Autorizace přístupu k datům ve službě Azure Storage
Pokaždé, když přistupujete k datům ve svém účtu úložiště, klientská aplikace odešle požadavek přes HTTP/HTTPS do Azure Storage. Ve výchozím nastavení je každý prostředek ve službě Azure Storage zabezpečený a každý požadavek na zabezpečený prostředek musí být autorizovaný. Autorizace zajišťuje, že klientská aplikace má příslušná oprávnění pro přístup k určitému prostředku ve vašem účtu úložiště.
Důležité
Pro zajištění optimálního zabezpečení microsoft doporučuje Microsoft Entra ID se spravovanými identitami autorizovat požadavky na data objektů blob, fronty a tabulek, kdykoli je to možné. Autorizace s ID Microsoft Entra a spravovanými identitami poskytuje vynikající zabezpečení a snadné použití prostřednictvím autorizace sdíleného klíče. Další informace o spravovaných identitách najdete v tématu Co jsou spravované identity pro prostředky Azure. Příklad povolení a použití spravované identity pro aplikaci .NET najdete v tématu Ověřování aplikací hostovaných v Azure v prostředcích Azure pomocí .NET.
Pro prostředky hostované mimo Azure, jako jsou místní aplikace, můžete použít spravované identity prostřednictvím služby Azure Arc. Aplikace spuštěné na serverech s podporou Azure Arc můžou například používat spravované identity pro připojení ke službám Azure. Další informace najdete v tématu Ověřování prostředků Azure pomocí serverů s podporou Azure Arc.
Ve scénářích, ve kterých se používají sdílené přístupové podpisy (SAS), microsoft doporučuje používat SAS delegování uživatele. Sas delegování uživatele je zabezpečený pomocí přihlašovacích údajů Microsoft Entra místo klíče účtu. Informace o sdílených přístupových podpisech najdete v tématu Udělení omezeného přístupu k datům pomocí sdílených přístupových podpisů. Příklad vytvoření a použití SAS delegování uživatele s .NET najdete v tématu Vytvoření SAS delegování uživatele pro objekt blob pomocí .NET.
Autorizace pro operace s daty
Následující část popisuje podporu autorizace a doporučení pro každou službu Azure Storage.
Následující tabulka obsahuje informace o podporovaných možnostech autorizace objektů blob:
Možnost autorizace | Pokyny | Doporučení |
---|---|---|
Microsoft Entra ID | Autorizace přístupu k datům Azure Storage pomocí Microsoft Entra ID | Microsoft doporučuje používat Microsoft Entra ID se spravovanými identitami k autorizaci požadavků na prostředky objektů blob. |
Sdílený klíč (klíč účtu úložiště) | Autorizace s využitím sdíleného klíče | Microsoft doporučuje zakázat autorizaci sdíleného klíče pro účty úložiště. |
Sdílený přístupový podpis (SAS) | Použití sdílených přístupových podpisů (SAS) | Pokud je potřeba autorizace SAS, Microsoft doporučuje používat SAS delegování uživatele pro omezený delegovaný přístup k prostředkům objektů blob. |
Anonymní přístup pro čtení | Přehled: Náprava anonymního přístupu pro čtení pro data objektů blob | Microsoft doporučuje zakázat anonymní přístup pro všechny účty úložiště. |
Místní uživatelé úložiště | Podporováno pouze pro SFTP. Další informace najdete v tématu Autorizace přístupu ke službě Blob Storage pro klienta SFTP. | Možnosti najdete v doprovodných materiálech. |
Následující část stručně popisuje možnosti autorizace pro Azure Storage:
Autorizace sdíleného klíče: Platí pro objekty blob, soubory, fronty a tabulky. Klient používající sdílený klíč předá hlavičku s každou požadavkem, který je podepsaný pomocí přístupového klíče účtu úložiště. Další informace najdete v tématu Autorizace se sdíleným klíčem.
Přístupový klíč účtu úložiště by se měl používat s opatrností. Každý, kdo má přístupový klíč, může autorizovat požadavky na účet úložiště a efektivně má přístup ke všem datům. Microsoft doporučuje zakázat autorizaci sdíleného klíče pro váš účet úložiště. Pokud je autorizace sdíleného klíče zakázaná, klienti musí k autorizaci požadavků na data v daném účtu úložiště použít ID Microsoft Entra nebo SAS delegování uživatele. Další informace najdete v tématu Zabránění autorizaci sdíleného klíče pro účet Azure Storage.
Sdílené přístupové podpisy pro objekty blob, soubory, fronty a tabulky. Sdílené přístupové podpisy (SAS) poskytují omezený delegovaný přístup k prostředkům v účtu úložiště prostřednictvím podepsané adresy URL. Podepsaná adresa URL určuje oprávnění udělená prostředku a interval platnosti podpisu. SAS služby nebo SAS účtu je podepsaný pomocí klíče účtu, zatímco SAS delegování uživatele je podepsaný pomocí přihlašovacích údajů Microsoft Entra a vztahuje se pouze na objekty blob. Další informace naleznete v tématu Použití sdílených přístupových podpisů (SAS).
Integrace Microsoft Entra: Platí pro prostředky objektů blob, front a tabulek. Microsoft doporučuje používat přihlašovací údaje Microsoft Entra se spravovanými identitami k autorizaci požadavků na data, pokud je to možné pro optimální zabezpečení a snadné použití. Další informace o integraci Microsoft Entra najdete v článcích o prostředcích objektů blob, front nebo tabulek .
Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete spravovat oprávnění objektu zabezpečení k prostředkům objektů blob, front a tabulek v účtu úložiště. K přidání podmínek do přiřazení rolí Azure pro prostředky objektů blob můžete také použít řízení přístupu na základě atributů Azure (ABAC).
Další informace o RBAC najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC)?
Další informace o ABAC najdete v tématu Co je řízení přístupu na základě atributů Azure (Azure ABAC)? Informace o stavu funkcí ABAC najdete v tématu Stav funkcí podmínky ABAC ve službě Azure Storage.
Ověřování služby Microsoft Entra Domain Services: Platí pro službu Azure Files. Služba Azure Files podporuje autorizaci založenou na identitě přes protokol SMB (Server Message Block) prostřednictvím služby Microsoft Entra Domain Services. Azure RBAC můžete použít k podrobné kontrole přístupu klienta k prostředkům Azure Files v účtu úložiště. Další informace o ověřování službou Azure Files pomocí doménových služeb najdete v tématu Přehled možností ověřování na základě identity služby Azure Files pro přístup k protokolu SMB.
Místní ověřování Doména služby Active Directory Services (AD DS nebo místní služba AD DS): Platí pro službu Azure Files. Služba Azure Files podporuje autorizaci založenou na identitě přes protokol SMB prostřednictvím služby AD DS. Vaše prostředí SLUŽBY AD DS je možné hostovat v místních počítačích nebo ve virtuálních počítačích Azure. Přístup smb k souborům se podporuje pomocí přihlašovacích údajů služby AD DS z počítačů připojených k doméně, ať už místně, nebo v Azure. Pro řízení přístupu na úrovni sdílené složky a seznamy DACLS ntfs můžete použít kombinaci Azure RBAC pro vynucení oprávnění na úrovni adresáře nebo souboru. Další informace o ověřování azure Files pomocí doménových služeb najdete v přehledu.
Anonymní přístup pro čtení: Platí pro prostředky objektů blob. Tato možnost se nedoporučuje. Když je nakonfigurovaný anonymní přístup, můžou klienti číst data objektů blob bez autorizace. Doporučujeme zakázat anonymní přístup pro všechny účty úložiště. Další informace najdete v tématu Přehled: Náprava anonymního přístupu pro čtení pro data objektů blob.
Místní uživatelé úložiště: Platí pro objekty blob s protokolem SFTP nebo soubory s protokolem SMB. Místní uživatelé úložiště podporují oprávnění na úrovni kontejneru pro autorizaci. Další informace o použití protokolu SFTP (Storage Local Users) najdete v tématu Připojení ke službě Azure Blob Storage pomocí protokolu SFTP (File Transfer Protocol).
Ochrana přístupových klíčů
Přístupové klíče účtu úložiště poskytují úplný přístup k datům účtu úložiště a možnost generovat tokeny SAS. Vždy buďte opatrní při ochraně přístupových klíčů. Pomocí služby Azure Key Vault můžete klíče bezpečně spravovat a otáčet. Přístup ke sdílenému klíči uděluje uživateli úplný přístup k datům účtu úložiště. Přístup ke sdíleným klíčům by měl být pečlivě omezený a monitorovaný. Použití tokenů SAS delegování uživatele s omezeným oborem přístupu ve scénářích, kdy se autorizace založená na Microsoft Entra ID nedá použít. Vyhněte se pevně kódovacím přístupovým klíčům nebo je uložte kdekoli ve formátu prostého textu, který je přístupný ostatním uživatelům. Pokud se domníváte, že by mohly být ohroženy, obměňte klíče.
Důležité
Pokud chcete uživatelům zabránit v přístupu k datům ve vašem účtu úložiště pomocí sdíleného klíče, můžete zakázat autorizaci sdíleného klíče pro účet úložiště. Podrobný přístup k datům s minimálními potřebnými oprávněními se doporučuje jako osvědčený postup zabezpečení. Pro scénáře, které podporují OAuth, by se měla použít autorizace založená na ID Microsoftu s využitím spravovaných identit. Protokol Kerberos nebo SMTP by se měly používat pro službu Azure Files přes protokol SMB. Pro Službu Azure Files přes REST je možné použít tokeny SAS. Přístup ke sdílenému klíči by měl být zakázán, pokud není vyžadován, aby se zabránilo jeho neúmyslným použití. Další informace najdete v tématu Zabránění autorizaci sdíleného klíče pro účet Azure Storage.
Pokud chcete chránit účet azure Storage pomocí zásad podmíněného přístupu Microsoft Entra, musíte zakázat autorizaci sdíleného klíče pro účet úložiště.
Pokud jste zakázali přístup ke sdíleným klíčům a v diagnostických protokolech se zobrazuje autorizace sdíleného klíče, znamená to, že se pro přístup k úložišti používá důvěryhodný přístup. Další podrobnosti najdete v tématu Důvěryhodný přístup k prostředkům registrovaným v tenantovi Microsoft Entra.
Další kroky
- Autorizace přístupu pomocí Id Microsoft Entra pro prostředky objektů blob, fronty nebo tabulek
- Autorizace s využitím sdíleného klíče
- Udělení omezeného přístupu k prostředkům Azure Storage pomocí sdílených přístupových podpisů