Выбор способа авторизации доступа к данным BLOB-объектов с помощью Azure CLI

Служба хранилища Azure предоставляет расширения для Azure CLI, которые позволяют указать способ авторизации операций с данными BLOB-объектов. Вы можете авторизовать операции с данными следующими способами:

• С учетной записью безопасности Microsoft Entra. Корпорация Майкрософт рекомендует использовать учетные данные Microsoft Entra для обеспечения повышенной безопасности и удобства использования.
• С помощью ключа доступа к учетной записи или маркера общего доступа (SAS).

Укажите, как разрешены операции с данными

Команды Azure CLI для чтения и записи данных BLOB-объектов включают необязательный --auth-mode параметр. Укажите этот параметр, чтобы указать, как требуется авторизовать операцию данных:

• Установите параметр --auth-mode в login, чтобы войти с помощью субъекта безопасности Microsoft Entra (рекомендуется).
• Задайте для --auth-mode параметра устаревшее key значение, чтобы попытаться получить ключ доступа к учетной записи, используемый для авторизации. Если вы не укажете параметр --auth-mode, то Azure CLI также попытается получить ключ доступа.

Чтобы использовать --auth-mode параметр, убедитесь, что вы установили Azure CLI версии 2.0.46 или более поздней. Запустите az --version , чтобы проверить установленную версию.

Авторизация с помощью учетных данных Microsoft Entra

При входе в Azure CLI с помощью учетных данных Microsoft Entra возвращается маркер доступа OAuth 2.0. Этот токен автоматически используется Azure CLI для авторизации последующих операций с данными в хранилище Blob или очередей. Для поддерживаемых операций больше не требуется передавать ключ учетной записи или маркер SAS с помощью команды.

Вы можете назначить права доступа к данным блобов субъекту безопасности Microsoft Entra с помощью управления доступом на основе ролей Azure (Azure RBAC). Дополнительные сведения о ролях Azure в службе хранилища Azure см. в статье "Назначение роли Azure для доступа к данным BLOB-объектов".

Разрешения для вызова операций с данными

Расширения службы хранилища Azure поддерживаются для операций с объектами BLOB. Какие операции можно вызывать, зависят от разрешений, предоставленных субъекту безопасности Microsoft Entra, с помощью которого вы входите в Azure CLI. Разрешения для контейнеров службы хранилища Azure назначаются с помощью Azure RBAC. Например, если вам назначена роль чтения данных BLOB-объектов хранилища, то вы можете выполнять команды сценариев, которые считывают данные из контейнера. Если вам назначена роль участника данных BLOB-объектов хранилища, можно выполнить скриптовые команды, которые считывают, записывают или удаляют контейнер или содержащиеся в нем данные.

Дополнительные сведения о разрешениях, необходимых для каждой операции службы хранилища Azure в контейнере, см. в разделе "Вызов операций хранилища с маркерами OAuth".

Пример. Авторизация операции для создания контейнера с помощью учетных данных Microsoft Entra

В следующем примере показано, как создать контейнер из Azure CLI с помощью учетных данных Microsoft Entra. Чтобы создать контейнер, вам потребуется войти в Azure CLI, и вам потребуется группа ресурсов и учетная запись хранения. Чтобы узнать, как создать эти ресурсы, см. краткое руководство: создание, скачивание и перечисление больших двоичных объектов с помощью Azure CLI.

1. Перед созданием контейнера назначьте себе роль участника данных BLOB-объектов хранилища. Несмотря на то, что вы являетесь владельцем учетной записи, вам требуются явные разрешения для выполнения операций с данными в учетной записи хранения. Дополнительные сведения о назначении ролей Azure см. в статье "Назначение роли Azure для доступа к данным BLOB-объектов".

   Это важно

   Для распространения назначений ролей Azure может потребоваться несколько минут.

2. Вызовите команду az storage container create с установленным параметром --auth-mode, чтобы login создать контейнер с использованием ваших учетных данных Microsoft Entra. Не забудьте заменить значения заполнителей в угловых скобках собственными значениями.

   az storage container create \
       --account-name <storage-account> \
       --name sample-container \
       --auth-mode login
   

Авторизация с помощью ключа доступа к учетной записи

Если у вас есть ключ учетной записи, можно вызвать любую операцию с данными службы хранилища Azure. Как правило, использование ключа учетной записи менее безопасно. Если ключ учетной записи скомпрометирован, все данные в вашей учетной записи могут быть скомпрометированы.

В следующем примере показано, как создать контейнер с помощью ключа доступа к учетной записи. Укажите ключ учетной записи и укажите --auth-mode параметр со значением key :

az storage container create \
    --account-name <storage-account> \
    --name sample-container \
    --account-key <key>
    --auth-mode key

Авторизация с помощью токена SAS

Если у вас есть маркер SAS, можно вызвать операции с данными, разрешенные SAS. В следующем примере показано, как создать контейнер с помощью маркера SAS:

az storage container create \
    --account-name <storage-account> \
    --name sample-container \
    --sas-token <token>

Установите переменные среды для параметров авторизации

Параметры авторизации можно указать в переменных среды, чтобы избежать их включения при каждом вызове операции данных службы хранилища Azure. В следующей таблице описываются доступные переменные среды.

Дальнейшие действия

• Назначьте роль Azure для доступа к данным BLOB
• Авторизация доступа к данным в службе хранилища Azure