Azure Active Directory kullanarak tablolara erişimi yetkilendirme (önizleme)

Azure Depolama, tablo verilerine Azure Active Directory yetkilendirmek için Azure Active Directory (Azure AD) kullanmayı destekler (önizleme). Azure AD ile kullanıcı, grup veya uygulama hizmet sorumlusu gibi bir güvenlik sorumlusuna izin vermek için Azure rol tabanlı erişim denetimi (Azure RBAC) kullanabilirsiniz. Güvenlik sorumlusu, Azure AD tarafından bir OAuth 2.0 belirteci iade etmek için doğrulanır. Belirteç daha sonra Tablo hizmetine yönelik bir isteği yetkilendirmek için kullanılabilir.

Azure AD ile Azure Depolama yetkilendirme, Paylaşılan Anahtar yetkilendirmesi üzerinden üstün güvenlik ve kullanım kolaylığı sağlar. Microsoft, gerekli en düşük ayrıcalıklarla erişimi güvence altında sağlamak için mümkün olduğunda tablo uygulamalarınız ile Azure AD yetkilendirmesi kullanılması önerilir.

Azure AD ile yetkilendirme tüm genel amaçlı bölgelerde ve ulusal bulutlarda kullanılabilir. Azure AD yetkilendirmesini yalnızca Azure Resource Manager modeliyle oluşturulan depolama hesapları destekler.

Önemli

Tablolar için Azure AD ile yetkilendirme şu anda ÖNIZLE'dedir. Beta veya önizleme aşamasında olan ya da başka bir şekilde henüz genel kullanıma sunulmamış olan Azure özelliklerinde geçerli olan yasal koşullar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Tablolar için Azure AD'ye genel bakış

Bir güvenlik sorumlusu (kullanıcı, grup veya uygulama) bir tablo kaynağına erişmeye çalışırsa, isteğin yetkilendirilmiş olması gerekir. Azure AD ile kaynağa erişim iki adımlı bir işlemdir. İlk olarak, güvenlik sorumlusu kimliğinin kimliği doğrulanır ve bir OAuth 2.0 belirteci döndürülür. Ardından, belirteç Tablo hizmetine yapılan bir isteğin parçası olarak geçiriliyor ve hizmet tarafından belirtilen kaynağa erişimi yetkilendirmek için kullanılıyor.

Kimlik doğrulama adımı, bir uygulamanın çalışma zamanında bir OAuth 2.0 erişim belirteci ister. Bir uygulama Azure VM, sanal makine ölçek kümesi veya Azure İşlevleri uygulaması gibi bir Azure varlığı içinde çalışıyorsa, tablolara erişmek için yönetilen kimlik kullanabilir. Yönetilen kimlik tarafından yapılan istekleri yetkilendirme hakkında bilgi edinmek için bkz. Azure kaynakları için yönetilen kimliklerle tablo verilerine erişimi yetkilendirme.

Yetkilendirme adımı, güvenlik sorumlusuna bir veya daha fazla Azure rolü atanmalarını gerektirir. Azure Depolama, tablo verileri için ortak izin kümelerini kapsayan Azure rolleri sağlar. Bir güvenlik sorumlusuna atanan roller, sorumluya sahip olacak izinleri belirler. Tablo erişimi için Azure rolleri atama hakkında daha fazla bilgi edinmek için bkz. Tablo verilerine erişim için Azure rolü atama.

Azure Tablo hizmetine istekte bulunduran yerel uygulamalar ve web uygulamaları da Azure AD ile erişim yetkisi verebilir. Erişim belirteci talep etmeyi ve istekleri yetkilendirmek için kullanmayı öğrenmek için bkz. Azure Depolama uygulamasından Azure AD ile Azure Depolama erişimi yetkilendirme.

Erişim hakları için Azure rolleri atama

Azure Active Directory (Azure AD), Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla güvenli kaynaklara erişim haklarını yetkilendir. Azure Depolama, tablo verilerine erişmek için kullanılan ortak izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar. Tablo verilerine erişim için özel roller de tanımlayabilirsiniz.

