Autorisieren von Anforderungen an Azure Storage

Jede Anforderung bei einer geschützten Ressource im Blob-, Datei-, Warteschlangen- oder Tabellenspeicherdienst muss autorisiert werden. Die Autorisierung stellt sicher, dass auf Ressourcen in Ihrem Speicherkonto nur zugegriffen werden kann, wenn Sie dies wünschen, und auch nur von den Benutzern und Anwendungen, denen Sie Zugriff gewähren.

Wichtig

Für optimale Sicherheit empfiehlt Microsoft die Verwendung Microsoft Entra ID mit verwalteten Identitäten, um Anforderungen für Blob-, Warteschlangen- und Tabellendaten nach Möglichkeit zu autorisieren. Die Autorisierung mit Microsoft Entra ID und verwalteten Identitäten bietet eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber der Freigabeschlüsselautorisierung. Weitere Informationen finden Sie unter Autorisieren mit Microsoft Entra ID. Weitere Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?

Für Ressourcen, die außerhalb von Azure gehostet werden, z. B. lokale Anwendungen, können Sie verwaltete Identitäten über Azure Arc verwenden. Beispielsweise können Apps, die auf Azure Arc-fähigen Servern ausgeführt werden, verwaltete Identitäten verwenden, um eine Verbindung mit Azure-Diensten herzustellen. Weitere Informationen finden Sie unter Authentifizieren bei Azure-Ressourcen mit Azure Arc-fähigen Servern.

Für Szenarien, in denen SAS (Shared Access Signatures) verwendet werden, empfiehlt Microsoft die Verwendung einer SAS für die Benutzerdelegierung. Eine Benutzerdelegierungs-SAS wird mit Microsoft Entra Anmeldeinformationen anstelle des Kontoschlüssels gesichert. Informationen zu Shared Access Signatures finden Sie unter Create einer Benutzerdelegierungs-SAS.

In der folgenden Tabelle werden die Optionen beschrieben, die in Azure Storage zum Autorisieren des Ressourcenzugriffs zur Verfügung stehen:

Azure-Artefakt Gemeinsam verwendeter Schlüssel (Speicherkontoschlüssel) Shared Access Signature (SAS) Microsoft Entra ID Lokale Active Directory Domain Services Anonymer öffentlicher Lesezugriff
Azure-Blobs Unterstützt Unterstützt Unterstützt Nicht unterstützt Unterstützt
Azure Files (SMB) Unterstützt Nicht unterstützt Unterstützt mit Microsoft Entra Domain Services oder Microsoft Entra Kerberos Die Anmeldeinformationen müssen mit Microsoft Entra ID synchronisiert werden. Nicht unterstützt
Azure Files (REST) Unterstützt Unterstützt Unterstützt Nicht unterstützt Nicht unterstützt
Azure-Warteschlangen Unterstützt Unterstützt Unterstützt Nicht unterstützt Nicht unterstützt
Azure-Tabellen Unterstützt Unterstützt Unterstützt Nicht unterstützt Nicht unterstützt

Im Anschluss werden die einzelnen Autorisierungsoptionen kurz erläutert:

  • Microsoft Entra ID:Microsoft Entra ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Microsoft Entra ID-Integration ist für die Blob-, Datei-, Warteschlangen- und Tabellendienste verfügbar. Mit Microsoft Entra ID können Sie Benutzern, Gruppen oder Anwendungen über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) präzisen Zugriff zuweisen. Informationen zur Microsoft Entra ID Integration in Azure Storage finden Sie unter Autorisieren mit Microsoft Entra ID.

  • Microsoft Entra Domain Services Autorisierung für Azure Files. Azure Files unterstützt die identitätsbasierte Autorisierung über Server Message Block (SMB) über Microsoft Entra Domain Services. Sie können die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für eine präzise Steuerung des Clientzugriffs auf Azure Files-Ressourcen in einem Speicherkonto verwenden. Weitere Informationen zur Azure Files Authentifizierung mithilfe von Domänendiensten finden Sie unter Azure Files identitätsbasierte Autorisierung.

  • Active Directory-Autorisierung (AD) für Azure Files. Azure Files unterstützt identitätsbasierte Autorisierung über SMB über AD. Ihr AD-Domänendienst kann auf lokalen Computern oder auf Azure-VMs gehostet werden. Der SMB-Zugriff auf Dateien wird mithilfe von AD-Anmeldeinformationen von in die Domäne eingebundenen Computern unterstützt, entweder lokal oder in Azure. Sie können RBAC für die Zugriffssteuerung auf Freigabeebene und NTFS-DACLs für die Berechtigungserzwingung auf Verzeichnis- und Dateiebene verwenden. Weitere Informationen zur Azure Files Authentifizierung mithilfe von Domänendiensten finden Sie unter Azure Files identitätsbasierte Autorisierung.

  • Freigegebener Schlüssel: Die Autorisierung des freigegebenen Schlüssels basiert auf Ihren Kontozugriffsschlüsseln und anderen Parametern, um eine verschlüsselte Signaturzeichenfolge zu erzeugen, die für die Anforderung im Autorisierungsheader übergeben wird. Weitere Informationen zur Autorisierung mit freigegebenen Schlüsseln finden Sie unter Autorisieren mit freigegebenem Schlüssel.

  • Freigegebene Zugriffssignaturen: Shared Access Signatures (SAS) delegieren den Zugriff auf eine bestimmte Ressource in Ihrem Konto mit angegebenen Berechtigungen und über ein bestimmtes Zeitintervall. Weitere Informationen zu SAS finden Sie unter Delegieren des Zugriffs mit einer Shared Access Signature.

  • Anonymer Zugriff auf Container und Blobs: Sie können Blobressourcen optional auf Container- oder Blobebene öffentlich machen. Jeder Benutzer hat anonymen Lesezugriff auf öffentliche Container und Blobs. Leseanforderungen bei öffentlichen Containern und Blobs erfordern keine Autorisierung. Weitere Informationen finden Sie unter Aktivieren des öffentlichen Lesezugriffs für Container und Blobs in Azure Blob Storage.

Tipp

Die Authentifizierung und Autorisierung des Zugriffs auf Blob-, Datei-, Warteschlangen- und Tabellendaten mit Microsoft Entra ID bietet überlegene Sicherheit und Benutzerfreundlichkeit gegenüber anderen Autorisierungsoptionen. Wenn Sie beispielsweise Microsoft Entra ID verwenden, vermeiden Sie, dass Sie Ihren Kontozugriffsschlüssel mit Ihrem Code speichern müssen, wie sie es bei der Autorisierung mit freigegebenem Schlüssel tun. Sie können die Autorisierung gemeinsam genutzter Schlüssel zwar weiterhin mit Ihren Blob- und Warteschlangenanwendungen verwenden, aber Microsoft empfiehlt, nach Möglichkeit zu Microsoft Entra ID zu wechseln.

Auf ähnliche Weise können Sie weiterhin SAS (Shared Access Signatures) verwenden, um differenzierten Zugriff auf Ressourcen in Ihrem Speicherkonto zu gewähren, aber Microsoft Entra ID bietet ähnliche Funktionen, ohne SAS-Token verwalten zu müssen oder sich um den Widerruf einer kompromittierten SAS kümmern zu müssen.

Weitere Informationen zur Microsoft Entra ID Integration in Azure Storage finden Sie unter Autorisieren des Zugriffs auf Azure-Blobs und -Warteschlangen mithilfe von Microsoft Entra ID.