授權 Azure 儲存體的要求

針對 Blob、檔案、佇列或資料表服務中受保護資源所做出的每一個要求,都必須獲得授權。 授權能確保您儲存體帳戶中的資源只能在您同意的情況下由他人存取,且只有您授與存取權的那些使用者或應用程式可以存取。

下表描述 Azure 儲存體提供的選項,以授權存取資源:

Azure 成品 共用金鑰 (儲存體帳戶金鑰) 共用存取簽章 (SAS) Azure Active Directory (Azure AD) 內部部署 Active Directory Domain Services 匿名公用讀取權限
Azure Blob 支援 支援 支援 不支援 支援
Azure 檔案儲存體 (SMB) 支援 不支援 僅支援 AAD 網域服務 支援,認證必須同步至 Azure AD 不支援
Azure 檔案儲存體 (REST) 支援 支援 不支援 不支援 不支援
Azure 佇列 支援 支援 支援 不支援 不支援
Azure 資料表 支援 支援 支援 不支援 不支援

以下是每個授權選項的簡短說明:

  • Azure Active Directory (Azure AD) : Azure AD是 Microsoft 的雲端式身分識別和存取管理服務。 Azure AD 整合適用于 Blob、佇列和表格服務。 透過使用 Azure AD,您可以使用角色型存取控制 (RBAC) 為使用者、群組或應用程式指派細微的存取權。 如需 Azure AD 與 Azure 儲存體整合的詳細資訊,請參閱使用 Azure Active Directory 授權

  • Azure Active Directory 網域服務 (Azure 檔案儲存體的 Azure AD DS) 授權。 Azure 檔案儲存體透過 Azure AD DS,透過伺服器訊息區( (SMB) )支援以身分識別為基礎的授權。 您可以使用 RBAC 來精確控制用戶端對儲存體帳戶中 Azure 檔案儲存體資源的存取權。 如需有關使用網域服務進行 Azure 檔案儲存體驗證的詳細資訊,請參閱 Azure 檔案儲存體身分識別型授權

  • Active Directory (AD) Azure 檔案儲存體的授權。 Azure 檔案儲存體透過 AD 支援透過 SMB 進行以身分識別為基礎的授權。 您的 AD 網域服務可以裝載在內部部署機器或 Azure Vm 中。 使用已加入網域的電腦(內部部署或 Azure 中的 AD 認證)來支援對檔案的 SMB 存取。 您可以使用 RBAC 進行共用層級的存取控制,以及使用 NTFS Dacl 進行目錄和檔案層級許可權的強制執行。 如需有關使用網域服務進行 Azure 檔案儲存體驗證的詳細資訊,請參閱 Azure 檔案儲存體身分識別型授權

  • 共用金鑰: 共用金鑰授權依賴您的帳戶存取金鑰和其他參數,以產生在 授權 標頭中傳遞給要求的加密簽章字串。 如需共用金鑰授權的詳細資訊,請參閱 使用共用金鑰授權

  • 共用存取 簽章:共用存取簽章 (SAS) 使用指定的許可權以及指定的時間間隔,將存取權委派給您帳戶中的特定資源。 如需 SAS 的詳細資訊,請參閱 使用共用存取簽章來委派存取權

  • 對容器和 blob 的匿名存取: 您可以選擇性地讓 blob 資源在容器或 blob 層級公開。 公用容器或 Blob 可供任何使用者以匿名讀取權限來加以存取。 針對公用容器和 Blob 的讀取要求並不需要授權。 如需詳細資訊,請參閱 啟用 Azure Blob 儲存體中容器和 blob 的公用讀取權限

提示

使用 Azure AD 來驗證和授權 blob、佇列和資料表資料的存取權,可提供優於其他授權選項的高安全性和易用性。 例如,藉由使用 Azure AD,您不需要將帳戶存取金鑰與您的程式碼一起儲存,就像使用共用金鑰授權一樣。 雖然您可以繼續使用共用金鑰授權搭配您的 blob 和佇列應用程式,但 Microsoft 建議盡可能移至 Azure AD。

同樣地,您可以繼續使用共用存取簽章 (SAS) 將細部存取權授與儲存體帳戶中的資源,但 Azure AD 提供類似功能,卻不必管理 SAS 權杖或擔心需要撤銷遭盜用的 SAS。

如需 Azure 儲存體中 Azure AD 整合的詳細資訊,請參閱使用 Azure Active Directory 授權存取 Azure blob 和佇列