檢閱 Azure 儲存體安全性策略
系統管理員會使用不同的策略來確保資料安全。 常見的方法包括加密、驗證、授權,以及具有認證、檔案權限和私人簽章的使用者存取控制。 Azure 儲存體會根據常見策略提供一套安全性功能,以協助您保護資料的安全。
關於 Azure 儲存體安全性策略的須知事項
讓我們看看 Azure 儲存體安全性的一些特性。
加密。 所有寫入 Azure 儲存體的資料都會使用 Azure 儲存體加密來自動加密。
驗證。 Azure 儲存體支援 Microsoft Entra ID 和角色型存取控制 (RBAC),用於資源管理作業和資料作業。
- 將 Azure 儲存體帳戶範圍內的 RBAC 角色指派給安全性主體,並使用 Microsoft Entra ID 來授權資源管理作業,例如:金鑰管理。
- Azure Blob 儲存體和 Azure 佇列儲存體上的資料作業支援 Microsoft Entra 整合。
傳輸中的資料。 您可以透過用戶端加密、HTTP 或 SMB 3.0,在應用程式與 Azure 之間進行傳輸時保護資料的安全。
磁碟加密。 Azure 虛擬機器使用的作業系統磁碟和資料磁碟,可透過 Azure 磁碟加密來加密。
共用存取簽章。 Azure 儲存體中資料物件的委派存取權,可以使用共用存取簽章 (SAS) 來授與。
授權。 針對 Blob 儲存體、Azure 檔案儲存體、佇列儲存體或 Azure Cosmos DB (Azure 表格儲存體) 中受保護資源所做出的每一個要求,都必須獲得授權。 授權能確保您儲存體帳戶中的資源只能在您同意的情況下由他人存取,且只有您授與存取權的那些使用者或應用程式可以存取。
使用授權安全性時需要考量的事項
檢閱下列授權 Azure 儲存體要求的策略。 請思考哪些安全性策略適用於您的 Azure 儲存體。
| 授權策略 | 描述 |
|---|---|
| Microsoft Entra ID | Microsoft Entra ID 是 Microsoft 的雲端式身分識別與存取管理服務。 透過使用 Microsoft Entra ID,您可以使用角色型存取控制為使用者、群組或應用程式指派精細的存取權。 |
| 共用金鑰 | 共用金鑰授權仰賴您的 Azure 儲存體帳戶存取金鑰和其他參數,以產生加密的簽章字串。 字串會在授權標頭中的要求上傳遞。 |
| 共用存取簽章 | SAS 會委派您 Azure 儲存體帳戶中特定資源的存取權,委派時會一併指定權限和時間間隔。 |
| 針對容器和 Blob 的匿名存取 | 您可以選擇性地在容器或 Blob 層級公開 Blob 資源。 公用容器或 Blob 可供任何使用者以匿名讀取權限來加以存取。 針對公用容器和 Blob 的讀取要求並不需要授權。 |