通过访问控制教程提高Azure存储的安全性

这些循序渐进的指南详细介绍了如何在Microsoft Azure存储中授予有限的访问权。这种最佳做法有助于保持存储安全，使其免受内部和外部威胁。

最低权限访问是管理员应该应用于Microsoft Azure存储安全的一个长期原则。

用户不应访问他们在工作中不特别需要的东西。这一Azure存储安全的最佳实践有助于限制勒索软件攻击的爆炸半径。勒索软件在用户的权限下运行，无法攻击用户无法访问的任何东西。

这个基本概念也延伸到了基于角色的访问控制。微软Azure提供身份和访问管理（IAM）角色，管理员可以将其分配给用户、组和服务负责人。始终分配最严格的角色，仍然允许用户做他们的工作。

一步一步来。设置访问权限

要授予Azure存储账户的访问权，请打开存储账户，然后点击**访问控制（IAM）**标签，如图所示。

通过访问控制（IAM）选项卡控制访问。

要授予对存储资源的访问权，点击添加角色分配按钮。这将带你到添加角色分配屏幕，在那里你可以选择一个IAM角色来分配。例如，所有者角色提供对资源的完全访问，而读者角色允许只读访问。

一旦你选择了一个角色，点击下一步。你会被带到一个屏幕上，提示你选择你想分配角色的用户、组或服务负责人。

再一次点击下一步，你会看到一个屏幕，让你有机会审查设置。假设一切看起来都很好，点击审查+分配按钮来进行角色分配。

正如可以向存储账户授予权限一样，你可以使用同样的技术来授予Azure Blob存储的访问权。要做到这一点，请打开要配置的容器，然后点击**访问控制（IAM）**标签。由此产生的配置屏幕与前图所示的屏幕相同。

这种方法是为了给你组织内的用户授予权限。然而，一个容器的内容也可以被公众访问。虽然公共访问有它的位置，但你可能不希望全世界都能访问你的所有Blobs。因此，请检查一个容器的访问权限，以确保它被设置为你喜欢的级别。

要做到这一点，请点击该容器，然后点击 "改变访问级别"按钮。正如你在这里的截图中所看到的，你可以为Blobs或Blobs和容器提供匿名阅读权限。还有一个私人选项，可以完全阻止匿名访问。

在大多数情况下，管理员应该将Blob存储设置为私有。

解决一个主要的访问问题

Azure存储安全的最大挑战之一是那些不应该访问你的存储账户密钥的用户，但他们需要对你的存储账户进行更多的基本访问，无论是永久的还是暂时的。

通过创建一个共享访问签名（SAS）来解决这个需求。在Azure门户内打开你的存储账户，然后选择共享访问签名标签。正如你在这里的截图中所看到的，这个标签上的选项使你能够选择用户可以访问的服务和资源，以及这些资源的权限。此外，你可以为SAS指定一个开始和结束时间，这使你有可能临时授予对存储资源的访问。

选择所需服务、资源和权限的复选框。然后，点击 "生成SAS和连接字符串 "按钮。

当你完成后，点击 "生成SAS和连接字符串"按钮。这将使Azure生成一系列对应于你所选的各种服务的URL。它还会生成一个SAS令牌和一个连接字符串。任何通过这些URL访问存储资源的人都会受到你所设置的限制的约束。