Configure anonymous read access for containers and blobs

Статья
2025-04-12

Azure Storage supports optional anonymous read access for containers and blobs. Анонимный доступ к данным по умолчанию никогда не разрешен. Unless you explicitly enable anonymous access, all requests to a container and its blobs must be authorized. При настройке параметра уровня доступа контейнера для разрешения анонимного доступа клиенты могут считывать данные в этом контейнере без авторизации запроса.

Предупреждение

Когда контейнер настроен для анонимного доступа, любой клиент может считывать данные в этом контейнере. Анонимный доступ представляет собой потенциальный риск безопасности, поэтому если сценарий не требует его, рекомендуется устранить анонимный доступ для учетной записи хранения.

This article describes how to configure anonymous read access for a container and its blobs. Для получения информации об устранении анонимного доступа к данным BLOB-объектов для оптимальной безопасности см. "Устранение анонимного доступа на чтение к данным BLOB-объектов".

О анонимном доступе для чтения

Анонимный доступ к данным всегда запрещен по умолчанию. Существует два отдельных параметра, влияющих на анонимный доступ:

Параметр анонимного доступа для учетной записи хранения. Учетная запись хранения Azure Resource Manager предлагает параметр для разрешения или запрета анонимного доступа для учетной записи. Корпорация Майкрософт рекомендует запретить анонимный доступ для учетных записей хранения для оптимальной безопасности.

Если анонимный доступ разрешен на уровне учетной записи, данные блоб недоступны для анонимного доступа к чтению, если пользователь не выполняет дополнительный шаг, чтобы явно настроить настройки анонимного доступа контейнера.
Настройте параметр анонимного доступа контейнера. По умолчанию параметр анонимного доступа контейнера отключен, то есть для каждого запроса к контейнеру или его данным требуется авторизация. Пользователь с соответствующими разрешениями может изменить параметр анонимного доступа контейнера, чтобы включить анонимный доступ только в том случае, если анонимный доступ разрешен для учетной записи хранения.

В следующей таблице показано, как два параметра влияют на анонимный доступ для контейнера.

	Уровень анонимного доступа для контейнера установлен на Приватный (параметр по умолчанию).	Уровень анонимного доступа для контейнера установлен на значение «Контейнер»	Уровень анонимного доступа для контейнера установлен на Blob.
Анонимный доступ запрещен для учетной записи хранения	Анонимный доступ к какому-либо контейнеру в учетной записи хранения запрещен.	Анонимный доступ к какому-либо контейнеру в учетной записи хранения запрещен. The storage account setting overrides the container setting.	Анонимный доступ к какому-либо контейнеру в учетной записи хранения запрещен. The storage account setting overrides the container setting.
Анонимный доступ разрешен для учетной записи хранения	Анонимный доступ к этому контейнеру (конфигурация по умолчанию) отсутствует.	Anonymous access is permitted to this container and its blobs.	Anonymous access is permitted to blobs in this container, but not to the container itself.

Если анонимный доступ разрешен для учетной записи хранения и настроен для определенного контейнера, запрос на чтение большого двоичного объекта в этом контейнере заголовка, принимается службой, а данные большого двоичного объекта возвращаются в ответе. Однако если запрос передается с заголовком Authorization , анонимный доступ к учетной записи хранения игнорируется, и запрос авторизован на основе предоставленных учетных данных.

Разрешить или запретить анонимный доступ на чтение для учетной записи хранения

Если анонимный доступ разрешен для учетной записи хранения, пользователь с соответствующими разрешениями может изменить параметр анонимного доступа контейнера, чтобы обеспечить анонимный доступ к данным в этом контейнере. Данные BLOB-объектов никогда не доступны для анонимного доступа, если пользователь не выполняет дополнительный шаг, чтобы явно настроить параметр анонимного доступа контейнера.

Помните, что анонимный доступ к контейнеру всегда отключен по умолчанию и должен быть явно настроен для разрешения анонимных запросов. Независимо от параметра учетной записи хранения ваши данные никогда не будут доступны для анонимного доступа, если пользователь с соответствующими разрешениями не принимает этот дополнительный шаг, чтобы включить анонимный доступ в контейнере.

Disallowing anonymous access for the storage account overrides the access settings for all containers in that storage account, preventing anonymous access to blob data in that account. Если анонимный доступ запрещен для учетной записи, невозможно настроить параметр доступа для контейнера, чтобы разрешить анонимный доступ, и любые будущие анонимные запросы к этой учетной записи завершаются ошибкой. Before changing this setting, be sure to understand the impact on client applications that might be accessing data in your storage account anonymously. Дополнительные сведения см. в разделе "Предотвращение анонимного доступа на чтение к контейнерам и BLOB-объектам".

