Azure Depolama verilerine erişim yetkisi verme
depolama hesabınızdaki verilere her eriştiğinizde, istemci uygulamanız HTTP/HTTPS üzerinden Azure Depolama bir istek yapar. varsayılan olarak, Azure Depolama 'daki her kaynak güvenlidir ve güvenli bir kaynağa yönelik her istek yetkilendirilmelidir. Yetkilendirme, istemci uygulamasının Depolama hesabınızdaki verilere erişmek için uygun izinlere sahip olmasını sağlar.
aşağıdaki tabloda, Azure Depolama veri erişimini yetkilendirmek için sunduğu seçenekler açıklanmaktadır:
| Azure yapıtı | Paylaşılan anahtar (depolama hesabı anahtarı) | Paylaşılan erişim imzası (SAS) | Azure Active Directory (Azure AD) | Şirket içi Active Directory Domain Services | Anonim genel okuma erişimi |
|---|---|---|---|---|---|
| Azure Blobları | Destekleniyor | Destek | Desteklenir | Desteklenmez | Desteklenir |
| Azure dosyaları (SMB) | Desteklenir | Desteklenmez | yalnızca AAD etki alanı hizmetleri ile desteklenir | Desteklenir, kimlik bilgilerinin Azure AD ile eşitlenmesi gerekir | Desteklenmez |
| Azure dosyaları (REST) | Destekleniyor | Desteklenir | Desteklenmez | Desteklenmez | Desteklenmez |
| Azure Kuyrukları | Desteklenir | Destek | Destek | Desteklenmiyor | Desteklenmez |
| Azure Tabloları | Desteklenir | Desteklenir | Desteklenir (Önizleme) | Desteklenmez | Desteklenmez |
Her yetkilendirme seçeneği kısaca aşağıda açıklanmıştır:
istekleri blob, kuyruk ve tablo kaynaklarına yetkilendirmek için Azure Active Directory (Azure AD) tümleştirmesi . Microsoft, en iyi güvenlik ve kullanım kolaylığı için mümkün olduğunda istekleri verilere yetkilendirmek için Azure AD kimlik bilgilerini kullanmanızı önerir. Azure AD tümleştirmesi hakkında daha fazla bilgi için BLOB, kuyrukveya tablo kaynakları makalelerine bakın.
Güvenlik sorumlusunun bir depolama hesabındaki blob, kuyruk ve tablo kaynaklarıyla olan izinlerini yönetmek için Azure rol tabanlı erişim denetimi 'ni (Azure RBAC) kullanabilirsiniz. Ayrıca, blob kaynakları için Azure rol atamalarına koşullar eklemek üzere Azure öznitelik tabanlı erişim denetimi 'ni (ATZLAR) kullanabilirsiniz. RBAC hakkında daha fazla bilgi için bkz. Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?. ATZB hakkında daha fazla bilgi için bkz. Azure öznitelik tabanlı erişim denetimi (Azure atzı) nedir? (Önizleme).
azure dosyaları için Azure Active Directory etki alanı hizmetleri (Azure AD DS) kimlik doğrulaması . Azure dosyaları, Azure AD DS aracılığıyla sunucu Ileti bloğu (SMB) üzerinden kimlik tabanlı yetkilendirmeyi destekler. Bir depolama hesabındaki Azure dosyaları kaynaklarına erişim için Azure RBAC 'yi ayrıntılı denetim için kullanabilirsiniz. Etki alanı Hizmetleri 'ni kullanarak Azure dosyaları kimlik doğrulaması hakkında daha fazla bilgi için bkz. genel bakış.
Azure dosyaları için şirket içi Active Directory Domain Services (AD DS veya şirket içi AD DS) kimlik doğrulaması . Azure dosyaları, AD DS aracılığıyla SMB üzerinden kimlik tabanlı yetkilendirmeyi destekler. AD DS ortamınız, şirket içi makinelerde veya Azure VM 'lerinde barındırılabilir. Dosyalara SMB erişimi, şirket içinde ya da Azure 'da etki alanına katılmış makinelerden AD DS kimlik bilgileri kullanılarak desteklenir. Dizin/dosya düzeyi izin zorlaması için Azure RBAC 'nin bir birleşimini, Share düzeyinde erişim denetimi ve NTFS DACL 'Leri için kullanabilirsiniz. Etki alanı Hizmetleri 'ni kullanarak Azure dosyaları kimlik doğrulaması hakkında daha fazla bilgi için bkz. genel bakış.
Bloblar, dosyalar, kuyruklar ve tablolar için paylaşılan anahtar yetkilendirmesi . Paylaşılan anahtar kullanan bir istemci, depolama hesabı erişim anahtarı kullanılarak imzalanan her isteği içeren bir üst bilgi geçirir. Daha fazla bilgi için bkz. paylaşılan anahtarla yetkilendirme.
Bir depolama hesabı için paylaşılan anahtar yetkilendirmesine izin verebilirsiniz. Paylaşılan anahtar yetkilendirmesi devre dışı bırakıldığında, istemcilerin bu depolama hesabındaki veriler için istekleri yetkilendirmek üzere Azure AD kullanması gerekir. daha fazla bilgi için bkz. Azure Depolama hesabının paylaşılan anahtar yetkilendirmesini engelleme.
Bloblar, dosyalar, kuyruklar ve tablolar için paylaşılan erişim imzaları . Paylaşılan erişim imzaları (SAS), bir depolama hesabındaki kaynaklara sınırlı temsilci erişimi sağlar. İmzanın geçerli olduğu zaman aralığına veya izin verdiği izinlere yönelik kısıtlamalar, erişimi yönetme konusunda esneklik sağlar. Daha fazla bilgi için bkz. paylaşılan erişim Imzalarını kullanma (SAS).
Kapsayıcılar ve BLOB 'lar için anonim genel okuma erişimi . Anonim erişim yapılandırıldığında istemciler, yetkilendirme olmadan blob verilerini okuyabilir. Daha fazla bilgi için bkz. Kapsayıcılara ve bloblara anonim okuma erişimini yönetme.
Bir depolama hesabı için anonim genel okuma erişimine izin verebilirsiniz. Anonim genel okuma erişimine izin verilmezse kullanıcılar, anonim erişimi etkinleştirmek için kapsayıcıları yapılandıramaz ve tüm isteklere yetki verilmelidir. Daha fazla bilgi için bkz. kapsayıcılar ve bloblara anonim genel okuma erişimini engelleme.
Sonraki adımlar
- Azure Active Directory blob, kuyrukveya tablo kaynaklarına erişim yetkisi verin.
- Paylaşılan Anahtar ile yetkilendirme
- paylaşılan erişim imzalarını (SAS) kullanarak Azure Depolama kaynaklarına sınırlı erişim verme