Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Каждый раз, когда вы обращаетесь к данным в учетной записи хранения, клиентское приложение выполняет запрос по протоколу HTTP/HTTPS в службу хранилища Azure. По умолчанию каждый ресурс в службе хранилища Azure защищен, и каждый запрос к защищенному ресурсу должен быть авторизован. Авторизация гарантирует, что клиентское приложение имеет соответствующие разрешения для доступа к определенному ресурсу в учетной записи хранения.
Это важно
Для оптимальной безопасности корпорация Майкрософт рекомендует использовать Microsoft Entra ID с управляемыми удостоверениями для авторизации запросов к данным в blob-объектах, очередях и таблицах, когда это возможно. Авторизация с помощью идентификатора Microsoft Entra и управляемых удостоверений обеспечивает более высокую безопасность и удобство использования при авторизации общего ключа. Дополнительные сведения об управляемых удостоверениях см. в статье "Что такое управляемые удостоверения для ресурсов Azure". Пример включения и использования управляемого удостоверения для приложения .NET см. в статье Аутентификация размещенных в Azure приложений в ресурсах Azure с помощью .NET.
Для ресурсов, размещенных за пределами Azure, таких как локальные приложения, можно использовать управляемые удостоверения с помощью Azure Arc. Например, приложения, работающие на серверах с поддержкой Azure Arc, могут использовать управляемые удостоверения для подключения к службам Azure. Дополнительные сведения см. в статье "Проверка подлинности в ресурсах Azure с помощью серверов с поддержкой Azure Arc".
В сценариях, где используются совместные ключи доступа (SAS), корпорация Майкрософт рекомендует использовать пользовательские делегированные SAS. SAS делегирования пользователей защищены учетными данными Microsoft Entra вместо ключа учетной записи. Дополнительные сведения о подписанных URL-адресах см. в статье Предоставление ограниченного доступа к данным с помощью подписанных URL-адресов. Для примера создания и использования SAS делегирования пользователей с .NET см. статью "Создание SAS делегирования пользователей для blob с помощью .NET".
Авторизация для операций с данными
В следующем разделе описана поддержка авторизации и рекомендации для каждой службы хранилища Azure.
В следующей таблице приведены сведения о параметрах авторизации, поддерживаемых для объектов BLOB.
| Параметр авторизации | Руководство | Рекомендация |
|---|---|---|
| Майкрософт Ентра айди | Авторизация доступа к данным службы хранилища Azure с помощью идентификатора Microsoft Entra | Корпорация Майкрософт рекомендует использовать Microsoft Entra ID с управляемыми удостоверениями для авторизации запросов к объектам blob. |
| Общий ключ (ключ учетной записи хранения) | Авторизация с помощью общего ключа | Корпорация Майкрософт рекомендует запретить авторизацию общего ключа для учетных записей хранения. |
| Подпись общего доступа (SAS) | Использование общих ключей доступа (SAS) | При необходимости авторизации SAS Microsoft рекомендует использовать делегирование пользователей SAS для ограниченного делегированного доступа к объектам BLOB. Авторизация SAS поддерживается для хранилища Blob Storage и Data Lake Storage и может использоваться для вызовов конечных точек blob и dfs. |
| Анонимный доступ на чтение | Обзор: Устранение анонимного доступа на чтение для BLOB-данных | Корпорация Майкрософт рекомендует отключить анонимный доступ для всех учетных записей хранения. |
| Локальные пользователи хранилища | Поддерживается только для SFTP. Дополнительные сведения см. в статье "Авторизация доступа к хранилищу BLOB-объектов" для клиента SFTP | Дополнительные сведения см. в руководстве по параметрам. |
| Политики защиты Microsoft Purview | Поддерживается для хранилища блоб-объектов Azure и хранилища данных Azure Data Lake. Дополнительные сведения см. в статье "Создание и публикация политик защиты для источников Azure (предварительная версия)". | Дополнительные сведения см. в руководстве по параметрам. |
В следующем разделе кратко описаны параметры авторизации для службы хранилища Azure.
