Volba způsobu autorizace přístupu k datům fronty pomocí Azure CLI

  • Článek

Azure Storage poskytuje rozšíření pro Azure CLI, která umožňují určit, jak chcete autorizovat operace s daty fronty. Operace s daty můžete autorizovat následujícími způsoby:

  • S objektem zabezpečení Microsoft Entra. Microsoft doporučuje používat přihlašovací údaje Microsoft Entra pro zajištění vyššího zabezpečení a snadného použití.
  • S přístupovým klíčem účtu nebo tokenem sdíleného přístupového podpisu (SAS).

Určení způsobu autorizace datových operací

Příkazy Azure CLI pro čtení a zápis dat fronty zahrnují volitelný --auth-mode parametr. Zadáním tohoto parametru určete, jak má být datová operace autorizovaná:

  • --auth-mode Nastavte parametr pro login přihlášení pomocí objektu zabezpečení Microsoft Entra (doporučeno).
  • --auth-mode Nastavte parametr na starší key hodnotu a pokuste se načíst přístupový klíč účtu, který se má použít k autorizaci. Pokud parametr vynecháte --auth-mode , azure CLI se také pokusí načíst přístupový klíč.

Pokud chcete použít --auth-mode parametr, ujistěte se, že jste nainstalovali Azure CLI verze 2.0.46 nebo novější. Spusťte kontrolu az --version nainstalované verze.

Poznámka:

Pokud je účet úložiště uzamčený zámkem Jen pro čtení Azure Resource Manageru, operace Výpis klíčů není pro tento účet úložiště povolená. Seznam klíčů je operace POST a všechny operace POST jsou znemožněné, pokud je pro účet nakonfigurovaný zámek Jen pro čtení . Z tohoto důvodu, když je účet uzamčen pomocí zámku ReadOnly , uživatelé, kteří ještě nemají klíče účtu, musí pro přístup k datům fronty používat přihlašovací údaje Microsoft Entra.

Důležité

Pokud parametr vynecháte --auth-mode nebo ho nastavíte key, azure CLI se pokusí pro autorizaci použít přístupový klíč účtu. V tomto případě Microsoft doporučuje zadat přístupový klíč buď v příkazu, nebo v AZURE_STORAGE_KEY proměnné prostředí. Další informace oproměnných

Pokud přístupový klíč nezadáte, azure CLI se pokusí volat poskytovatele prostředků Azure Storage, aby ho načetl pro každou operaci. Provádění mnoha datových operací, které vyžadují volání poskytovatele prostředků, může vést k omezování. Další informace o omezeních poskytovatele prostředků najdete v tématu Škálovatelnost a výkonnostní cíle pro poskytovatele prostředků Azure Storage.

Autorizace pomocí přihlašovacích údajů Microsoft Entra

Když se přihlásíte k Azure CLI pomocí přihlašovacích údajů Microsoft Entra, vrátí se přístupový token OAuth 2.0. Azure CLI tento token automaticky používá k autorizaci následných datových operací ve službě Queue Storage. V případě podporovaných operací už s příkazem nemusíte předávat klíč účtu nebo token SAS.

Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete přiřadit oprávnění k datům fronty k objektu zabezpečení Microsoft Entra. Další informace o rolích Azure ve službě Azure Storage najdete v tématu Správa přístupových práv k datům Azure Storage pomocí Azure RBAC.

Oprávnění pro volání datových operací

Rozšíření Azure Storage jsou podporována pro operace s daty fronty. Které operace, které můžete volat, závisí na oprávněních udělených objektu zabezpečení Microsoft Entra, pomocí kterého se přihlašujete k Azure CLI. Oprávnění k frontám se přiřazují prostřednictvím Azure RBAC. Pokud máte například přiřazenou roli Čtenář dat fronty služby Storage, můžete spustit skriptovací příkazy, které čtou data z fronty. Pokud máte přiřazenou roli Přispěvatel dat fronty úložiště, můžete spustit skriptovací příkazy, které čtou, zapisují nebo odstraňují frontu nebo data, která obsahují.

Podrobnosti o oprávněních požadovaných pro každou operaci Azure Storage ve frontě najdete v tématu Volání operací úložiště s tokeny OAuth.

