Yönetim kaynaklarına erişmek için Azure Depolama kaynak sağlayıcısını kullanma
Azure Resource Manager, Azure için dağıtım ve yönetim hizmetidir. Azure Depolama kaynak sağlayıcısı, Azure Resource Manager'ı temel alan ve Azure Depolama için yönetim kaynaklarına erişim sağlayan bir hizmettir. Depolama hesapları, özel uç noktalar ve hesap erişim anahtarları gibi kaynakları oluşturmak, güncelleştirmek, yönetmek ve silmek için Azure Depolama kaynak sağlayıcısını kullanabilirsiniz. Azure Resource Manager hakkında daha fazla bilgi için bkz . Azure Resource Manager'a genel bakış.
Depolama hesabı oluşturma veya silme ya da abonelikteki depolama hesaplarının listesini alma gibi eylemleri gerçekleştirmek için Azure Depolama kaynak sağlayıcısını kullanabilirsiniz. Azure Depolama kaynak sağlayıcısına yönelik istekleri yetkilendirmek için Microsoft Entra Id kullanın. Bu makalede, yönetim kaynaklarına izinlerin nasıl atandığı açıklanır ve Azure Depolama kaynak sağlayıcısına yönelik istekte bulunmayı gösteren örneklere işaret eder.
Yönetim kaynakları ile veri kaynakları karşılaştırması
Microsoft, Azure Depolama kaynaklarıyla çalışmak için iki REST API sağlar. Bu API'ler, Azure Depolama karşı gerçekleştirebileceğiniz tüm eylemlerin temelini oluşturur. Azure Depolama REST API'si blob, kuyruk, dosya ve tablo verileri gibi depolama hesabınızdaki verilerle çalışmanızı sağlar. Azure Depolama kaynak sağlayıcısı REST API'si, depolama hesabı ve ilgili kaynaklarla çalışmanızı sağlar.
Blob verilerini okuyan veya yazan bir istek, yönetim işlemi gerçekleştiren bir istekten farklı izinler gerektirir. Azure RBAC, her iki kaynak türüne yönelik izinler üzerinde ayrıntılı denetim sağlar. Güvenlik sorumlusuna bir Azure rolü atadığınızda, bu sorumluya hangi izinlerin verileceğini anladığınızdan emin olun. Her bir Azure yerleşik rolüyle ilişkili eylemleri açıklayan ayrıntılı bir başvuru için bkz . Azure yerleşik rolleri.
Azure Depolama, Blob ve Kuyruk depolamada istekleri yetkilendirmek için Microsoft Entra Id kullanılmasını destekler. Blob ve kuyruk verileri işlemleri için Azure rolleri hakkında bilgi için bkz . Active Directory kullanarak bloblara ve kuyruklara erişimi yetkilendirme.
Azure rol tabanlı erişim denetimi (Azure RBAC) ile yönetim izinleri atama
Her Azure aboneliğinde kullanıcıları, grupları ve uygulamaları yöneten ilişkili bir Microsoft Entra Kimliği vardır. Kullanıcı, grup veya uygulama, Microsoft kimlik platformu bağlamında güvenlik sorumlusu olarak da adlandırılır. Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak Active Directory'de tanımlanan bir güvenlik sorumlusuna abonelikteki kaynaklara erişim vekleyebilirsiniz.
Azure rolünü bir güvenlik sorumlusuna atadığınızda, rol tarafından verilen izinlerin geçerli olduğu kapsamı da belirtirsiniz. Yönetim işlemleri için abonelik, kaynak grubu veya depolama hesabı düzeyinde bir rol atayabilirsiniz. Azure portalı, Klasik Azure CLI, PowerShell veya Azure Depolama kaynak sağlayıcısı REST API'sini kullanarak güvenlik sorumlusuna Azure rolü atayabilirsiniz.
Daha fazla bilgi için bkz . Azure rol tabanlı erişim denetimi (Azure RBAC) nedir? ve Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri.
