Поделиться через


Управление контейнерами BLOB-объектов с помощью портала Azure

Хранилище BLOB-объектов Azure позволяет хранить большие объемы неструктурированных данных объектов. Хранилище BLOB-объектов можно использовать для сбора или предоставления медийных данных, контента или данных приложения пользователям. Так как все данные BLOB-объектов хранятся в контейнерах, необходимо создать контейнер хранилища, прежде чем начать загрузку данных. Дополнительные сведения о хранилище BLOB-объектов см. в статье "Введение в хранилище BLOB-объектов Azure".

Из этой статьи вы узнаете, как работать с объектами контейнеров на портале Azure.

Предпосылки

Для доступа к службе хранилища Azure требуется подписка Azure. Если у вас еще нет подписки, создайте бесплатную учетную запись Azure, прежде чем начинать работу.

Доступ к хранилищу Azure осуществляется с помощью учетной записи хранения. Для этого руководства создайте учетную запись хранения с помощью портала Azure, Azure PowerShell или Azure CLI. Сведения о создании учетной записи хранения см. в статье "Создание учетной записи хранения".

Создание контейнера

Контейнер организует набор блобов, аналогично каталогу в файловой системе. Учетная запись хранения может включать неограниченное количество контейнеров, а контейнер может содержать неограниченное количество блобов.

Чтобы создать контейнер на портале Azure, сделайте следующее:

  1. В области навигации портала слева от экрана выберите учетные записи хранения и выберите учетную запись хранения. Если панель навигации не видна, нажмите кнопку меню, чтобы переключить видимость.

    Снимок экрана: домашняя страница портала Azure с расположением кнопки меню в браузере.

  2. В области навигации для учетной записи хранения прокрутите страницу хранилища данных и выберите "Контейнеры".

  3. В области "Контейнеры " нажмите кнопку "+ Контейнер ", чтобы открыть панель "Создать контейнер ".

  4. В области "Создать контейнер " укажите имя нового контейнера. Имя контейнера должно быть в нижнем регистре, начинаться с буквы или цифры и может включать только буквы, цифры и символ дефиса (-). Имя должно быть также длиной от 3 до 63 символов. Дополнительные сведения об именах контейнеров и BLOB-объектах см. в разделе Именование и ссылки на контейнеры, BLOB-объекты и метаданные.

  5. Задайте уровень анонимного доступа для контейнера. Рекомендуемый уровень — Private (без анонимного доступа). Сведения о предотвращении анонимного доступа к данным BLOB-объектов см. в статье "Обзор: исправление анонимного доступа на чтение для данных BLOB-объектов".

  6. Щелкните Создать, чтобы создать контейнер.

    Снимок экрана: создание контейнера на портале Azure.

Чтение свойств контейнера и метаданных

Контейнер предоставляет как системные свойства, так и пользовательские метаданные. Системные свойства присутствуют у каждого ресурса Хранилища блобов. Некоторые свойства доступны только для чтения, а другие можно прочитать и записать.

Определяемые пользователем метаданные состоят из одной или нескольких пар "имя-значение", которые необходимо указать для ресурса Хранилища Blob. Вы можете использовать метаданные для хранения дополнительных значений вместе с ресурсом. Значения метаданных предназначены только для ваших собственных целей и не влияют на поведение ресурса.

Свойства контейнера

Чтобы отобразить свойства контейнера на портале Azure, выполните следующие действия.

  1. Перейдите к списку контейнеров в учетной записи хранения.

  2. Установите флажок рядом с именем контейнера, свойства которого необходимо просмотреть.

  3. Нажмите кнопку "Дополнительно " контейнера (...) и выберите свойства контейнера , чтобы отобразить область свойств контейнера.

    Снимок экрана: отображение свойств контейнера на портале Azure.

Чтение и запись метаданных контейнера

Пользователи, имеющие большое количество объектов в учетной записи хранения, могут упорядочивать данные логически в контейнерах с помощью метаданных.

Чтобы управлять метаданными контейнера на портале Azure, выполните следующие действия.

  1. Перейдите к списку контейнеров в учетной записи хранения.

  2. Установите флажок рядом с именем контейнера, метаданные которого требуется управлять.

  3. Нажмите кнопку "Дополнительно " контейнера (...), а затем выберите "Изменить метаданные ", чтобы отобразить область метаданных контейнера .