Внимание

После запрета анонимного доступа для учетной записи хранения клиенты, использующие вызов анонимного носителя, будут находить, что служба хранилища Azure возвращает ошибку 403 (запрещено), а не ошибку 401 (несанкционированно). Рекомендуется сделать все контейнеры частными для устранения этой проблемы. Дополнительные сведения об изменении параметра анонимного доступа для контейнеров см. в разделе "Настройка уровня доступа для контейнера".

Для разрешения или запрета анонимного доступа требуется версия 2019-04-01 или более поздняя версия поставщика ресурсов хранилища Azure. Дополнительные сведения см. в разделе REST API поставщика ресурсов службы хранилища Microsoft Azure.

Разрешения для запрета анонимного доступа

Чтобы задать свойство AllowBlobAnonymousAccess для учетной записи хранения, пользователь должен иметь разрешения на создание учетных записей хранения и управление ими. Роли управления доступом на основе ролей в Azure (Azure RBAC), предоставляющие эти разрешения, включают в себя действие Microsoft.Storage/storageAccounts/write. Built-in roles with this action include:

роль Владельца в Azure Resource Manager
The Azure Resource Manager Contributor role
The Storage Account Contributor role

Назначения ролей должны быть ограничены уровнем учетной записи хранения или выше, чтобы разрешить пользователю запретить анонимный доступ для учетной записи хранения. For more information about role scope, see Understand scope for Azure RBAC.

Будьте осторожны, чтобы ограничить назначение этих ролей только теми пользователями администратора, которым требуется возможность создать учетную запись хранения или обновить его свойства. Используйте принцип наименьших привилегий, чтобы предоставлять пользователям минимальный набор разрешений, необходимый для выполнения их задач. Дополнительные сведения об управлении доступом с помощью Azure RBAC см. в разделе Рекомендации по использованию Azure RBAC.

Эти роли не предоставляют доступ к данным в учетной записи хранения с помощью идентификатора Microsoft Entra. Однако они включают действие Microsoft.Storage/storageAccounts/listkeys/action, которое предоставляет доступ к ключам доступа учетной записи. Пользователь с этим разрешением может использовать ключи доступа учетной записи для доступа ко всем данным в учетной записи хранения.

Microsoft.Storage /storageAccounts/listkeys/action сам предоставляет доступ к данным через ключи учетной записи, но не предоставляет пользователю возможность изменять свойство AllowBlobPublicAccess для учетной записи хранения. Для пользователей, которым требуется доступ к данным в вашей учетной записи хранения, но которые не должны иметь возможности изменять конфигурацию учетной записи хранения, рекомендуется назначать такие роли, как Вкладчик данных BLOB-хранилища, Читатель данных BLOB-хранилища или Читатель и доступ к данным.

Примечание.

Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль владельца включает все действия, поэтому пользователь с одной из этих административных ролей также может создавать учетные записи хранения и управлять конфигурацией учетной записи. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Установить свойство AllowBlobPublicAccess для учетной записи хранения

Чтобы разрешить или запретить анонимный доступ для учетной записи хранения, задайте свойство AllowBlobPublicAccess этой учетной записи. Это свойство доступно для всех учетных записей хранения, созданных с помощью модели развертывания Azure Resource Manager. Дополнительные сведения см. в статье Общие сведения об учетных записях хранения.

Чтобы разрешить или запретить анонимный доступ для учетной записи хранения в портал Azure, выполните следующие действия.

Войдите в свою учетную запись хранения на портале Azure.
Выберите параметр Configuration (Конфигурация) в разделе Settings (Параметры).
Установите Разрешить анонимный доступ к Blob в положение включено или отключено.

Чтобы разрешить или запретить анонимный доступ для учетной записи хранения с помощью PowerShell, установите Azure PowerShell версии 4.4.0 или более поздней. Затем настройте свойство AllowBlobPublicAccess для новой или существующей учетной записи хранения.

В следующем примере создается учетная запись хранения, и свойство AllowBlobPublicAccess явно устанавливается в значение false. Не забудьте заменить значения заполнителей в скобках собственными значениями.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$location = "<location>"

# Create a storage account with AllowBlobPublicAccess explicitly set to false.
New-AzStorageAccount -ResourceGroupName $rgName `
    -Name $accountName `
    -Location $location `
    -SkuName Standard_GRS `
    -AllowBlobPublicAccess $false

# Read the AllowBlobPublicAccess property for the newly created storage account.
(Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName).AllowBlobPublicAccess

Чтобы разрешить или запретить анонимный доступ для учетной записи хранения с помощью Azure CLI, установите Azure CLI версии 2.9.0 или более поздней. Дополнительные сведения см. в статье Установка Azure CLI. Затем настройте свойство AllowBlobPublicAccess для новой или существующей учетной записи хранения.

