Konta magazynu i niezawodność

  • Artykuł

Konta usługi Azure Storage są idealne dla obciążeń, które wymagają szybkich i spójnych czasów odpowiedzi lub mają dużą liczbę operacji wejściowych danych wyjściowych (IOP) na sekundę. Konta magazynu zawierają wszystkie obiekty danych usługi Azure Storage, które obejmują:

  • Obiekty blob
  • Udziały plików
  • Kolejki
  • Tabele
  • Dyski

Konta magazynu udostępniają unikatową przestrzeń nazw dla danych, które są dostępne w dowolnym miejscu lub HTTPS.HTTP

Aby uzyskać więcej informacji na temat różnych typów kont magazynu, które obsługują różne funkcje, zobacz Typy kont magazynu.

Aby dowiedzieć się, jak konto usługi Azure Storage obsługuje odporność obciążenia aplikacji, zapoznaj się z następującymi artykułami:

W poniższych sekcjach opisano zagadnienia dotyczące projektowania, listę kontrolną konfiguracji i zalecane opcje konfiguracji specyficzne dla kont usługi Azure Storage i niezawodności.

Zagadnienia dotyczące projektowania

Konta usługi Azure Storage obejmują następujące zagadnienia dotyczące projektowania:

  • Konta magazynu ogólnego przeznaczenia w wersji 1 zapewniają dostęp do wszystkich usług Azure Storage, ale mogą nie mieć najnowszych funkcji ani niższych cen za gigabajt. W większości przypadków zaleca się używanie kont magazynu ogólnego przeznaczenia w wersji 2. Powody korzystania z wersji 1 obejmują:

    • Aplikacje wymagają klasycznego modelu wdrażania.
    • Aplikacje intensywnie korzystają z transakcji lub używają znacznej przepustowości replikacji geograficznej, ale nie wymagają dużej pojemności.
    • Użycie interfejsu API REST usługi Storage, który jest wcześniejszy niż 14 lutego 2014 r. lub biblioteka klienta z wersją wcześniejszą niż 4.x jest wymagana. Uaktualnienie aplikacji nie jest możliwe.

Aby uzyskać więcej informacji, zapoznaj się z omówieniem konta magazynu.

  • Nazwy kont magazynu muszą zawierać od trzech do 24 znaków i mogą zawierać tylko cyfry i małe litery.
  • W przypadku bieżących specyfikacji umowy SLA zapoznaj się z umową SLA dla kont magazynu.
  • Przejdź do obszaru Nadmiarowość usługi Azure Storage , aby określić, która opcja nadmiarowości jest najlepsza dla konkretnego scenariusza.
  • Nazwy kont magazynu muszą być unikatowe na platformie Azure. Każde konto magazynu musi mieć inną nazwę.

Lista kontrolna

Czy skonfigurowano konto usługi Azure Storage z myślą o niezawodności?

  • Włącz usuwanie nietrwałe dla danych obiektów blob.
  • Użyj identyfikatora Microsoft Entra, aby autoryzować dostęp do danych obiektów blob.
  • Podczas przypisywania uprawnień do podmiotu zabezpieczeń Microsoft Entra za pośrednictwem kontroli dostępu opartej na rolach platformy Azure należy wziąć pod uwagę zasadę najniższych uprawnień.
  • Użyj tożsamości zarządzanych, aby uzyskać dostęp do danych obiektów blob i kolejek.
  • Przechowywanie danych krytycznych dla działania firmy przy użyciu wersji obiektów blob lub niezmiennych obiektów blob.
  • Ogranicz domyślny dostęp do Internetu dla kont magazynu.
  • Włącz reguły zapory.
  • Ogranicz dostęp sieciowy do określonych sieci.
  • Zezwalaj zaufanym usługom firmy Microsoft na dostęp do konta magazynu.
  • Włącz opcję Wymagany bezpieczny transfer na wszystkich kontach magazynu.
  • Ogranicz tokeny sygnatury dostępu współdzielonego (SAS) tylko do HTTPS połączeń.
  • Unikaj i zapobiegaj używaniu autoryzacji klucza współdzielonego w celu uzyskania dostępu do kont magazynu.
  • Okresowo ponowne generowanie kluczy konta.
  • Utwórz plan odwołania i umieść go dla wszystkich sygnatur dostępu współdzielonego, które są wystawiane klientom.
  • Używaj niemalterminowych czasów wygaśnięcia w impromptu SAS, sygnatury dostępu współdzielonego usługi lub sygnatury dostępu współdzielonego konta.