    Снимок экрана: доступ к метаданным контейнера на портале Azure.

  4. В области метаданных контейнера будут отображаться существующие пары "ключ-значение метаданных". Существующие данные можно изменить, выбрав существующий ключ или значение и перезаписав данные. Вы можете добавить дополнительные метаданные и предоставить данные в пустых полях. Наконец, нажмите кнопку "Сохранить ", чтобы зафиксировать данные.

    Снимок экрана: обновление метаданных контейнера на портале Azure.

Управление доступом к контейнерам и BLOB-объектам

Правильное управление доступом к контейнерам и их BLOB-объектам является ключом для обеспечения безопасности данных. В следующих разделах показаны способы удовлетворения требований к доступу.

Управление назначениями ролей Azure RBAC для контейнера

Идентификатор Microsoft Entra обеспечивает оптимальную безопасность для ресурсов Blob-хранилища. Управление доступом на основе ролей Azure (Azure RBAC) определяет, какие разрешения имеет субъект безопасности для заданного ресурса. Чтобы предоставить доступ к контейнеру, необходимо назначить роль RBAC на уровне контейнера или выше пользователю, группе, служебному принципалу или управляемому удостоверению. Вы также можете добавить в назначение роли одно или несколько условий.

Вы можете прочитать о назначении ролей на сайте "Назначение ролей Azure" с помощью портала Azure.

Создание общей подписи доступа

Подпись общего доступа (SAS) предоставляет временный, безопасный, делегированный доступ клиенту, не имеющему обычно разрешений. SAS предоставляет подробный контроль над доступом клиента к вашим данным. Например, можно указать, какие ресурсы доступны клиенту. Можно также ограничить типы операций, которые может выполнять клиент, и указать длительность.

Azure поддерживает три типа SAS. SAS службы предоставляет доступ к ресурсу только в одной из служб хранилища: хранилища объектов Blob, очереди, таблицы или файловой службы. Учетная запись SAS похожа на SAS службы, но может предоставить доступ к ресурсам в нескольких службах хранения. SAS делегирования пользователей — это SAS, защищенный учетными данными Microsoft Entra, и его можно использовать только со службой хранилища Blob.

При создании SAS можно задать ограничения доступа на основе уровня разрешений, IP-адреса или диапазона, а также даты и времени начала и окончания срока действия. Дополнительные сведения см. в статье "Предоставление ограниченного доступа к ресурсам службы хранилища Azure" с помощью подписанных URL-адресов.

Осторожность

Любой клиент, обладающий действительным SAS, может получить доступ к данным в вашей учетной записи хранения в пределах разрешения, предоставленного этим SAS. Важно обеспечить для SAS защиту от вредоносного или непреднамеренного использования. Распространять SAS нужно с осторожность и следует подготовить план для отзыва скомпрометированного SAS.

Чтобы создать маркер SAS с помощью портала Azure, выполните следующие действия.

  1. На портале Azure перейдите к списку контейнеров в учетной записи хранения.

  2. Установите флажок рядом с именем контейнера, для которого будет создан маркер SAS.

  3. Нажмите кнопку "Дополнительно " контейнера (...) и выберите "Создать SAS ", чтобы отобразить панель "Создать SAS ".

    Снимок экрана, показывающий как получить доступ к параметрам подписанного общего доступа для контейнера на портале Azure.

  4. В области "Создать SAS" выберите значение ключа учетной записи для поля метода подписывания .

  5. В поле метода подписывания выберите ключ учетной записи. Выбор ключа учетной записи приведет к созданию SAS службы.

  6. В поле "Ключ подписывания" выберите нужный ключ, который будет использоваться для подписи SAS.

  7. В поле "Хранимая политика доступа" выберите "Нет".

  8. Выберите поле "Разрешения" , а затем установите флажки, соответствующие нужным разрешениям.

  9. В разделе "Дата начала и время окончания срока действия" укажите нужные значения даты начала и окончания срока действия, времени и часового пояса.

  10. При необходимости укажите IP-адрес или диапазон IP-адресов, из которых следует принимать запросы в поле разрешенных IP-адресов . Если IP-адрес запроса не соответствует IP-адресу или диапазону адресов, указанному в маркере SAS, он не будет авторизован.

  11. При необходимости укажите протокол, разрешенный для запросов, выполненных с SAS в поле "Разрешенные протоколы ". Значение по умолчанию — HTTPS.