В следующем примере создается учетная запись хранения и для свойства allowBlobPublicAccess явно устанавливается значение false. Не забудьте заменить значения заполнителей в скобках собственными значениями.

az storage account create \
    --name <storage-account> \
    --resource-group <resource-group> \
    --kind StorageV2 \
    --location <location> \
    --allow-blob-public-access false

az storage account show \
    --name <storage-account> \
    --resource-group <resource-group> \
    --query allowBlobPublicAccess \
    --output tsv

Чтобы разрешить или запретить анонимный доступ для учетной записи хранения с помощью шаблона, создайте шаблон со свойством AllowBlobPublicAccess , равным true или false. Ниже показано, как это сделать с помощью шаблона на портале Microsoft Azure.

На портале Azure щелкните Создать ресурс.
In Search services and marketplace, type template deployment, and then press ENTER.
Выберите развертывание шаблонов (развертывание с помощью пользовательских шаблонов), нажмите кнопку "Создать", а затем выберите " Создать собственный шаблон" в редакторе.

В редакторе шаблонов вставьте следующий код JSON, чтобы создать новую учетную запись, и задайте для свойства AllowBlobPublicAccess значение true или false. Remember to replace the placeholders in angle brackets with your own values.

{
    "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentTemplate.json#",
    "contentVersion": "1.0.0.0",
    "parameters": {},
    "variables": {
        "storageAccountName": "[concat(uniqueString(subscription().subscriptionId), 'template')]"
    },
    "resources": [
        {
        "name": "[variables('storageAccountName')]",
        "type": "Microsoft.Storage/storageAccounts",
        "apiVersion": "2019-06-01",
        "location": "<location>",
        "properties": {
            "allowBlobPublicAccess": false
        },
        "dependsOn": [],
        "sku": {
          "name": "Standard_GRS"
        },
        "kind": "StorageV2",
        "tags": {}
        }
    ]
}

Сохраните шаблон.
Укажите параметр группы ресурсов, а затем нажмите кнопку Проверка и создание, чтобы развернуть шаблон и создать учетную запись хранения с настроенным свойством AllowBlobPublicAccess.

Примечание.

Запрет анонимного доступа для учетной записи хранения не влияет на статические веб-сайты, размещенные в этой учетной записи хранения. Контейнер $web всегда является общедоступным.

После обновления параметра анонимного доступа для учетной записи хранения может потребоваться до 30 секунд до полного распространения изменения.

Если контейнер настроен для анонимного доступа, запросы на чтение больших двоичных объектов в этом контейнере не должны быть авторизованы. Однако все правила брандмауэра, настроенные для учетной записи хранения, остаются в силе и блокируют трафик в соответствии с настроенными списками управления доступом.

В примерах этого раздела показано, как считывать свойство AllowBlobPublicAccess для учетной записи хранения, чтобы определить, разрешен ли анонимный доступ в настоящее время или запрещен. Сведения о том, как убедиться, что параметр анонимного доступа учетной записи настроен для предотвращения анонимного доступа, см. в статье "Исправление анонимного доступа" для учетной записи хранения.

Настройка уровня анонимного доступа для контейнера

To grant anonymous users read access to a container and its blobs, first allow anonymous access for the storage account, then set the container's anonymous access level. Если анонимный доступ запрещен для учетной записи хранения, вы не сможете настроить анонимный доступ для контейнера.

Внимание

Microsoft recommends against permitting anonymous access to blob data in your storage account.

Если анонимный доступ разрешен для учетной записи хранения, можно настроить контейнер со следующими разрешениями:

No public read access: The container and its blobs can be accessed only with an authorized request. Это — параметр по умолчанию для всех новых контейнеров.
Общедоступный доступ на чтение только для больших двоичных объектов: большие двоичные объекты в контейнере можно считывать анонимным запросом, но данные контейнера недоступны анонимно. Anonymous clients can't enumerate the blobs within the container.
Общий доступ на чтение для контейнера и его BLOB-объектов: данные контейнера и BLOB-объектов могут считываться анонимным запросом, кроме параметров разрешений и метаданных контейнера. Клиенты могут перечислять блоб-объекты внутри контейнера с помощью выполненного анонимного запроса, но не могут перечислять контейнеры в учетной записи хранения.

You can't change the anonymous access level for an individual blob. Уровень анонимного доступа устанавливается только на уровне контейнера. При создании контейнера можно задать анонимный уровень доступа контейнера или обновить параметр существующего контейнера.

Чтобы обновить уровень анонимного доступа для одного или нескольких существующих контейнеров в портал Azure, выполните следующие действия.

