Föregående

Nästa

Auktoriseringsalternativ för Azure Storage

Slutförd

Innan du förbättrar företagets webbapp för patientdiagnostikbilder vill du förstå alla alternativ för säker åtkomst. En signatur för delad åtkomst (SAS) ger ett säkert sätt att bevilja klienter åtkomst till resurser. Men det är inte det enda sättet att bevilja åtkomst. I vissa situationer kan andra alternativ erbjuda bättre val för din organisation.

Företaget kan använda mer än bara SAS-metoden för autentisering.

I den här lektionen tittar du på de olika sätten att autentisera åtkomsten till filer som lagras i Azure Storage.

Kom åt Azure Storage

Klienter har åtkomst till filer som lagras i Azure Storage via HTTP/HTTPS. Azure kontrollerar varje klientbegäran för auktorisering för att få åtkomst till lagrade data. Det finns fyra alternativ för åtkomst till bloblagring:

• Offentlig åtkomst
• Microsoft Entra ID
• Delad nyckel
• Signatur för delad åtkomst (SAS)

Offentlig åtkomst

Offentlig åtkomst kallas även anonym offentlig läsåtkomst för containrar och blobar.

Det finns två separata inställningar som påverkar offentlig åtkomst:

• Lagringskontot. Konfigurera lagringskontot för att tillåta offentlig åtkomst genom att ange egenskapen AllowBlobPublicAccess . När värdet är true är blobdata endast tillgängliga för offentlig åtkomst om containerns inställning för offentlig åtkomst också har angetts.

• Containern. Du kan endast aktivera anonym åtkomst om anonym åtkomst har tillåtits för lagringskontot. En container har två möjliga inställningar för offentlig åtkomst: Offentlig läsåtkomst för blobar eller offentlig läsåtkomst för en container och dess blobar. Anonym åtkomst styrs på containernivå, inte för enskilda blobar. Så om du vill skydda vissa av filerna måste du placera dem i en separat container som inte tillåter offentlig läsåtkomst.

Både lagringskonto och containerinställningar krävs för att aktivera anonym offentlig åtkomst. Fördelarna med den här metoden är att du inte behöver dela nycklar med klienter som behöver åtkomst till dina filer. Du behöver inte heller hantera någon SAS.

Microsoft Entra ID

Använd Microsoft Entra-alternativet för säker åtkomst till Azure Storage utan att lagra några autentiseringsuppgifter i koden. AD-auktorisering har en tvåstegsmetod. Först autentiserar du ett säkerhetsobjekt som returnerar en OAuth 2.0-token om det lyckas. Denna token skickas sedan till Azure Storage för att aktivera auktorisering till den begärda resursen.

Använd den här autentiseringsformen om du kör en app med hanterade identiteter eller använder säkerhetsobjekt.

Delad nyckel

Azure Storage skapar två 512-bitars åtkomstnycklar för varje lagringskonto som skapas. Du delar dessa nycklar för att ge klienterna åtkomst till lagringskontot. Dessa nycklar ger alla med åtkomst motsvarigheten till root-åtkomst till din lagring.

Vi rekommenderar att du hanterar lagringsnycklar med Azure Key Vault eftersom det är enkelt att rotera nycklar enligt ett regelbundet schema för att skydda ditt lagringskonto.

Signatur för delad åtkomst

Med en SAS kan du ge detaljerad åtkomst till filer i Azure Storage, till exempel skrivskyddad eller skrivskyddad åtkomst, förfallotid, varefter SAS inte längre ger klienten åtkomst till de valda resurserna. En signatur för delad åtkomst är en nyckel som ger behörighet till en lagringsresurs och bör skyddas på samma sätt som en kontonyckel.

Azure Storage har stöd för tre typer av signaturer för delad åtkomst:

• SAS för användardelegering: Kan endast användas för Blob Storage och skyddas med Microsoft Entra-autentiseringsuppgifter.
• Tjänst-SAS: En tjänst-SAS skyddas med hjälp av en lagringskontonyckel. En tjänst-SAS delegerar åtkomst till en resurs i någon av fyra Azure Storage-tjänster: Blob, Queue, Table eller File.
• Konto-SAS: Ett SAS-konto skyddas med en lagringskontonyckel. Ett KONTO SAS har samma kontroller som en tjänst-SAS, men kan också styra åtkomsten till åtgärder på tjänstnivå, till exempel Hämta tjänststatistik.

Du kan skapa en SAS-ad hoc genom att ange alla alternativ som du behöver styra, inklusive starttid, förfallotid och behörigheter.

Om du planerar att skapa en tjänst-SAS finns det också ett alternativ för att associera den med en lagrad åtkomstprincip. En lagrad åtkomstprincip kan associeras med upp till fem aktiva SAS. Du kan styra åtkomst och förfallodatum på den lagrade åtkomstprincipnivån. Den här metoden är bra om du behöver ha detaljerad kontroll för att ändra förfallodatumet eller för att återkalla en SAS. Det enda sättet att återkalla eller ändra en ad hoc-SAS är att ändra lagringskontots nycklar.

Testa dina kunskaper

1.

Din organisation har ett internt system för delning av information om patientmöten och anteckningar. Du kan skydda en användares åtkomst baserat på deras medlemskap i en Microsoft Entra-grupp. Vilken typ av auktorisering stöder det här scenariot bäst och varför?

Använd en SAS-token (signatur för delad åtkomst) Du använder Microsoft Entra-autentiseringsuppgifterna och en SAS-token för användardelegering.

Använd Microsoft Entra-ID. Genom att använda Microsoft Entra-ID kan du skapa ett huvudnamn för tjänsten för att autentisera appen.

Använd en delad nyckel. Azure Storage-kontot kan skapa och återkalla nycklar som används i din app.

2.

Din offentligt riktade statiska webbplats lagrar alla bilder i det offentliga användargränssnittet i Blob Storage. Webbplatsen behöver visa grafiken utan någon auktorisering. Vad är det bästa alternativet?

Offentlig åtkomst

Delad nyckel

Signatur för delad åtkomst

Du måste svara på alla frågor innan du kontrollerar ditt arbete.

Fortsätt