Auktorisera begäranden till Azure Storage
Varje begäran som görs mot en skyddad resurs i blob-, fil-, kö- eller tabelltjänsten måste auktoriseras. Auktorisering säkerställer att resurser i ditt lagringskonto endast är tillgängliga när du vill att de ska vara det, och endast för de användare eller program som du beviljar åtkomst till.
I följande tabell beskrivs de alternativ som Azure Storage erbjuder för att auktorisera åtkomst till resurser:
| Azure-artefakt | Delad nyckel (lagringskontonyckel) | Signatur för delad åtkomst (SAS) | Microsoft Entra ID | Lokala Active Directory Domain Services | Anonym offentlig läsåtkomst |
|---|---|---|---|---|---|
| Azure-blobar | Stöds | Stöds | Stöds | Stöds inte | Stöds |
| Azure Files (SMB) | Stöds | Stöds inte | Stöds med Microsoft Entra Domain Services eller Microsoft Entra Kerberos | Autentiseringsuppgifter måste synkroniseras till Microsoft Entra ID | Stöds inte |
| Azure Files (REST) | Stöds | Stöds | Stöds | Stöds inte | Stöds inte |
| Azure Queues | Stöds | Stöds | Stöds | Stöds inte | Stöds inte |
| Azure-tabeller | Stöds | Stöds | Stöds | Stöds inte | Stöds inte |
Varje auktoriseringsalternativ beskrivs kortfattat nedan:
Microsoft Entra ID:Microsoft Entra är Microsofts molnbaserade tjänst för identitets- och åtkomsthantering. Microsoft Entra ID integrering är tillgänglig för blob-, fil-, kö- och tabelltjänsterna. Med Microsoft Entra ID kan du tilldela detaljerad åtkomst till användare, grupper eller program via rollbaserad åtkomstkontroll (RBAC). Information om Microsoft Entra ID integrering med Azure Storage finns i Auktorisera med Microsoft Entra ID.
Microsoft Entra Domain Services auktorisering för Azure Files. Azure Files stöder identitetsbaserad auktorisering via SMB (Server Message Block) via Microsoft Entra Domain Services. Du kan använda RBAC för detaljerad kontroll över en klients åtkomst till Azure Files resurser i ett lagringskonto. Mer information om Azure Files autentisering med hjälp av domäntjänster finns i Azure Files identitetsbaserad auktorisering.
Active Directory-auktorisering (AD) för Azure Files. Azure Files stöder identitetsbaserad auktorisering via SMB via AD. Din AD-domäntjänst kan finnas på lokala datorer eller på virtuella Azure-datorer. SMB-åtkomst till Filer stöds med hjälp av AD-autentiseringsuppgifter från domänanslutna datorer, antingen lokalt eller i Azure. Du kan använda RBAC för åtkomstkontroll på resursnivå och NTFS-DACL:er för åtkomstkontroll på katalog- och filnivå. Mer information om Azure Files autentisering med hjälp av domäntjänster finns i Azure Files identitetsbaserad auktorisering.
Delad nyckel: Auktorisering av delad nyckel förlitar sig på dina kontoåtkomstnycklar och andra parametrar för att skapa en krypterad signatursträng som skickas på begäran i auktoriseringshuvudet . Mer information om auktorisering av delad nyckel finns i Auktorisera med delad nyckel.
Signaturer för delad åtkomst: Signaturer för delad åtkomst (SAS) delegerar åtkomst till en viss resurs i ditt konto med angivna behörigheter och under ett angivet tidsintervall. Mer information om SAS finns i Delegera åtkomst med en signatur för delad åtkomst.
Anonym åtkomst till containrar och blobar: Du kan också göra blobresurser offentliga på container- eller blobnivå. En offentlig container eller blob är tillgänglig för alla användare för anonym läsåtkomst. Läsbegäranden till offentliga containrar och blobar kräver inte auktorisering. Mer information finns i Aktivera offentlig läsåtkomst för containrar och blobar i Azure Blob Storage.
Tips
Att autentisera och auktorisera åtkomst till blob-, fil-, kö- och tabelldata med Microsoft Entra ID ger överlägsen säkerhet och användarvänlighet jämfört med andra auktoriseringsalternativ. Genom att till exempel använda Microsoft Entra ID undviker du att behöva lagra din kontoåtkomstnyckel med din kod, som du gör med auktorisering av delad nyckel. Du kan fortsätta att använda auktorisering med delad nyckel med dina blob- och köprogram, men Microsoft rekommenderar att du flyttar till Microsoft Entra ID där det är möjligt.
På samma sätt kan du fortsätta att använda signaturer för delad åtkomst (SAS) för att ge detaljerad åtkomst till resurser i ditt lagringskonto, men Microsoft Entra ID erbjuder liknande funktioner utan att behöva hantera SAS-token eller oroa dig för att återkalla en komprometterad SAS.
Mer information om Microsoft Entra ID integrering i Azure Storage finns i Auktorisera åtkomst till Azure-blobbar och -köer med hjälp av Microsoft Entra ID.