (SMB) | Поддерживается | Не поддерживается | Поддерживается, только с доменными службами AAD | Поддерживается, требуется синхронизация учетных данных c Azure AD | Не поддерживается |
| Файлы Azure (REST) | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
| Очереди Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается |
| Таблицы Azure | Поддерживается | Поддерживается | Поддерживается | Не поддерживается | Не поддерживается |
Ниже кратко описан каждый метод авторизации.
Azure Active Directory (Azure AD):Azure AD — это облачная служба управления удостоверениями и доступом Майкрософт. Azure AD интеграция доступна для служб BLOB-объектов, очередей и таблиц. С помощью Azure AD можно назначать детальный доступ к пользователям, группам или приложениям посредством управления доступом на основе ролей (RBAC). Сведения об интеграции Azure AD с служба хранилища Azure см. в статье "Авторизация с помощью Azure Active Directory".
Авторизация доменных служб Azure Active Directory (Azure AD DS) для Файлов Azure. Файлы Azure поддерживают авторизацию на основе идентификаторов по протоколу SMB через Azure AD DS. RBAC можно использовать для детального управления доступом клиента к Файлы Azure ресурсам в учетной записи хранения. Дополнительные сведения о проверке подлинности Файлы Azure с помощью доменных служб см. в Файлы Azure авторизации на основе удостоверений.
Авторизация Active Directory (AD) для Файлы Azure. Файлы Azure поддерживает авторизацию на основе удостоверений через SMB через AD. Доменная служба AD может размещаться на локальных компьютерах или на виртуальных машинах Azure. Доступ SMB к файлам поддерживается с помощью учетных данных AD с присоединенных к домену компьютеров, локальных или в Azure. RBAC можно использовать для управления доступом на уровне общего ресурса и списков DACCL NTFS для принудительного применения разрешений на уровне каталога и файлов. Дополнительные сведения о проверке подлинности Файлы Azure с помощью доменных служб см. в Файлы Azure авторизации на основе удостоверений.
Общий ключ: Авторизация с общим ключом использует ключи доступа к учетной записи и другие параметры для создания зашифрованной строки подписи, передаваемой по запросу в заголовке авторизации . Дополнительные сведения об авторизации общего ключа см. в разделе "Авторизация с помощью общего ключа".
Подписанные URL-адреса: Подписанные URL-адреса (SAS) делегирует доступ к определенному ресурсу в вашей учетной записи с указанными разрешениями и через указанный интервал времени. Дополнительные сведения о SAS см. в разделе "Делегирование доступа с подписанным URL-адресом".
Анонимный доступ к контейнерам и BLOB-объектам: При необходимости можно сделать ресурсы BLOB-объектов общедоступными на уровне контейнера или большого двоичного объекта. Общедоступный контейнер или BLOB-объект дает любому пользователю анонимный доступ на чтение. Для запросов на чтение к общедоступным контейнерам и BLOB-объектам не требуется авторизация. Дополнительные сведения см. в статье "Включение общего доступа на чтение" для контейнеров и BLOB-объектов в хранилище BLOB-объектов Azure.
Совет
Проверка подлинности и авторизация доступа к данным больших двоичных объектов, очередей и таблиц с помощью Azure AD обеспечивает более высокий уровень безопасности и простоту использования по сравнению с другими вариантами авторизации. Например, Azure AD позволяет не сохранять ключ доступа к учетной записи в коде приложения, как это делается при авторизации с общим ключом. Вы можете по-прежнему использовать авторизацию с общим ключом в приложениях, работающих с BLOB-объектами и очередями, но корпорация Майкрософт рекомендует перейти на Azure AD при первой возможности.
Аналогичным образом вы можете продолжать использовать подписанные URL-адреса (SAS) для предоставления доступа с точной настройкой к ресурсам в учетной записи хранения, но Azure AD предлагает аналогичные возможности без необходимости управлять токенами SAS или беспокоиться об отзыве скомпрометированного SAS.
Дополнительные сведения об интеграции Azure AD в служба хранилища Azure см. в статье "Авторизация доступа к BLOB-объектам и очередям Azure с помощью Azure Active Directory".