  12. Проверьте параметры для точности, а затем выберите Создать SAS-маркер и URL-адрес для отображения строк запроса маркера SAS BLOB и URL-адреса SAS BLOB.

    Снимок экрана: создание SAS для контейнера на портале Azure.

  13. Скопируйте и вставьте значения SAS токена BLOB-объекта и URL-адреса BLOB-объекта в безопасное место. Они будут отображаться только один раз и не могут быть извлечены после закрытия окна.

Примечание.

Маркер SAS, возвращаемый порталом, не включает символ разделителя ('?') для строки запроса URL-адреса. Если маркер SAS добавляется к URL-адресу ресурса, не забудьте добавить символ разделителя в URL-адрес ресурса перед добавлением маркера SAS.

Создание хранимой политики доступа или неизменяемости

Хранимая политика доступа предоставляет дополнительный серверный контроль над одной или несколькими общими подписями доступа. При связывании SAS с хранимой политикой доступа он наследует ограничения, определенные в политике. Эти дополнительные ограничения позволяют изменять время начала, срок действия или разрешения для подписи. Вы также можете отозвать его после его выдачи.

Политики неизменяемости можно использовать для защиты данных от перезаписи и удаления. Политики неизменяемости позволяют создавать и читать объекты, но предотвращают их изменение или удаление в течение определенной длительности. Хранилище BLOB-объектов поддерживает два типа политик неизменности. Политика хранения на основе времени запрещает операции записи и удаления в течение определенного периода времени. Юридическое удержание также запрещает операции записи и удаления, но должно быть явно снято, прежде чем эти операции могут быть возобновлены.

Создание хранимой политики доступа

Настройка хранимой политики доступа — это двухэтапный процесс: сначала необходимо определить политику, а затем применить к контейнеру. Чтобы настроить хранимую политику доступа, выполните следующие действия.

  1. На портале Azure перейдите к списку контейнеров в учетной записи хранения.

  2. Установите флажок рядом с именем контейнера, для которого будет создан маркер SAS.

  3. Нажмите кнопку "Дополнительно " контейнера (...) и выберите политику доступа , чтобы отобразить область политики доступа .

    Снимок экрана: доступ к сохраненным параметрам политики доступа контейнера на портале Azure.

  4. В области политики доступа выберите +Добавить политику в разделе "Хранимые политики доступа ", чтобы отобразить область "Добавить политику ". Все существующие политики будут отображаться в любом из соответствующих разделов.

    Снимок экрана: добавление хранимой политики доступа на портале Azure.

  5. В области "Добавить политику " выберите поле идентификатора и добавьте имя новой политики.

  6. Выберите поле "Разрешения" , а затем установите флажки, соответствующие разрешениям, необходимым для новой политики.

  7. При необходимости укажите значения даты, времени и часового пояса для полей времени начала и истечения срока действия политики.

  8. Просмотрите параметры для точности и нажмите кнопку "ОК ", чтобы обновить область политики Access .

    Осторожность

    Хотя политика теперь отображается в таблице хранимых политик доступа , она по-прежнему не применяется к контейнеру. Если вы перейдете из области политики доступа на этом этапе, политика не будет сохранена или применена, и вы потеряете работу.

    Снимок экрана: создание хранимой политики доступа на портале Azure.

  9. В области политики доступа выберите +Добавить политику , чтобы определить другую политику, или нажмите кнопку "Сохранить ", чтобы применить новую политику к контейнеру. После создания хотя бы одной сохраненной политики доступа, вы сможете связать с ней другие подписи безопасного доступа.

    Снимок экрана: применение хранимой политики доступа на портале Azure.

Создание политики неизменяемости

Дополнительные сведения о настройке неизменяемости политик для контейнеров. Чтобы помочь в реализации политик неизменяемости, выполните действия, описанные в статьях "Настройка политики хранения" или "Настройка или снятие юридического удержания".

Управление арендами

Аренда контейнера используется для установления или регулирования блокировки для операций удаления. При приобретении лизинга на портале Azure блокировка может быть создана только с бесконечным сроком. При создании программно длительность блокировки может варьироваться от 15 до 60 секунд или может быть бесконечной.

