Autorizzare l'accesso ai dati in Archiviazione di Azure
Ogni volta che si accede ai dati nell'account di archiviazione, l'applicazione client effettua una richiesta tramite HTTP/HTTPS in Archiviazione di Azure. Per impostazione predefinita, ogni risorsa in Archiviazione di Azure è protetta e ogni richiesta a una risorsa sicura deve essere autorizzata. L'autorizzazione garantisce che l'applicazione client disponga delle autorizzazioni appropriate per accedere a una determinata risorsa nell'account di archiviazione.
Importante
Per una sicurezza ottimale, Microsoft consiglia di usare Microsoft Entra ID con identità gestite per autorizzare le richieste nei dati BLOB, di code e tabelle, quando possibile. L'autorizzazione con Microsoft Entra ID e le identità gestite offre sicurezza e facilità di utilizzo superiori rispetto all'autorizzazione con chiave condivisa. Per altre informazioni sulle identità gestite, vedere Informazioni sulle identità gestite per le risorse di Azure. Per un esempio di come abilitare e usare un'identità gestita per un'applicazione .NET, vedere Autenticazione di app ospitate in Azure in risorse di Azure con .NET.
Per le risorse ospitate all'esterno di Azure, ad esempio le applicazioni locali, è possibile usare le identità gestite tramite Azure Arc. Ad esempio, le app in esecuzione nei server abilitati per Azure Arc possono utilizzare le identità gestite per connettersi ai servizi di Azure. Per altre informazioni, vedere Eseguire l'autenticazione con le risorse di Azure con i server abilitati per Azure Arc.
Per gli scenari in cui vengono utilizzate le firme di accesso condiviso (SAS), Microsoft consiglia di usare una firma di accesso condiviso di delega utente. Una firma di accesso condiviso della delega utente è protetta con le credenziali di Microsoft Entra, anziché dalla chiave dell'account. Per informazioni sulle firme di accesso condiviso, vedere Concedere l'accesso limitato ai dati con firme di accesso condiviso. Per un esempio di come creare e usare una firma di accesso condiviso di delega utente con .NET, vedere Creare una firma di accesso condiviso di delega utente per un BLOB con .NET.
Autorizzazione per le operazioni dei dati
La sezione seguente descrive il supporto delle autorizzazioni e le raccomandazioni per ogni servizio di Archiviazione di Azure.
Nella tabella seguente vengono fornite informazioni sulle opzioni di autorizzazione supportate per i BLOB:
Opzione di autorizzazione | Indicazioni | Elemento consigliato |
---|---|---|
Microsoft Entra ID | Autorizzare l'accesso ai dati di Archiviazione di Azure con Microsoft Entra ID | Microsoft consiglia di usare Microsoft Entra ID con identità gestite per autorizzare le richieste alle risorse BLOB. |
Chiave condivisa (chiave dell'account di archiviazione) | Autorizzare con la chiave condivisa | Microsoft consiglia di non consentire l'autorizzazione della chiave condivisa per gli account di archiviazione. |
Firma di accesso condiviso (SAS) | Uso delle firme di accesso condiviso | Quando è necessaria l'autorizzazione della firma di accesso condiviso, Microsoft consiglia di usare la firma di accesso condiviso delegata per l'accesso limitato alle risorse BLOB. L'autorizzazione sas è supportata per l'archiviazione BLOB e Data Lake Storage e può essere usata per le chiamate a blob endpoint ed dfs endpoint. |
Accesso in lettura anonimo | Panoramica: Correzione dell'accesso in lettura anonimo per i dati BLOB | Microsoft consiglia di disabilitare l'accesso anonimo per tutti gli account di archiviazione. |
Utenti locali di archiviazione | Supportato solo per SFTP. Per altre informazioni, vedere Autorizzare l'accesso all'archiviazione BLOB per un client SFTP | Vedere le linee guida per le opzioni. |
La sezione seguente descrive brevemente le opzioni di autorizzazione per Archiviazione di Azure:
Autorizzazione con chiave condivisa: si applica a BLOB, file, code e tabelle. Un client che usa una chiave condivisa passa con ogni richiesta un'intestazione che viene firmata usando la chiave di accesso dell'account di archiviazione. Per altre informazioni, vedere Authorize with Shared Key (Autorizzazione con chiave condivisa).
La chiave di accesso dell'account di account di archiviazione deve essere usata con cautela. Chiunque abbia la chiave di accesso può autorizzare richieste all'account di archiviazione e di fatto ha accesso a tutti i dati. Microsoft consiglia di non consentire l'autorizzazione della chiave condivisa per l'account di archiviazione. Quando l'autorizzazione con chiave condivisa non è consentita, i client devono usare Microsoft Entra ID o una firma di accesso condiviso della delega utente per autorizzare le richieste di dati in tale account di archiviazione. Per altre informazioni, vedere Impedire l'autorizzazione con chiave condivisa per un account di archiviazione di Azure.
Firme di accesso condiviso per BLOB, file, code e tabelle. Le firme di accesso condiviso (SAS) forniscono accesso delegato limitato alle risorse nell'account di archiviazione tramite un URL firmato. L'URL firmato specifica le autorizzazioni concesse alla risorsa e l'intervallo in cui la firma è valida. Una firma di accesso condiviso del servizio o una firma di accesso condiviso dell'account viene firmata con la chiave dell'account, mentre la firma di accesso condiviso della delega utente viene firmata con le credenziali di Microsoft Entra e si applica solo ai BLOB. Per altre informazioni, vedere Uso delle firme di accesso condiviso.