Перейдите на страницу обзора вашей учетной записи хранения в портале Azure.
В колонке меню хранилища данных выберите контейнеры.
Выберите контейнеры, для которых необходимо задать уровень анонимного доступа.
Нажмите кнопку "Изменить уровень доступа", чтобы отобразить параметры анонимного доступа.
Выберите требуемый уровень анонимного доступа в раскрывающемся списке "Анонимный доступ" и нажмите кнопку "ОК", чтобы применить изменение к выбранным контейнерам.

Если анонимный доступ запрещен для учетной записи хранения, невозможно задать уровень анонимного доступа контейнера. Если вы пытаетесь задать уровень анонимного доступа контейнера, параметр отключен, так как анонимный доступ запрещен для учетной записи.

Снимок экрана: настройка уровня анонимного доступа контейнера блокируется, когда анонимный доступ запрещен для учетной записи

Чтобы обновить уровень анонимного доступа для одного или нескольких контейнеров с помощью PowerShell, вызовите команду Set-AzStorageContainerAcl . Авторизуйте эту операцию, передав ключ учетной записи, строку подключения или подписанный URL-адрес (SAS). Операция установки ACL контейнера, которая задает уровень анонимного доступа для контейнера, не поддерживает авторизацию с использованием Microsoft Entra ID. For more information, see Permissions for calling blob and queue data operations.

В следующем примере создается контейнер с отключенным анонимным доступом, а затем обновляется параметр анонимного доступа контейнера для разрешения анонимного доступа к контейнеру и его BLOB-объектам. Не забудьте заменить значения заполнителей в скобках собственными значениями.

# Set variables.
$rgName = "<resource-group>"
$accountName = "<storage-account>"
# Get context object.
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
# Create a new container with anonymous access setting set to Off.
$containerName = "<container>"
New-AzStorageContainer -Name $containerName -Permission Off -Context $ctx
# Read the container's anonymous access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx
# Update the container's anonymous access setting to Container.
Set-AzStorageContainerAcl -Container $containerName -Permission Container -Context $ctx
# Read the container's anonymous access setting.
Get-AzStorageContainerAcl -Container $containerName -Context $ctx

Если анонимный доступ запрещен для учетной записи хранения, невозможно задать уровень анонимного доступа контейнера. Если вы пытаетесь задать уровень анонимного доступа контейнера, служба хранилища Azure возвращает ошибку, указывающую, что анонимный доступ не разрешен в учетной записи хранения.

Чтобы обновить уровень анонимного доступа для одного или нескольких контейнеров с помощью Azure CLI, вызовите команду az storage container set permission . Авторизуйте эту операцию, передав ключ учетной записи, строку подключения или подписанный URL-адрес (SAS). Операция установки ACL контейнера, которая задает уровень анонимного доступа для контейнера, не поддерживает авторизацию с использованием Microsoft Entra ID. For more information, see Permissions for calling blob and queue data operations.

az storage container create \
    --name <container-name> \
    --account-name <account-name> \
    --resource-group <resource-group>
    --public-access off \
    --account-key <account-key> \
    --auth-mode key
az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key
az storage container set-permission \
    --name <container-name> \
    --account-name <account-name> \
    --public-access container \
    --account-key <account-key> \
    --auth-mode key
az storage container show-permission \
    --name <container-name> \
    --account-name <account-name> \
    --account-key <account-key> \
    --auth-mode key

Если анонимный доступ запрещен для учетной записи хранения, невозможно задать уровень анонимного доступа контейнера. Если вы пытаетесь задать уровень анонимного доступа контейнера, служба хранилища Azure возвращает ошибку, указывающую, что анонимный доступ не разрешен в учетной записи хранения.

Проверьте параметр анонимного доступа для набора контейнеров

Можно проверить, какие контейнеры в одной или нескольких учетных записях хранения настроены для анонимного доступа, перечислив контейнеры и проверив параметр анонимного доступа. Этот подход является удобным решением, когда в учетной записи хранения мало контейнеров или когда параметр проверяется в небольшом числе аккаунтов хранения. Однако при попытке перечисления большого количества контейнеров производительность может снизиться.

В следующем примере powerShell используется для получения параметра анонимного доступа для всех контейнеров в учетной записи хранения. Не забудьте заменить значения заполнителей в скобках собственными значениями.

$rgName = "<resource-group>"
$accountName = "<storage-account>"
$storageAccount = Get-AzStorageAccount -ResourceGroupName $rgName -Name $accountName
$ctx = $storageAccount.Context
Get-AzStorageContainer -Context $ctx | Select Name, PublicAccess

Поддержка функций

На поддержку данной функции может повлиять включение протокола Data Lake Storage 2-го поколения, протокола сетевой файловой системы (NFS) 3.0 или протокола SFTP. If you've enabled any of these capabilities, see Blob Storage feature support in Azure Storage accounts to assess support for this feature.

Поделиться через