Azure Depolama’daki verilere erişimi yetkilendirme
Depolama hesabınızdaki verilere her erişişinizde, istemci uygulamanız Azure Depolama'a HTTP/HTTPS üzerinden bir istekte bulunur. Varsayılan olarak, Azure Depolama'daki her kaynağın güvenliği sağlanır ve güvenli bir kaynağa yapılan her istek yetkilendirilmelidir. Yetkilendirme, istemci uygulamasının depolama hesabınızdaki belirli bir kaynağa erişmek için uygun izinlere sahip olmasını sağlar.
Önemli
En iyi güvenlik için Microsoft, mümkün olduğunca blob, kuyruk ve tablo verilerine karşı istekleri yetkilendirmek için yönetilen kimliklerle Microsoft Entra Id kullanılmasını önerir. Microsoft Entra Kimliği ve yönetilen kimliklerle yetkilendirme, Paylaşılan Anahtar yetkilendirmesi üzerinden üstün güvenlik ve kullanım kolaylığı sağlar. Yönetilen kimlikler hakkında daha fazla bilgi edinmek için bkz . Azure kaynakları için yönetilen kimlikler nedir? Bir .NET uygulaması için yönetilen kimliği etkinleştirme ve kullanma örneği için bkz . .NET ile Azure'da barındırılan uygulamaların Kimliğini Azure kaynaklarından doğrulama.
Şirket içi uygulamalar gibi Azure dışında barındırılan kaynaklar için Azure Arc aracılığıyla yönetilen kimlikleri kullanabilirsiniz. Örneğin, Azure Arc özellikli sunucularda çalışan uygulamalar, Azure hizmetlerine bağlanmak için yönetilen kimlikleri kullanabilir. Daha fazla bilgi edinmek için bkz . Azure Arc özellikli sunucularla Azure kaynaklarında kimlik doğrulaması.
Paylaşılan erişim imzalarının (SAS) kullanıldığı senaryolar için Microsoft, kullanıcı temsilcisi SAS'sini kullanmanızı önerir. Kullanıcı temsilcisi SAS'sinin güvenliği hesap anahtarı yerine Microsoft Entra kimlik bilgileriyle sağlanır. Paylaşılan erişim imzaları hakkında bilgi edinmek için bkz . Paylaşılan erişim imzalarıyla verilere sınırlı erişim verme. .NET ile kullanıcı temsilcisi SAS oluşturma ve kullanma örneği için bkz . .NET ile blob için kullanıcı temsilcisi SAS'i oluşturma.
Veri işlemleri için yetkilendirme
Aşağıdaki bölümde, her Azure Depolama hizmeti için yetkilendirme desteği ve öneriler açıklanmaktadır.
Aşağıdaki tabloda bloblar için desteklenen yetkilendirme seçenekleri hakkında bilgi sağlanmaktadır:
| Yetkilendirme seçeneği | Rehber | Öneri |
|---|---|---|
| Microsoft Entra Kimlik | Microsoft Entra Id ile Azure Depolama verilerine erişimi yetkilendirme | Microsoft, blob kaynaklarına yönelik istekleri yetkilendirmek için Yönetilen kimliklerle Microsoft Entra Id kullanılmasını önerir. |
| Paylaşılan Anahtar (depolama hesabı anahtarı) | Paylaşılan Anahtar ile yetkilendirme | Microsoft, depolama hesaplarınız için Paylaşılan Anahtar yetkilendirmesini reddetmenizi önerir. |
| Paylaşılan erişim imzası (SAS) | Paylaşılan erişim imzaları (SAS) kullanma | SAS yetkilendirmesi gerektiğinde, Microsoft blob kaynaklarına sınırlı temsilci erişimi için kullanıcı temsilcisi SAS'sini kullanmanızı önerir. |
| Anonim okuma erişimi | Genel bakış: Blob verileri için anonim okuma erişimini düzeltme | Microsoft, tüm depolama hesaplarınız için anonim erişimi devre dışı bırakmanızı önerir. |
| Yerel Kullanıcıları Depolama | Yalnızca SFTP için desteklenir. Daha fazla bilgi edinmek için bkz. SFTP istemcisi için Blob Depolama erişimi yetkilendirme | Seçenekler için yönergelere bakın. |
Aşağıdaki bölümde Azure Depolama yetkilendirme seçenekleri kısaca açıklanmaktadır:
Paylaşılan Anahtar yetkilendirmesi: Bloblar, dosyalar, kuyruklar ve tablolar için geçerlidir. Paylaşılan Anahtar kullanan bir istemci, depolama hesabı erişim anahtarı kullanılarak imzalanan her istekle birlikte bir üst bilgi geçirir. Daha fazla bilgi için bkz . Paylaşılan Anahtarla Yetkilendirme.