Integrazione di Microsoft Entra: si applica alle risorse BLOB, code e tabelle. Microsoft consiglia di usare le credenziali di Microsoft Entra con identità gestite per autorizzare le richieste ai dati quando possibile per una sicurezza ottimale e facilità d'uso. Per altre informazioni sull'integrazione di Microsoft Entra, vedere gli articoli relativi alle risorse BLOB, codeo tabelle .
È possibile usare il controllo degli accessi in base al ruolo di Azure per gestire le autorizzazioni di un'entità di sicurezza per le risorse BLOB, code e tabelle in un account di archiviazione. È anche possibile usare il controllo degli accessi in base all'attributo di Azure per aggiungere condizioni alle assegnazioni di ruolo di Azure per le risorse BLOB.
Per ulteriori informazioni sul controllo degli accessi in base al ruolo, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?.
Per ulteriori informazioni sugli accessi in base all'attributo, vedi Che cos'è il controllo degli accessi in base agli attributi di Azure?. Per informazioni sullo stato delle funzionalità del controllo degli accessi in base al ruolo, vedere Stato delle funzionalità delle condizioni del controllo degli accessi in base al ruolo in Archiviazione di Azure.
Autenticazione di Microsoft Entra Domain Services: si applica a File di Azure. File di Azure supporta l'autorizzazione basata sull'identità su Server Message Block (SMB) tramite Microsoft Entra Domain Services. È possibile usare il controllo degli accessi in base al ruolo di Azure per il controllo granulare dell'accesso di un client alle risorse di File di Azure in un account di archiviazione. Per altre informazioni sull'autenticazione di File di Azure tramite servizi di dominio, vedere Panoramica delle opzioni di autenticazione basate sull'identità di File di Azure per l'accesso SMB.
Autenticazione di Active Directory Domain Services locale (AD DS o AD DS locale): si applica a File di Azure. File di Azure supporta l'autorizzazione basata sull'identità su MB tramite AD DS. L'ambiente di Active Directory Domain Services può essere ospitato in computer locali o in macchine virtuali di Azure. L'accesso SMB ai file è supportato usando le credenziali di Active Directory Domain Services dai computer aggiunti a un dominio, in locale o in Azure. È possibile usare una combinazione di Controllo degli accessi in base al ruolo di Azure per il controllo di accesso a livello di condivisione e le licenze DACL NTFS per l'imposizione delle autorizzazioni a livello di directory/file. Per altre informazioni sull'autenticazione di File di Azure con i servizi di dominio, vedere la panoramica.
Accesso in lettura anonimo: si applica alle risorse BLOB. Questa opzione non è consigliata. Quando è configurato l'accesso anonimo, i client possono leggere i dati BLOB senza autorizzazione. È consigliabile disabilitare l'accesso anonimo per tutti gli account di archiviazione. Per altre informazioni, vedere Panoramica: Correzione dell'accesso in lettura anonimo per i dati BLOB.
Utenti locali di archiviazione: si applica ai BLOB con SFTP o file con SMB. Archiviazione utenti locali supporta le autorizzazioni a livello di contenitore per l'autorizzazione. Per altre informazioni sul modo in cui gli utenti locali dell'archiviazione possono essere usati con SFTP, vedere Connettersi all'Archiviazione BLOB di Azure tramite SSH File Transfer Protocol (SFTP).
Proteggere le chiavi di accesso
Le chiavi di accesso dell'account di archiviazione forniscono l'accesso completo ai dati dell'account di archiviazione e la possibilità di generare token di firma di accesso condiviso. Fare sempre attenzione a proteggere le chiavi di accesso. Usare Azure Key Vault per gestire e ruotare le chiavi in modo sicuro. L'accesso alla chiave condivisa concede a un utente l'accesso completo ai dati di un account di archiviazione. L'accesso alle chiavi condivise deve essere limitato e monitorato con attenzione. Usare i token di firma di accesso condiviso di delega utente con un ambito limitato di accesso negli scenari in cui non è possibile usare l'autorizzazione basata su Microsoft Entra ID. Evitare chiavi di accesso con codifica fissa o salvarle in qualsiasi punto del testo normale che sia accessibile ad altri utenti. Ruotare le chiavi se si ritiene che potrebbero essere state compromesse.
Importante
Per evitare che gli utenti accedano ai dati nell'account di archiviazione con Chiave condivisa, è possibile non consentire l'autorizzazione con chiave condivisa per tale account. L'accesso granulare ai dati con privilegi minimi necessari è consigliato come procedura ottimale di protezione. Per gli scenari che supportano OAuth, è consigliabile usare l'autorizzazione basata su Microsoft Entra ID con identità gestite. Kerberos o SMTP deve essere usato per File di Azure tramite SMB. Per File di Azure tramite REST, è possibile usare i token di firma di accesso condiviso. L'accesso con chiave condivisa deve essere disabilitato, se non necessario, per evitarne l'uso involontario. Per altre informazioni, vedere Impedire l'autorizzazione con chiave condivisa per un account di archiviazione di Azure.
Per proteggere un account di Archiviazione di Azure con i criteri di accesso condizionale di Microsoft Entra, è necessario non consentire l'autorizzazione di Chiave condivisa per tale account.
Se è stato disabilitato l'accesso con chiave condivisa e viene visualizzata l'autorizzazione di Chiave condivisa nei log di diagnostica, significa che l'accesso attendibile viene usato per accedere all'archiviazione. Per altri dettagli, vedere Accesso attendibile per le risorse registrate nel tenant di Microsoft Entra.
Passaggi successivi
- Autorizzare l'accesso con Microsoft Entra ID a risorse BLOB, codeo tabelle.
- Autorizzare con la chiave condivisa
- Concedere accesso limitato alle risorse di Archiviazione di Azure tramite firme di accesso condiviso