Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Корпорация Майкрософт рекомендует заблокировать все учетные записи хранения с помощью блокировки Azure Resource Manager, чтобы предотвратить случайное или вредоносное удаление учетной записи хранения. Существует два типа блокировок ресурсов Azure Resource Manager:
- Блокировка CannotDelete запрещает пользователям удалять учетную запись хранения, но разрешает чтение и изменение ее конфигурации.
- Блокировка ReadOnly запрещает пользователям удалять учетную запись хранения или изменять ее конфигурацию, но позволяет читать конфигурацию.
Дополнительные сведения о блокировках Azure Resource Manager см. в разделе "Блокировка ресурсов", чтобы предотвратить изменения.
Осторожность
Блокировка учетной записи хранения не защищает контейнеры или блобы в этой учетной записи от удаления или перезаписи. Для получения дополнительной информации о защите данных BLOB см. обзор защиты данных.
Настройка блокировки Azure Resource Manager
Чтобы настроить блокировку учетной записи хранения на портале Azure, выполните следующие действия.
Войдите в свою учетную запись хранения на портале Azure.
В разделе "Параметры" выберите "Блокировки".
Выберите Добавить.
Укажите имя блокировки ресурса и укажите тип блокировки. При желании добавьте примечание о блокировке.
Авторизация операций с данными при действии блокировки ReadOnly
При применении блокировки ReadOnly к учетной записи хранения операция "Ключи списка " блокируется для этой учетной записи хранения. Операция "Ключи списка" — это операция HTTPS POST, и все операции POST предотвращаются при настройке блокировки ReadOnly для учетной записи. Операция " Ключи списка" возвращает ключи доступа к учетной записи, которые затем можно использовать для чтения и записи в любые данные в учетной записи хранения.
Если клиент имеет ключи доступа к учетной записи во время применения блокировки к учетной записи хранения, клиент может продолжать использовать ключи для доступа к данным. Однако клиентам, у которых нет доступа к ключам, потребуется использовать учетные данные Microsoft Entra для доступа к данным BLOB-объектов или очередей в учетной записи хранения.
Пользователи портала Azure могут оказаться затронутыми, когда применяется блокировка ReadOnly, если они ранее получили доступ к данным BLOB-объектов или очередей на портале с использованием ключей доступа к учетной записи. После применения блокировки на портале пользователям потребуется использовать учетные данные Microsoft Entra для доступа к данным BLOB или очереди. Для этого пользователю должна быть назначена по крайней мере две роли RBAC: роль читателя Azure Resource Manager как минимум и одна из ролей доступа к данным службы хранилища Azure. Дополнительные сведения см. в следующих статьях:
- Выберите, как авторизовать доступ к данным Blob на портале Azure
- Выбор способа авторизации доступа к данным очереди на портале Azure
Данные в файлах Azure или службе таблиц могут стать недоступными для клиентов, которые ранее имели доступ к ним с помощью ключей учетной записи. Рекомендуется применить блокировку ReadOnly к учетной записи хранения, а затем переместить рабочие нагрузки службы файлов Azure и службы таблиц в учетную запись хранения, которая не заблокирована блокировкой ReadOnly .