授權存取資料Azure 儲存體

每次您存取儲存空間帳戶中的資料時,用戶端應用程式會要求您使用 HTTP/HTTPS Azure 儲存體。 根據預設,Azure 儲存體中每個資源都是安全的,且每個安全資源要求都必須經過授權。 授權可確保用戶端應用程式具有存取儲存帳戶中資料的適當許可權。

下表說明您Azure 儲存體存取資料時提供的選項:

Azure 專案 共用金鑰 (儲存空間帳戶金鑰) 共用存取簽名 (SAS) Azure Active Directory (Azure AD) 內部部署 Active Directory 網域服務 匿名公開讀取存取
Azure Blob 支援 支援 支援 不支援 支援
Azure 檔案 (SMB) 支援 不支援 僅支援網域服務AAD支援 支援的認證必須同步到Azure AD 不支援
Azure 檔案 (REST) 支援 支援 不支援 不支援 不支援
Azure 佇列 支援 支援 支援 不支援 不支援
Azure 資料表 支援 支援 支援 ( 預覽) 不支援 不支援

以下簡短說明每個授權選項:

  • Azure Active Directory (Azure AD) 將要求授權至 Blob、佇列和資料表資源。 Microsoft 建議使用Azure AD認證,盡可能授權資料要求,以獲得最佳安全性和使用便利性。 有關整合Azure AD,請參閱 Blob、佇列或資料表資源文章

    您可以使用 Azure 角色型存取控制 (Azure RBAC) 管理安全主體對儲存帳戶中 Blob、佇列和資料表資源的許可權。 此外,您可以在 ABAC (Azure 屬性型存取控制) 為 Blob 資源的 Azure 角色指派新增條件。 有關 RBAC 的資訊,請參閱 Azure RBAC (Azure 角色型存取控制) ? 。 有關 ABAC 的詳細資訊,請參閱 Azure ABAC (Azure 屬性型存取控制 ) ? (預覽 ) 。

  • Azure Active Directory網域服務 (Azure AD DS) Azure 檔案的驗證。 Azure 檔案支援透過 DS 的 SMB (郵件封鎖) 身分Azure AD授權。 您可以使用 Azure RBAC,以精細控制用戶端存取儲存帳戶中的 Azure 檔案資源。 有關使用網域服務進行 Azure 檔案驗證詳細資訊,請參閱 概觀

  • 內部部署 Active Directory Domain Services (AD DS 或內部部署 AD DS) Azure 檔案的驗證。 Azure 檔案支援透過 AD DS 對 SMB 進行身分識別式授權。 您的 AD DS 環境可以託管在內部部署電腦或 Azure VM 中。 從內部部署或 Azure 中加入網域的電腦使用 AD DS 認證,支援 SMB 存取檔案。 您可以使用 Azure RBAC 的組合進行共用層級存取控制,並使用 NTFS DLL 進行目錄/檔案層級許可權強制執行。 有關使用網域服務進行 Azure 檔案驗證詳細資訊,請參閱 概觀

  • Blob、 檔案、佇列和表格的共用金鑰授權。 使用共用金鑰的用戶端會傳遞包含使用儲存帳戶存取鍵簽署之每一個要求的標題。 詳細資訊,請參閱使用 共用金鑰授權

    您可以禁止儲存帳戶的共用金鑰授權。 不允許共用金鑰授權時,用戶端必須使用 Azure AD來授權該儲存帳戶中的資料要求。 詳細資訊,請參閱防止帳戶的共用金鑰Azure 儲存體授權

  • Blob、 檔案、佇列和表格的共用存取簽名。 共用存取簽名 (SAS) 提供儲存帳戶中資源的有限委派存取權。 在簽章有效的時間間隔或簽章所授予的許可權上新增限制,提供管理存取的彈性。 詳細資訊,請參閱 使用共用存取 簽名 (SAS) 。

  • 容器和 Blob 的 匿名公開讀取存取。 當已配置匿名存取時,用戶端可以讀取 Blob 資料,而不需要授權。 若要取得詳細資訊,請參閱 管理容器和Blob 的匿名讀取存取。

    您可以禁止儲存帳戶的匿名公開讀取存取權。 當不允許匿名公用讀取存取時,使用者就無法設定容器以啟用匿名存取,而且所有要求都必須經過授權。 若要取得詳細資訊,請參閱防止容器和 Blob 的 匿名公開讀取存取

下一個步驟