Zalecenia dotyczące konfiguracji

Rozważ następujące zalecenia, aby zoptymalizować niezawodność podczas konfigurowania konta usługi Azure Storage:

Zalecenie Opis
Włącz usuwanie nietrwałe dla danych obiektów blob. Usuwanie nietrwałe dla obiektów blob usługi Azure Storage umożliwia odzyskiwanie danych obiektów blob po jego usunięciu.
Użyj identyfikatora Microsoft Entra, aby autoryzować dostęp do danych obiektów blob. identyfikator Microsoft Entra zapewnia doskonałe zabezpieczenia i łatwość użycia za pośrednictwem klucza współdzielonego w celu autoryzowania żądań do magazynu obiektów blob. Zaleca się używanie autoryzacji Microsoft Entra w aplikacjach obiektów blob i kolejek, jeśli to możliwe, aby zminimalizować potencjalne luki w zabezpieczeniach związane z kluczem udostępnionym. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do obiektów blob i kolejek platformy Azure przy użyciu identyfikatora Microsoft Entra.
Podczas przypisywania uprawnień do podmiotu zabezpieczeń Microsoft Entra za pośrednictwem kontroli dostępu opartej na rolach platformy Azure należy wziąć pod uwagę zasadę najniższych uprawnień. Podczas przypisywania roli do użytkownika, grupy lub aplikacji przyznaj tej jednostce zabezpieczeń tylko te uprawnienia niezbędne do wykonywania zadań. Ograniczenie dostępu do zasobów pomaga zapobiec przypadkowemu i złośliwemu niewłaściwemu użyciu danych.
Użyj tożsamości zarządzanych, aby uzyskać dostęp do danych obiektów blob i kolejek. Usługa Azure Blob i Queue Storage obsługują uwierzytelnianie Microsoft Entra za pomocą tożsamości zarządzanych dla zasobów platformy Azure. Tożsamości zarządzane dla zasobów platformy Azure mogą autoryzować dostęp do danych obiektów blob i kolejek przy użyciu poświadczeń Microsoft Entra z aplikacji działających na maszynach wirtualnych platformy Azure, aplikacji funkcji, zestawów skalowania maszyn wirtualnych i innych usług. Korzystając z tożsamości zarządzanych dla zasobów platformy Azure wraz z uwierzytelnianiem Microsoft Entra, można uniknąć przechowywania poświadczeń z aplikacjami uruchomionymi w chmurze i problemy z wygasającą jednostką usługi. Aby uzyskać więcej informacji, zobacz Autoryzowanie dostępu do danych obiektów blob i kolejek za pomocą tożsamości zarządzanych dla zasobów platformy Azure .
Przechowywanie danych krytycznych dla działania firmy przy użyciu wersji obiektów blob lub niezmiennych obiektów blob. Rozważ użycie przechowywania wersji obiektów blob w celu zachowania poprzednich wersji obiektu lub używania zasad przechowywania na podstawie czasu i przechowywania na podstawie czasu do przechowywania danych obiektów blob w stanie WORM (zapis raz, odczyt wielu). Niezmienne obiekty blob można odczytać, ale nie można ich modyfikować ani usuwać w okresie przechowywania. Aby uzyskać więcej informacji, zapoznaj się z tematem Przechowywanie danych obiektów blob o znaczeniu krytycznym dla działania firmy z niezmiennym magazynem.
Ogranicz domyślny dostęp do Internetu dla kont magazynu. Domyślnie dostęp sieciowy do kont magazynu nie jest ograniczony i jest otwarty dla całego ruchu pochodzącego z Internetu. Dostęp do kont magazynu należy przyznać określonym sieciom wirtualnym platformy Azure tylko wtedy, gdy jest to możliwe lub używać prywatnych punktów końcowych, aby umożliwić klientom w sieci wirtualnej bezpieczny dostęp do danych za pośrednictwem Private Link. Aby uzyskać więcej informacji, zobacz Używanie prywatnych punktów końcowych dla usługi Azure Storage . Wyjątki można wprowadzać dla kont magazynu, które muszą być dostępne przez Internet.
Włącz reguły zapory. Skonfiguruj reguły zapory, aby ograniczyć dostęp do konta magazynu do żądań pochodzących z określonych adresów IP lub zakresów albo z listy podsieci w usłudze Azure Virtual Network (VNet). Aby uzyskać więcej informacji na temat konfigurowania reguł zapory, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.