Azure AD güvenlik sorumlusuna bir Azure rolü atandığı zaman, Azure bu güvenlik sorumlusu için bu kaynaklara erişim izni sağlar. Azure AD güvenlik sorumlusu bir kullanıcı, grup, uygulama hizmet sorumlusu veya Azure kaynakları için yönetilen kimlik olabilir.

Kaynak kapsamı

Bir güvenlik sorumlusuna Azure RBAC rolü atamadan önce, güvenlik sorumlusuna sahip olması gereken erişim kapsamını belirleme. En iyi yöntemler, mümkün olan en dar kapsamın verilmesinin her zaman en iyisi olduğunu dikte ediyor. Daha geniş bir kapsamda tanımlanan Azure RBAC rolleri, altındaki kaynaklar tarafından devralınan rollerdir.

Azure tablo kaynaklarına erişimin kapsamını en dar kapsamdan başarak aşağıdaki düzeylerde kullanabilirsiniz:

  • Tek bir tablo. Bu kapsamda, rol ataması belirtilen tabloya uygulanır.
  • Depolama hesabı. Bu kapsamda rol ataması hesapta yer alan tüm tablolara uygulanır.
  • Kaynak grubu. Bu kapsamda rol ataması, kaynak grubunun tüm depolama hesaplarında yer alan tüm tablolara uygulanır.
  • Abonelik. Bu kapsamda rol ataması, abonelikte tüm kaynak gruplarında yer alan tüm depolama hesaplarında yer alan tüm tablolara uygulanır.
  • Bir yönetim grubu. Bu kapsamda rol ataması, yönetim grubunun tüm abonelikleri içinde yer alan tüm kaynak gruplarında yer alan tüm depolama hesaplarında yer alan tüm tablolara uygulanır.

Azure RBAC rol atamaları kapsamı hakkında daha fazla bilgi için bkz. Azure RBAC kapsamını anlama.

Tablolar için Azure yerleşik rolleri

Azure RBAC, Azure AD ve OAuth kullanarak tablo verilerine erişimi yetkilendirmek için yerleşik roller sağlar. Azure hizmetlerinde tablolara izinler sağlayan yerleşik roller Depolama içerir:

Bir güvenlik sorumlusuna Azure yerleşik rolü atama hakkında bilgi edinmek için bkz. Tablo verilerine erişim için Azure rolü atama. Azure RBAC rollerini ve izinlerini nasıl listeley listesi hakkında bilgi edinmek için bkz. Azure rol tanımlarını listele.

Azure Depolama için yerleşik rollerin nasıl tanımlandığı hakkında daha fazla bilgi için bkz. Rol tanımlarını anlama. Azure özel rolleri oluşturma hakkında bilgi için bkz. Azure özel rolleri.

Yalnızca veri erişimi için açıkça tanımlanan roller güvenlik sorumlusuna tablo verilerine erişim izni sağlar. Sahip, Katkıda Bulunan ve Depolama Hesabı Katkıda Bulunanı gibi yerleşik roller bir güvenlik sorumlusuna depolama hesabını yönetme izni sağlar, ancak Azure AD aracılığıyla bu hesap içindeki tablo verilerine erişim izni vermez. Ancak, bir rol Microsoft.Depolama/storageAccounts/listKeys/action içerirse, rolün atandığı bir kullanıcı, hesap erişim anahtarları ile Paylaşılan Anahtar yetkilendirmesi aracılığıyla depolama hesabı verilerine erişebilirsiniz.

Hem veri hizmetleri hem de yönetim hizmeti için Azure Depolama Azure yerleşik rolleri hakkında ayrıntılı bilgi için Azure RBAC için Azure yerleşik rolleri bölümündeki Depolama bölümüne bakın. Ayrıca, Azure'da izin sağlayan farklı rol türleri hakkında bilgi için bkz. Klasik abonelik yönetici rolleri, Azure rolleri ve Azure AD rolleri.

Önemli

Azure rol atamaların yayılması 30 dakika kadar sürebilir.

Veri işlemleri için erişim izinleri

Belirli Tablo hizmeti işlemlerini çağırmaya yönelik gereken izinler hakkında ayrıntılı bilgi için bkz. Veri işlemlerini çağırma izinleri.

Sonraki adımlar