Önceki

Sonraki

Azure Depolama için yetkilendirme seçenekleri

Tamamlandı

Şirketinizin hasta tanılama görüntüsü web uygulamasını geliştirmeden önce güvenli erişim için tüm seçenekleri anlamak istiyorsunuz. Paylaşılan erişim imzası (SAS) istemciler için kaynaklara erişim vermenin güvenli bir yoludur. Ancak erişim vermenin tek yolu bu değildir. Bazı durumlarda, diğer seçenekler kuruluşunuz için daha iyi seçenekler sunabilir.

Şirketiniz yanızca SAS kimlik doğrulama yönteminden fazlasını kullanabilir.

Bu ünitede, Azure Depolama'de depolanan dosyalara erişimin kimliğini doğrulamanın farklı yollarını inceleyebilirsiniz.

Azure Depolama’ya erişme

İstemciler Azure Depolama'de depolanan dosyalara HTTP/HTTPS üzerinden erişiyor. Azure, depolanan verilere erişmek için her istemci isteğinin yetkilendirmesini denetler. Blob depolamaya erişmek için dört seçenek vardır:

• Genel erişim
• Microsoft Entra ID
• Paylaşılan anahtar
• Paylaşılan erişim imzası (SAS)

Genel erişim

Genel erişim, kapsayıcılar ve bloblar için anonim genel okuma erişimi olarak da bilinir.

Genel erişimi etkileyen iki ayrı ayar vardır:

• Depolama Hesabı. AllowBlobPublicAccess özelliğini ayarlayarak depolama hesabını genel erişime izin verecek şekilde yapılandırın. True olarak ayarlandığında Blob verileri yalnızca kapsayıcının genel erişim ayarı da ayarlanmışsa genel erişim için kullanılabilir.

• Kapsayıcı. Anonim erişimi yalnızca depolama hesabı için anonim erişime izin verildiyse etkinleştirebilirsiniz. Kapsayıcının genel erişim için iki olası ayarı vardır: Bloblar için genel okuma erişimi veya kapsayıcı ve blobları için genel okuma erişimi. Anonim erişim, tek tek bloblar için değil kapsayıcı düzeyinde denetlenmektedir. Bu nedenle, bazı dosyaların güvenliğini sağlamak istiyorsanız, bunları genel okuma erişimine izin vermeyen ayrı bir kapsayıcıya yerleştirmeniz gerekir.

Anonim genel erişimi etkinleştirmek için hem depolama hesabı hem de kapsayıcı ayarları gereklidir. Bu yaklaşımın avantajları, dosyalarınıza erişmesi gereken istemcilerle anahtar paylaşmanız gerekmesidir. Ayrıca SAS’yi yönetmeniz de gerekmez.

Microsoft Entra ID

Kodunuzda hiçbir kimlik bilgisi depolamadan Azure Depolama güvenli bir şekilde erişmek için Microsoft Entra seçeneğini kullanın. AD yetkilendirmesi iki adımlı bir yaklaşım benimser. İlk olarak bir güvenlik sorumlusunun kimliğini doğrularsınız ve başarılı olursa bir OAuth 2.0 belirteci döndürür. Ardından istenen kaynak üzerinde yetkilendirmeyi etkinleştirmek için bu belirteç Azure Depolama’ya geçirilir.

Yönetilen kimliklerle bir uygulama çalıştırıyorsanız veya güvenlik sorumluları kullanıyorsanız bu kimlik doğrulama biçimini kullanın.

Paylaşılan anahtar

Azure Depolama, oluşturulan her depolama hesabı için iki tane 512 bitlik erişim anahtarı oluşturur. İstemcilere depolama hesabı üzerinde erişim vermek için bu anahtarları paylaşırsınız. Bu anahtarlar herkese depolamanız üzerinde kök erişimle eşdeğer bir erişim verir.

Depolama hesabınızı güvenli tutmak için anahtarları düzenli bir zamanlamaya göre döndürmek kolay olduğundan, depolama anahtarlarını Azure Key Vault ile yönetmenizi öneririz.

Paylaşılan erişim imzası

SAS, Azure Depolama dosyalarına salt okunur veya okuma-yazma erişimi, süre sonu gibi ayrıntılı erişim vermenizi sağlar. Bu süre sonunda SAS, istemcinin seçilen kaynaklara erişmesine artık izin vermez. Paylaşılan erişim imzası, depolama kaynağına izin veren bir anahtardır ve hesap anahtarıyla aynı şekilde korunmalıdır.

Azure Depolama üç tür paylaşılan erişim imzalarını destekler:

• Kullanıcı temsilcisi SAS: Yalnızca Blob depolama için kullanılabilir ve Microsoft Entra kimlik bilgileriyle güvenli hale getirilebilir.
• Hizmet SAS'sı: Hizmet SAS'sinin güvenliği depolama hesabı anahtarı kullanılarak sağlanır. Hizmet SAS'i dört Azure Depolama hizmetinden herhangi birinde bir kaynağa erişim yetkisi verir: Blob, Kuyruk, Tablo veya Dosya.
• Hesap SAS'sı: Hesap SAS'sinin güvenliği depolama hesabı anahtarıyla sağlanır. Hesap SAS'sinin denetimleri hizmet SAS'sı ile aynıdır, ancak Hizmet İstatistiklerini Alma gibi hizmet düzeyi işlemlere erişimi de denetleyebilir.

Başlangıç saati, süre sonu süresi ve izinler dahil olmak üzere denetlemeniz gereken tüm seçenekleri belirterek sas geçici oluşturabilirsiniz.

Bir hizmet SAS'i oluşturmayı planlıyorsanız, bunu bir depolanmış erişim ilkesiyle ilişkilendirme seçeneği de vardır. Depolanan erişim ilkesi en fazla beş etkin SAS ile ilişkilendirilebilir. Erişimi ve süre sonunu depolanan erişim ilkesi düzeyinde denetleyebilirsiniz. Bu yaklaşım, süre sonunu değiştirmek veya SAS'yi iptal etmek için ayrıntılı denetime sahip olmanız gerekiyorsa iyidir. Geçici SAS’yi iptal etmenin veya değiştirmenin tek yolu depolama hesabı anahtarlarını değiştirmektir.

Bilgilerinizi kontrol edin

1.

Kuruluşunuzun hasta randevu bilgilerini ve notlarını paylaşmak için bir iç sistemi var. Microsoft Entra grubundaki üyeliklerine bağlı olarak kullanıcının erişiminin güvenliğini sağlayabilirsiniz. Bu senaryoyu en iyi destekleyen yetkilendirme türü hangisidir ve neden?

Paylaşılan erişim imzası (SAS) belirteci kullanma. Microsoft Entra kimlik bilgilerini ve kullanıcı temsilcisi SAS belirtecini kullanırsınız.

Microsoft Entra Id kullanın. Microsoft Entra Id kullanarak uygulamanın kimliğini doğrulamak için bir hizmet sorumlusu oluşturabilirsiniz.

Paylaşılan bir anahtarı kullanma. Azure Depolama hesabı, uygulamanızda kullanılan anahtarları oluşturabilir ve iptal edebilir.

2.

Genel kullanıma yönelik statik web sitesi tüm genel UI görüntülerini bir blob depolamada tutuyor. Web sitesinin herhangi bir tür yetkilendirme olmadan grafikleri görüntülemesi gerekiyor. En iyi seçenek hangisidir?

Genel erişim

Paylaşılan anahtar

Paylaşılan erişim imzası

Çalışmanızı denetlemeden önce tüm soruları yanıtlamalısınız.

Devam et