Ogranicz dostęp sieciowy do określonych sieci. Ograniczenie dostępu sieciowego do sieci hostujących klientów wymagających dostępu zmniejsza narażenie zasobów na ataki sieciowe za pomocą wbudowanej funkcji Zapora i sieci wirtualne lub przy użyciu prywatnych punktów końcowych.
Zezwalaj zaufanym usługom firmy Microsoft na dostęp do konta magazynu. Włączenie reguł zapory dla kont magazynu domyślnie blokuje żądania przychodzące dla danych, chyba że żądania pochodzą z usługi działającej w ramach usługi Azure Virtual Network (VNet) lub z dozwolonych publicznych adresów IP. Zablokowane żądania obejmują te żądania z innych usług platformy Azure, z Azure Portal, z usług rejestrowania i metryk itd. Możesz zezwolić na żądania z innych usług platformy Azure, dodając wyjątek umożliwiający zaufanym usługom firmy Microsoft dostęp do konta magazynu. Aby uzyskać więcej informacji na temat dodawania wyjątku dla zaufanych usług firmy Microsoft, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.
Włącz opcję Wymagany bezpieczny transfer na wszystkich kontach magazynu. Po włączeniu opcji Wymagany bezpieczny transfer wszystkie żądania wysyłane na konto magazynu muszą odbywać się za pośrednictwem bezpiecznych połączeń. Wszystkie żądania wysyłane przez protokół HTTP kończą się niepowodzeniem. Aby uzyskać więcej informacji, zobacz Wymagaj bezpiecznego transferu w usłudze Azure Storage.
Ogranicz tokeny sygnatury dostępu współdzielonego (SAS) tylko do HTTPS połączeń. Wymaganie HTTPS , gdy klient używa tokenu SYGNATURy dostępu współdzielonego do uzyskiwania dostępu do danych obiektów blob, pomaga zminimalizować ryzyko podsłuchów. Aby uzyskać więcej informacji, zobacz Udzielanie ograniczonego dostępu do zasobów usługi Azure Storage przy użyciu sygnatur dostępu współdzielonego (SAS).
Unikaj i zapobiegaj używaniu autoryzacji klucza współdzielonego w celu uzyskania dostępu do kont magazynu. Zaleca się użycie identyfikatora Microsoft Entra w celu autoryzowania żądań do usługi Azure Storage i zapobiegania autoryzacji klucza współdzielonego. W przypadku scenariuszy wymagających autoryzacji klucza współdzielonego zawsze preferuj tokeny SAS w przypadku dystrybucji klucza współdzielonego.
Okresowo ponowne generowanie kluczy konta. Okresowe obracanie kluczy kont zmniejsza ryzyko ujawnienia danych złośliwym podmiotom.
Utwórz plan odwołania i umieść go dla wszystkich sygnatur dostępu współdzielonego, które są wystawiane klientom. W przypadku naruszenia zabezpieczeń sygnatury dostępu współdzielonego należy natychmiast odwołać tę sygnaturę dostępu współdzielonego. Aby odwołać sygnaturę dostępu współdzielonego delegowania użytkownika, odwołaj klucz delegowania użytkownika, aby szybko unieważnić wszystkie sygnatury skojarzone z tym kluczem. Aby odwołać sygnaturę dostępu współdzielonego usługi skojarzona z zapisanymi zasadami dostępu, możesz usunąć przechowywane zasady dostępu, zmienić nazwę zasad lub zmienić czas wygaśnięcia na czas, który znajduje się w przeszłości.
Używaj niemalterminowych czasów wygaśnięcia w impromptu SAS, sygnatury dostępu współdzielonego usługi lub sygnatury dostępu współdzielonego konta. Jeśli bezpieczeństwo sygnatury dostępu współdzielonego zostało naruszone, jest ważne tylko przez krótki czas. Ta praktyka jest szczególnie ważna, jeśli nie można odwoływać się do przechowywanych zasad dostępu. Niemalterminowe czasy wygaśnięcia ograniczają również ilość danych, które można zapisać w obiekcie blob, ograniczając czas dostępny do przekazania do niego. Klienci powinni odnowić sygnaturę dostępu współdzielonego na długo przed wygaśnięciem, aby umożliwić ponowne próby, jeśli usługa dostarczająca sygnaturę dostępu współdzielonego jest niedostępna.

Następny krok

Konta magazynu i zabezpieczenia