Microsoft, depolama hesabınız için Paylaşılan Anahtar yetkilendirmesini reddetmenizi önerir. Paylaşılan Anahtar yetkilendirmesine izin verilmediğinde, istemcilerin söz konusu depolama hesabındaki veri isteklerini yetkilendirmek için Microsoft Entra Id veya kullanıcı temsilcisi SAS kullanması gerekir. Daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.
Bloblar , dosyalar, kuyruklar ve tablolar için paylaşılan erişim imzaları. Paylaşılan erişim imzaları (SAS), imzalı bir URL aracılığıyla depolama hesabındaki kaynaklara sınırlı temsilci erişimi sağlar. İmzalı URL, kaynağa verilen izinleri ve imzanın geçerli olduğu aralığı belirtir. Hizmet SAS'sı veya hesap SAS'i hesap anahtarıyla imzalanırken, kullanıcı temsilcisi SAS'ı Microsoft Entra kimlik bilgileriyle imzalanır ve yalnızca bloblar için geçerlidir. Daha fazla bilgi için bkz . Paylaşılan erişim imzalarını (SAS) kullanma.
Microsoft Entra tümleştirmesi: Blob, kuyruk ve tablo kaynakları için geçerlidir. Microsoft, en iyi güvenlik ve kullanım kolaylığı için mümkün olduğunda verilere yönelik istekleri yetkilendirmek için yönetilen kimliklerle Microsoft Entra kimlik bilgilerinin kullanılmasını önerir. Microsoft Entra tümleştirmesi hakkında daha fazla bilgi için blob, kuyruk veya tablo kaynakları makalelerine bakın.
Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak depolama hesabındaki bir güvenlik sorumlusuna blob, kuyruk ve tablo kaynakları izinlerini yönetebilirsiniz. Blob kaynakları için Azure rol atamalarına koşullar eklemek için Azure öznitelik tabanlı erişim denetimini (ABAC) de kullanabilirsiniz.
RBAC hakkında daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?.
ABAC hakkında daha fazla bilgi için bkz . Azure öznitelik tabanlı erişim denetimi (Azure ABAC) nedir?. ABAC özelliklerinin durumu hakkında bilgi edinmek için bkz. Azure Depolama'da ABAC koşulu özelliklerinin durumu.
Microsoft Entra Domain Services kimlik doğrulaması: Azure Dosyalar için geçerlidir. Azure Dosyalar, Microsoft Entra Domain Services aracılığıyla Sunucu İleti Bloğu (SMB) üzerinden kimlik tabanlı yetkilendirmeyi destekler. İstemcinin depolama hesabındaki Azure Dosyalar kaynaklarına erişimi üzerinde ayrıntılı denetim için Azure RBAC kullanabilirsiniz. Etki alanı hizmetlerini kullanarak Azure Dosyalar kimlik doğrulaması hakkında daha fazla bilgi için bkz. SMB erişimi için Azure Dosyalar kimlik tabanlı kimlik doğrulama seçeneklerine genel bakış.