Příklad: Autorizace operace vytvoření fronty pomocí přihlašovacích údajů Microsoft Entra

Následující příklad ukazuje, jak vytvořit frontu z Azure CLI pomocí přihlašovacích údajů Microsoft Entra. K vytvoření fronty se budete muset přihlásit k Azure CLI a budete potřebovat skupinu prostředků a účet úložiště.

  1. Před vytvořením fronty přiřaďte roli Přispěvatel dat fronty úložiště sami sobě. I když jste vlastníkem účtu, potřebujete explicitní oprávnění k provádění operací s daty s účtem úložiště. Další informace o přiřazování rolí Azure najdete v tématu Přiřazení role Azure pro přístup k datům fronty.

    Důležité

    Rozšíření přiřazení rolí Azure může trvat několik minut.

  2. az storage queue create Zavolejte příkaz s parametrem --auth-mode nastaveným k login vytvoření fronty pomocí přihlašovacích údajů Microsoft Entra. Nezapomeňte nahradit zástupné hodnoty v hranatých závorkách vlastními hodnotami:

    az storage queue create \
    --account-name <storage-account> \
    --name sample-queue \
    --auth-mode login

Autorizace pomocí přístupového klíče účtu

Pokud máte klíč účtu, můžete volat jakoukoli operaci s daty Azure Storage. Obecně platí, že použití klíče účtu je méně bezpečné. Pokud dojde k ohrožení zabezpečení klíče účtu, můžou být ohrožena všechna data ve vašem účtu.

Následující příklad ukazuje, jak vytvořit frontu pomocí přístupového klíče účtu. Zadejte klíč účtu a zadejte --auth-mode parametr s key hodnotou:

az storage queue create \
    --account-name <storage-account> \
    --name sample-queue \
    --account-key <key>
    --auth-mode key

Autorizace pomocí tokenu SAS

Pokud máte token SAS, můžete volat datové operace, které jsou povolené sasem. Následující příklad ukazuje, jak vytvořit frontu pomocí tokenu SAS:

az storage queue create \
    --account-name <storage-account> \
    --name sample-queue \
    --sas-token <token>

Nastavení proměnných prostředí pro parametry autorizace

Parametry autorizace můžete zadat v proměnných prostředí, abyste se vyhnuli jejich zahrnutí do každého volání datové operace Azure Storage. Následující tabulka popisuje dostupné proměnné prostředí.

Proměnná prostředí Popis
AZURE_STORAGE_ACCOUNT Název účtu úložiště. Tato proměnná by se měla používat ve spojení s klíčem účtu úložiště nebo tokenem SAS. Pokud žádný není k dispozici, Azure CLI se pokusí načíst přístupový klíč účtu úložiště pomocí ověřeného účtu Microsoft Entra. Pokud je spuštěn velký počet příkazů najednou, může být dosaženo limitu omezování poskytovatele prostředků Služby Azure Storage. Další informace o omezeních poskytovatele prostředků najdete v tématu Škálovatelnost a výkonnostní cíle pro poskytovatele prostředků Azure Storage.
AZURE_STORAGE_KEY Klíč účtu úložiště. Tato proměnná se musí používat ve spojení s názvem účtu úložiště.
AZURE_STORAGE_CONNECTION_STRING Připojovací řetězec, který zahrnuje klíč účtu úložiště nebo token SAS. Tato proměnná se musí používat ve spojení s názvem účtu úložiště.
AZURE_STORAGE_SAS_TOKEN Token sdíleného přístupového podpisu (SAS). Tato proměnná se musí používat ve spojení s názvem účtu úložiště.
AZURE_STORAGE_AUTH_MODE Režim autorizace, pomocí kterého se má příkaz spustit. Povolené hodnoty jsou login (doporučeno) nebo key. Pokud zadáte login, Azure CLI použije vaše přihlašovací údaje Microsoft Entra k autorizaci operace s daty. Pokud zadáte starší key verzi režimu, Azure CLI se pokusí zadat dotaz na přístupový klíč účtu a autorizovat příkaz s klíčem.

Další kroky