Существует пять разных режимов аренды, хотя на портале Azure доступны только два режима:

Вариант использования Доступно на портале Azure
Режим получения Запрос новой аренды.
Режим продления Продление существующей аренды.
Режим изменения Измените идентификатор существующей аренды.
Режим выпуска Завершение текущей аренды; позволяет другим клиентам получить новую аренду
Режим останова Завершение текущей аренды; запрещает другим клиентам получать новую аренду в течение текущего периода аренды.

Получение аренды

Чтобы получить аренду с помощью портала Azure, выполните следующие действия.

  1. На портале Azure перейдите к списку контейнеров в учетной записи хранения.

  2. Установите флажок рядом с именем контейнера, для которого вы получите аренду.

  3. Нажмите кнопку "Дополнительно " контейнера (...) и выберите "Получить аренду ", чтобы запросить новую аренду и отобразить сведения в области состояния аренды .

    Снимок экрана: доступ к параметрам аренды контейнера на портале Azure.

  4. Значения контейнера и идентификатора аренды вновь запрошенной аренды отображаются в области состояния аренды. Скопируйте и вставьте эти значения в безопасное место. Они будут отображаться только один раз и не могут быть получены после закрытия панели.

    Снимок экрана: доступ к области состояния аренды контейнера на портале Azure.

Прерывание аренды

Чтобы разорвать аренду с помощью портала Azure, выполните следующие действия.

  1. На портале Azure перейдите к списку контейнеров в учетной записи хранения.

  2. Установите флажок рядом с именем контейнера, для которого будет нарушена аренда.

  3. Нажмите кнопку "Дополнительно " контейнера (...) и выберите "Разорвать аренду", чтобы разорвать аренду.

    Снимок экрана, показывающий, как прервать аренду контейнера на портале Azure.

  4. После разрыва аренды значение состояния аренды выбранного контейнера будет обновлено, и появится подтверждение состояния.

    Снимок экрана: сломанная аренда контейнера на портале Azure.

Удаление контейнеров

При удалении контейнера на портале Azure все большие двоичные объекты в контейнере также будут удалены.

Предупреждение

Следуя приведенным ниже инструкциям, можно окончательно удалить контейнеры и все большие двоичные объекты в них. Компания Microsoft рекомендует включить мягкое удаление для контейнера, чтобы защитить его и BLOB-объекты от случайного удаления. Для получения дополнительной информации см. Мягкое удаление для контейнеров.

Чтобы удалить контейнер на портале Azure, выполните следующие действия.

  1. На портале Azure перейдите к списку контейнеров в учетной записи хранения.

  2. Выберите контейнер для удаления.

  3. Нажмите кнопку "Дополнительно " (...) и нажмите кнопку "Удалить".

    Снимок экрана: удаление контейнера на портале Azure.

  4. В диалоговом окне "Удалить контейнеры" убедитесь, что вы хотите удалить контейнер.

В некоторых случаях можно получить контейнеры, которые были удалены. Если параметр защиты данных при мягком удалении включен в учетной записи хранения, вы можете получить доступ к контейнерам, удаленным в течение установленного периода хранения. Дополнительные сведения о мягком удалении см. в статье "Мягкое удаление для контейнеров".

Просмотр обратимо удаленных контейнеров

Если обратимое удаление включено, вы можете просматривать обратимо удаленные контейнеры на портале Azure. Мягко удаленные контейнеры отображаются в течение указанного периода удержания. По истечении периода хранения обратимо удаленный контейнер будет окончательно удален и больше не будет отображаться.

Чтобы просмотреть обратимо удаленные контейнеры на портале Azure, выполните следующие действия.

  1. Перейдите к учетной записи хранения на портале Azure и просмотрите список контейнеров.

  2. Переключите переключатель "Показать удаленные контейнеры ", чтобы включить удаленные контейнеры в список.

    Снимок экрана, показывающий, как просмотреть мягко удаленные контейнеры на портале Azure.

Восстановление временно удаленного контейнера

Вы можете восстановить мягко удаленный контейнер и его содержимое в течение периода хранения. Чтобы восстановить обратимо удаленный контейнер на портале Azure, выполните следующие действия.

  1. Перейдите к учетной записи хранения на портале Azure и просмотрите список контейнеров.

  2. Откройте контекстное меню контейнера, который нужно восстановить, и выберите Отменить удаление.

    Снимок экрана: восстановление обратимого удаленного контейнера на портале Azure.

См. также