Autorisieren von Anforderungen an Azure Storage
Jede Anforderung bei einer geschützten Ressource im Blob-, Datei-, Warteschlangen- oder Tabellenspeicherdienst muss autorisiert werden. Die Autorisierung stellt sicher, dass auf Ressourcen in Ihrem Speicherkonto nur zugegriffen werden kann, wenn Sie dies wünschen, und auch nur von den Benutzern und Anwendungen, denen Sie Zugriff gewähren.
In der folgenden Tabelle werden die Optionen beschrieben, die in Azure Storage zum Autorisieren des Ressourcenzugriffs zur Verfügung stehen:
| Azure-Artefakt | Gemeinsam verwendeter Schlüssel (Speicherkontoschlüssel) | Shared Access Signature (SAS) | Microsoft Entra ID | Lokale Active Directory Domain Services | Anonymer öffentlicher Lesezugriff |
|---|---|---|---|---|---|
| Azure-Blobs | Unterstützt | Unterstützt | Unterstützt | Nicht unterstützt | Unterstützt |
| Azure Files (SMB) | Unterstützt | Nicht unterstützt | Unterstützt mit Microsoft Entra Domain Services oder Microsoft Entra Kerberos | Anmeldeinformationen müssen mit Microsoft Entra ID synchronisiert werden. | Nicht unterstützt |
| Azure Files (REST) | Unterstützt | Unterstützt | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| Azure-Warteschlangen | Unterstützt | Unterstützt | Unterstützt | Nicht unterstützt | Nicht unterstützt |
| Azure-Tabellen | Unterstützt | Unterstützt | Unterstützt | Nicht unterstützt | Nicht unterstützt |
Im Anschluss werden die einzelnen Autorisierungsoptionen kurz erläutert:
Microsoft Entra ID:Microsoft Entra ist der cloudbasierte Identitäts- und Zugriffsverwaltungsdienst von Microsoft. Microsoft Entra ID Integration ist für die Dienste Blob, File, Queue und Table verfügbar. Mit Microsoft Entra ID können Sie Benutzern, Gruppen oder Anwendungen einen differenzierten Zugriff über die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) zuweisen. Informationen zur Microsoft Entra ID Integration in Azure Storage finden Sie unter Autorisieren mit Microsoft Entra ID.
Microsoft Entra Domain Services Autorisierung für Azure Files. Azure Files unterstützt die identitätsbasierte Autorisierung über Server Message Block (SMB) über Microsoft Entra Domain Services. Sie können die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für eine präzise Steuerung des Clientzugriffs auf Azure Files-Ressourcen in einem Speicherkonto verwenden. Weitere Informationen zur Azure Files Authentifizierung mithilfe von Domänendiensten finden Sie unter Azure Files identitätsbasierte Autorisierung.
Active Directory-Autorisierung (AD) für Azure Files. Azure Files unterstützt identitätsbasierte Autorisierung über SMB über AD. Ihr AD-Domänendienst kann auf lokalen Computern oder auf Azure-VMs gehostet werden. Der SMB-Zugriff auf Dateien wird mithilfe von AD-Anmeldeinformationen von in die Domäne eingebundenen Computern unterstützt, entweder lokal oder in Azure. Sie können RBAC für die Zugriffssteuerung auf Freigabeebene und NTFS-DACLs für die Erzwingung von Berechtigungen auf Verzeichnis- und Dateiebene verwenden. Weitere Informationen zur Azure Files Authentifizierung mithilfe von Domänendiensten finden Sie unter Azure Files identitätsbasierte Autorisierung.
Gemeinsam genutzter Schlüssel: Die Autorisierung mit gemeinsam genutztem Schlüssel basiert auf Ihren Kontozugriffsschlüsseln und anderen Parametern, um eine verschlüsselte Signaturzeichenfolge zu erzeugen, die für die Anforderung im Autorisierungsheader übergeben wird. Weitere Informationen zur Autorisierung mit gemeinsam genutzten Schlüsseln finden Sie unter Autorisieren mit gemeinsam genutztem Schlüssel.
Shared Access Signatures: Shared Access Signatures (SAS) delegieren den Zugriff auf eine bestimmte Ressource in Ihrem Konto mit angegebenen Berechtigungen und über ein bestimmtes Zeitintervall. Weitere Informationen zu SAS finden Sie unter Delegieren des Zugriffs mit einer Shared Access Signature.
Anonymer Zugriff auf Container und Blobs: Sie können Blobressourcen optional auf Container- oder Blobebene öffentlich machen. Jeder Benutzer hat anonymen Lesezugriff auf öffentliche Container und Blobs. Leseanforderungen bei öffentlichen Containern und Blobs erfordern keine Autorisierung. Weitere Informationen finden Sie unter Aktivieren des öffentlichen Lesezugriffs für Container und Blobs in Azure Blob Storage.
Tipp
Die Authentifizierung und Autorisierung des Zugriffs auf Blob-, Datei-, Warteschlangen- und Tabellendaten mit Microsoft Entra ID bietet eine höhere Sicherheit und Benutzerfreundlichkeit als andere Autorisierungsoptionen. Wenn Sie beispielsweise Microsoft Entra ID verwenden, vermeiden Sie, dass Sie Ihren Kontozugriffsschlüssel mit Ihrem Code speichern müssen, wie bei der Autorisierung mit gemeinsam genutzten Schlüsseln. Während Sie die Autorisierung mit gemeinsam genutzten Schlüsseln weiterhin mit Ihren Blob- und Warteschlangenanwendungen verwenden können, empfiehlt Microsoft, nach Möglichkeit zu Microsoft Entra ID zu wechseln.
Ebenso können Sie shared access signatures (SAS) weiterhin verwenden, um differenzierten Zugriff auf Ressourcen in Ihrem Speicherkonto zu gewähren, aber Microsoft Entra ID bietet ähnliche Funktionen, ohne SAS-Token verwalten zu müssen oder sich Gedanken über das Widerrufen einer kompromittierten SAS machen zu müssen.
Weitere Informationen zur integration von Microsoft Entra ID in Azure Storage finden Sie unter Autorisieren des Zugriffs auf Azure-Blobs und -Warteschlangen mithilfe von Microsoft Entra ID.