Auktorisera åtkomst till data i Azure Storage
Varje gång du kommer åt data i ditt lagringskonto skickar klientprogrammet en begäran via HTTP/HTTPS till Azure Storage. Som standard skyddas alla resurser Azure Storage och varje begäran till en säker resurs måste auktoriserats. Auktorisering säkerställer att klientprogrammet har rätt behörighet att komma åt data i ditt lagringskonto.
I följande tabell beskrivs de alternativ Azure Storage erbjuder för att auktorisera åtkomst till data:
| Azure-artefakt | Delad nyckel (lagringskontonyckel) | Signatur för delad åtkomst (SAS) | Azure Active Directory (Azure AD) | Lokala Active Directory Domain Services | Anonym offentlig läsbehörighet |
|---|---|---|---|---|---|
| Azure-blobar | Stöds | Stöds | Stöds | Stöds inte | Stöds |
| Azure Files (SMB) | Stöds | Stöds inte | Stöds endast med AAD Domain Services | Autentiseringsuppgifter måste synkroniseras med Azure AD | Stöds inte |
| Azure Files (REST) | Stöds | Stöds | Stöds inte | Stöds inte | Stöds inte |
| Azure Queues | Stöds | Stöds | Stöds | Stöds inte | Stöds inte |
| Azure-tabeller | Stöds | Stöds | Stöds (förhandsversion) | Stöds inte | Stöds inte |
Varje auktoriseringsalternativ beskrivs kortfattat nedan:
Azure Active Directory (Azure AD) för auktorisering av begäranden till blob-, kö- och tabellresurser. Microsoft rekommenderar att du använder Azure AD-autentiseringsuppgifter för att auktorisera begäranden till data när det är möjligt för optimal säkerhet och användarvänlighet. Mer information om Azure AD-integrering finns i artiklarna för blob-, kö-eller tabellresurser.
Du kan använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera behörigheter för ett säkerhetsobjekt till blob-, kö- och tabellresurser i ett lagringskonto. Du kan dessutom använda Azure-attributbaserad åtkomstkontroll (ABAC) för att lägga till villkor i Azure-rolltilldelningar för blobresurser. Mer information om RBAC finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?. Mer information om ABAC finns i Vad är attributbaserad åtkomstkontroll i Azure (Azure ABAC)? (förhandsversion).
Azure Active Directory Domain Services-autentisering (Azure AD DS) för Azure Files. Azure Files stöder identitetsbaserad auktorisering över Server Message Block (SMB) via Azure AD DS. Du kan använda Azure RBAC för att få mer kontroll över en klients åtkomst till Azure Files resurser i ett lagringskonto. Mer information om hur Azure Files autentisering med domäntjänster finns i översikten.
Lokal Active Directory Domain Services -autentisering (AD DS eller lokal AD DS) för Azure Files. Azure Files stöder identitetsbaserad auktorisering via SMB via AD DS. DIN AD DS-miljö kan finnas på lokala datorer eller på virtuella Azure-datorer. SMB-åtkomst till filer stöds med HJÄLP av AD DS-autentiseringsuppgifter från domän-ansluten datorer, antingen lokalt eller i Azure. Du kan använda en kombination av Azure RBAC för åtkomstkontroll på resursnivå och NTFS-DACL:er för behörighetstvingande på katalog-/filnivå. Mer information om hur Azure Files autentisering med domäntjänster finns i översikten.
Auktorisering med delad nyckel för blobar, filer, köer och tabeller. En klient som använder delad nyckel skickar ett huvud med varje begäran som signeras med åtkomstnyckeln för lagringskontot. Mer information finns i Auktorisera med delad nyckel.
Du kan inte tillåta auktorisering med delad nyckel för ett lagringskonto. När auktorisering med delad nyckel inte tillåts måste klienterna använda Azure AD för att auktorisera begäranden om data i lagringskontot. Mer information finns i Förhindra auktorisering med delad nyckel för ett Azure Storage konto.
Signaturer för delad åtkomst för blobar, filer, köer och tabeller. Signaturer för delad åtkomst (SAS) ger begränsad delegerad åtkomst till resurser i ett lagringskonto. Genom att lägga till begränsningar för det tidsintervall som signaturen är giltig för eller för behörigheter ger det flexibilitet vid hantering av åtkomst. Mer information finns i Använda signaturer för delad åtkomst (SAS).
Anonym offentlig läsåtkomst för containrar och blobar. När anonym åtkomst har konfigurerats kan klienterna läsa blobdata utan auktorisering. Mer information finns i Hantera anonym läsåtkomst till containrar och blobar.
Du kan inte tillåta anonym offentlig läsåtkomst för ett lagringskonto. När anonym offentlig läsbehörighet inte tillåts kan användarna inte konfigurera containrar för att aktivera anonym åtkomst och alla begäranden måste auktoriserats. Mer information finns i Förhindra anonym offentlig läsåtkomst till containrar och blobar.
Nästa steg
- Auktorisera åtkomst Azure Active Directory till antingen blob-, kö-eller tabellresurser.
- Auktorisera med delad nyckel
- Bevilja begränsad åtkomst till Azure Storage med hjälp av signaturer för delad åtkomst (SAS)