Yönetim işlemleri için yerleşik roller
Azure, çağrı yönetimi işlemleri için izinler veren yerleşik roller sağlar. Azure Depolama, Azure Depolama kaynak sağlayıcısıyla kullanılmak üzere özel olarak yerleşik roller de sağlar.
Depolama yönetimi işlemlerini çağırma izinleri veren yerleşik roller aşağıdaki tabloda açıklanan rolleri içerir:
| Azure rolü | Tanım | Hesap anahtarlarına erişim dahil mi? |
|---|---|---|
| Sahibi | Tüm depolama kaynaklarını yönetebilir ve kaynaklara erişebilir. | Evet, depolama hesabı anahtarlarını görüntüleme ve yeniden oluşturma izinleri sağlar. |
| Katkıda Bulunan | Tüm depolama kaynaklarını yönetebilir, ancak kaynaklara erişimi yönetemez. | Evet, depolama hesabı anahtarlarını görüntüleme ve yeniden oluşturma izinleri sağlar. |
| Okuyucu | Depolama hesabıyla ilgili bilgileri görüntüleyebilir, ancak hesap anahtarlarını görüntüleyemez. | Hayır. |
| Depolama Hesabı Katılımcısı | Depolama hesabını yönetebilir, aboneliğin kaynak grupları ve kaynakları hakkında bilgi alabilir ve abonelik kaynak grubu dağıtımlarını oluşturup yönetebilir. | Evet, depolama hesabı anahtarlarını görüntüleme ve yeniden oluşturma izinleri sağlar. |
| Kullanıcı Erişimi Yöneticisi | Depolama hesabına erişimi yönetebilir. | Evet, bir güvenlik sorumlusuna kendilerine ve başkalarına herhangi bir izin atama izni verir. |
| Sanal Makine Katılımcısı | Sanal makineleri yönetebilir, ancak bağlı oldukları depolama hesabını yönetemez. | Evet, depolama hesabı anahtarlarını görüntüleme ve yeniden oluşturma izinleri sağlar. |
Tablodaki üçüncü sütun, yerleşik rolün Microsoft.Depolama'yi destekleyip desteklemediğini gösterir/storageAccounts/listkeys/action. Bu eylem, depolama hesabı anahtarlarını okuma ve yeniden oluşturma izinleri verir. Azure Depolama yönetim kaynaklarına erişim izinleri, verilere erişim izinlerini de içermez. Ancak, bir kullanıcının hesap anahtarlarına erişimi varsa, Paylaşılan Anahtar yetkilendirmesi aracılığıyla Azure Depolama verilerine erişmek için hesap anahtarlarını kullanabilir.
Yönetim işlemleri için özel roller
Azure, yönetim kaynaklarına erişim için Azure özel rollerinin tanımlanmasını da destekler. Özel roller hakkında daha fazla bilgi için bkz . Azure özel rolleri.
Kod örnekleri
Azure Depolama yönetim kitaplıklarından yönetim işlemlerini yetkilendirmeyi ve çağırmayı gösteren kod örnekleri için aşağıdaki örneklere bakın:
Azure Resource Manager ile klasik dağıtımlar karşılaştırması
Resource Manager ve klasik dağıtım modelleri, Azure çözümlerinizi dağıtmanın ve yönetmenin iki farklı yolunu temsil eder. Microsoft, yeni bir depolama hesabı oluştururken Azure Resource Manager dağıtım modelini kullanmanızı önerir. Mümkünse, Microsoft mevcut klasik depolama hesaplarını Resource Manager modeliyle yeniden oluşturmanızı da önerir. Klasik dağıtım modelini kullanarak bir depolama hesabı oluşturabilirsiniz ancak klasik model daha az esnektir ve sonunda kullanımdan kaldırılacaktır.
Azure dağıtım modelleri hakkında daha fazla bilgi için bkz . Resource Manager ve klasik dağıtım.