Авторизация общего ключа: применяется к blob-объектам, файлам, очередям и таблицам. Клиент, использующий общий ключ, передает заголовок с каждым запросом, подписанным с помощью ключа доступа к учетной записи хранения. Дополнительные сведения см. в статье Авторизация с помощью общего ключа.
Ключ доступа к учетной записи хранения следует использовать с осторожностью. Любой пользователь, имеющий ключ доступа, может авторизовать запросы к учетной записи хранения и эффективно иметь доступ ко всем данным. Корпорация Майкрософт рекомендует запретить авторизацию общего ключа для учетной записи хранения. Если авторизация с использованием Общего ключа запрещена, клиенты должны использовать идентификатор Microsoft Entra или SAS делегирования пользователей для авторизации запросов данных в этой учетной записи хранения. Дополнительные сведения см. в статье Предотвращение авторизации с общим ключом для учетной записи службы хранения Azure.
Подписи общего доступа для блобов, файлов, очередей и таблиц. Подписанные URL-адреса (SAS) предоставляют ограниченный делегированный доступ к ресурсам в учетной записи хранения с помощью подписанного URL-адреса. Подписанный URL-адрес указывает разрешения, предоставленные ресурсу, и интервал, для которого действительна подпись. SAS службы или SAS учетной записи подписываются ключом учетной записи, в то время как SAS делегирования пользователей подписываются учетными данными Microsoft Entra и применяются только к блобам. Дополнительные сведения см. в статье Об использовании подписанных URL-адресов (SAS).
Интеграция Microsoft Entra: применяется к ресурсам больших двоичных объектов, очередей и таблиц. Корпорация Майкрософт рекомендует использовать учетные данные Microsoft Entra с управляемыми удостоверениями для авторизации запросов к данным, когда это возможно для оптимальной безопасности и удобства использования. Дополнительные сведения об интеграции с Microsoft Entra см. в статьях о больших двоичных объектах, очередях или таблицах .
Управление доступом на основе ролей Azure (Azure RBAC) можно использовать для управления разрешениями субъекта безопасности для больших двоичных объектов, очередей и таблиц в учетной записи хранения. Вы также можете использовать управление доступом на основе атрибутов Azure (ABAC) для добавления условий в назначения ролей Azure для ресурсов BLOB-объектов.
Дополнительные сведения о RBAC см. в статье "Что такое управление доступом на основе ролей Azure(Azure RBAC)?".
Дополнительные сведения об ABAC см. в статье "Что такое управление доступом на основе атрибутов Azure(Azure ABAC)?". Сведения о состоянии функций ABAC см. в разделе "Состояние условий ABAC" в службе хранилища Azure.
Проверка подлинности доменных служб Microsoft Entra: применяется к файлам Azure. Файлы Azure поддерживают авторизацию на основе учетных данных через SMB с использованием доменных служб Microsoft Entra. Azure RBAC можно использовать для детального контроля доступа клиента к ресурсам службы "Файлы Azure" в учетной записи хранения. Дополнительные сведения о проверке подлинности файлов Azure с помощью доменных служб см. в разделе "Общие сведения о параметрах проверки подлинности на основе удостоверений Azure" для доступа К SMB.
Локальная аутентификация с использованием доменных служб Active Directory (AD DS, или локальные AD DS): применяется к файлам Azure. Azure Files поддерживают авторизацию на основе удостоверений по SMB с использованием AD DS. Среда AD DS может размещаться на локальных компьютерах или в виртуальных машинах Azure. Доступ SMB к файлам поддерживается с помощью учетных данных AD DS с присоединенных к домену компьютеров, локальных или в Azure. Вы можете использовать сочетание Azure RBAC для управления доступом на уровне общего ресурса и DACLs NTFS для принудительного применения разрешений на уровне каталога или файла. Дополнительные сведения о проверке подлинности файлов Azure с помощью доменных служб см. в обзоре.