Şirket içi Active Directory Etki Alanı Hizmetleri (AD DS veya şirket içi AD DS) kimlik doğrulaması: Azure Dosyalar için geçerlidir. Azure Dosyalar AD DS aracılığıyla SMB üzerinden kimlik tabanlı yetkilendirmeyi destekler. AD DS ortamınız şirket içi makinelerde veya Azure VM'lerinde barındırılabilir. Dosyalara SMB erişimi, şirket içinde veya Azure'da etki alanına katılmış makinelerden AD DS kimlik bilgileri kullanılarak desteklenir. Paylaşım düzeyi erişim denetimi için Azure RBAC ve dizin/dosya düzeyi izin zorlaması için NTFS DACL'lerinin birleşimini kullanabilirsiniz. Etki alanı hizmetlerini kullanarak Azure Dosyalar kimlik doğrulaması hakkında daha fazla bilgi için genel bakışa bakın.
Anonim okuma erişimi: Blob kaynakları için geçerlidir. Bu seçenek önerilmez. Anonim erişim yapılandırıldığında, istemciler yetkilendirme olmadan blob verilerini okuyabilir. Tüm depolama hesaplarınız için anonim erişimi devre dışı bırakmanızı öneririz. Daha fazla bilgi için bkz . Genel Bakış: Blob verileri için anonim okuma erişimini düzeltme.
Depolama Yerel Kullanıcılar: SFTP içeren bloblar veya SMB içeren dosyalar için geçerlidir. Depolama Yerel Kullanıcılar yetkilendirme için kapsayıcı düzeyi izinlerini destekler. Depolama Yerel Kullanıcıların SFTP ile nasıl kullanılabildiği hakkında daha fazla bilgi için bkz. SSH Dosya Aktarım Protokolü(SFTP) kullanarak Azure Blob Depolama Bağlan.
Erişim anahtarlarınızı koruma
Depolama hesap erişim anahtarları hem depolama hesabının yapılandırmasına hem de verilere tam erişim sağlar. Erişim anahtarlarınızı korumak için her zaman dikkatli olun. Anahtarlarınızı güvenli bir şekilde yönetmek ve döndürmek için Azure Key Vault'ı kullanın. Paylaşılan anahtara erişim, kullanıcıya depolama hesabının yapılandırmasına ve verilerine tam erişim verir. Paylaşılan anahtarlara erişim dikkatle sınırlanmalı ve izlenmelidir. Microsoft Entra Id tabanlı yetkilendirmenin kullanılamadığı senaryolarda sınırlı erişim kapsamına sahip kullanıcı temsilcisi SAS belirteçleri kullanın. Erişim anahtarlarını sabit kodlamaktan veya başkalarının erişebileceği herhangi bir yerde düz metin olarak kaydetmekten kaçının. Ele geçirilmiş olabileceklerini düşünüyorsanız anahtarlarınızı döndürün.
Önemli
Kullanıcıların Paylaşılan Anahtar ile depolama hesabınızdaki verilere erişmesini önlemek için, depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin verilmiyebilirsiniz. En düşük ayrıcalıklara sahip verilere ayrıntılı erişim, en iyi güvenlik uygulaması olarak önerilir. OAuth'u destekleyen senaryolar için yönetilen kimlikleri kullanan Microsoft Entra Id tabanlı yetkilendirme kullanılmalıdır. SMB üzerinden Azure Dosyalar için Kerberos veya SMTP kullanılmalıdır. REST üzerinden Azure Dosyalar için SAS belirteçleri kullanılabilir. Yanlışlıkla kullanılmasını önlemek için gerekli değilse paylaşılan anahtar erişimi devre dışı bırakılmalıdır. Daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.
Azure Depolama hesabını Microsoft Entra Koşullu Erişim ilkeleriyle korumak için, depolama hesabı için Paylaşılan Anahtar yetkilendirmesine izin vermemelisiniz.
Paylaşılan anahtar erişimini devre dışı bırakmışsanız ve tanılama günlüklerinde Paylaşılan Anahtar yetkilendirmesinin bildirildiğini görüyorsanız, bu, depolama alanına erişmek için güvenilen erişimin kullanıldığını gösterir. Diğer ayrıntılar için bkz . Aboneliğinizde kayıtlı kaynaklar için güvenilir erişim.
Sonraki adımlar
- Blob, kuyruk veya tablo kaynaklarına Microsoft Entra Kimliği ile erişim yetkisi verin.
- Paylaşılan Anahtar ile yetkilendirme
- Paylaşılan erişim imzaları (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim izni verme