Анонимный доступ на чтение: применяется к ресурсам объектов Blob. Этот параметр использовать не рекомендуется. При настройке анонимного доступа клиенты могут считывать данные BLOB-объектов без авторизации. Рекомендуется отключить анонимный доступ для всех учетных записей хранения. Дополнительные сведения см. в статье "Обзор: устранение анонимного доступа на чтение для данных BLOB-объектов".
Локальные пользователи хранилища: применяется к BLOB-объектам с SFTP или файлами с SMB. Локальные пользователи хранилища поддерживают разрешения уровня контейнера для авторизации. Дополнительные сведения о том, как локальные пользователи хранилища можно использовать с SFTP с помощью протокола SFTP .
Интеграция Microsoft Purview Information Protection: применяется к хранилищу BLOB-объектов Azure и Azure Data Lake Storage. Microsoft Purview Information Protection предлагает политики защиты для защиты конфиденциальных данных в хранилище BLOB-объектов Azure и Azure Data Lake Storage. Purview предоставляет возможность публиковать метки на основе конфиденциальности содержимого. Вы можете создать политики защиты на основе этих меток конфиденциальности, чтобы разрешить или запретить доступ к определенным пользователям, что обеспечивает более безопасный и детализированный доступ к конфиденциальным файлам. Эта функция помогает не только свести к минимуму риск несанкционированного доступа и потенциальных утечек данных, но и повысить общую безопасность организации. Дополнительные сведения см. в статье "Создание и публикация политик защиты для источников Azure (предварительная версия)".
Защита ключей доступа
Ключи доступа к учетной записи хранения предоставляют полный доступ к данным учетной записи хранения и возможность создавать маркеры SAS. Не забудьте защитить ключи доступа. Для безопасного управления и ротации ключей воспользуйтесь Azure Key Vault. Доступ к общему ключу предоставляет пользователю полный доступ к данным учетной записи хранения. Доступ к общим ключам следует тщательно ограничить и отслеживать. Используйте делегированные пользователем маркеры SAS с ограниченным доступом в сценариях, когда невозможно использовать авторизацию через Microsoft Entra ID. Избегайте жесткого написания ключей доступа или сохраняйте их в любом месте обычного текста, доступного другим пользователям. Поверните ключи, если вы считаете, что они были скомпрометированы.
Это важно
Чтобы запретить пользователям доступ к данным в учетной записи хранения с общим ключом, вы можете запретить авторизацию общего ключа для учетной записи хранения. Подробный доступ к данным с минимальными привилегиями рекомендуется в качестве рекомендации по обеспечению безопасности. Авторизация на основе идентификатора Microsoft Entra с помощью управляемых удостоверений должна использоваться для сценариев, поддерживающих OAuth. Kerberos или SMTP следует использовать для Файлы Azure по протоколу SMB. Для Файлы Azure по протоколу REST можно использовать маркеры SAS. Доступ к общему ключу следует отключить, если не требуется, чтобы предотвратить его непреднамеренное использование. Дополнительные сведения см. в статье Предотвращение авторизации с общим ключом для учетной записи службы хранения Azure.
Чтобы защитить учетную запись служба хранилища Azure с помощью политик условного доступа Microsoft Entra, необходимо запретить авторизацию общего ключа для учетной записи хранения.
Если вы отключили доступ к общему ключу, и вы видите авторизацию общего ключа, указанную в журналах диагностики, это означает, что доверенный доступ используется для доступа к хранилищу. Дополнительные сведения см. в разделе "Доверенный доступ" для ресурсов, зарегистрированных в клиенте Microsoft Entra.
Дальнейшие шаги
- Авторизуйте доступ с помощью Microsoft Entra ID к ресурсам blob, очередей или таблиц.
- Авторизация с помощью общего ключа
- Предоставление ограниченного доступа к ресурсам службы хранилища Azure с помощью подписанных URL-адресов (SAS)