Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure Depolama, kuyruk verilerinde işlemleri nasıl yetkilendirmek istediğinizi belirtmenize olanak tanıyan Azure CLI uzantıları sağlar. Veri işlemlerini aşağıdaki yollarla yetkileyebilirsiniz:
- Bir Microsoft Entra güvenlik sorumlusuyla. Microsoft, üstün güvenlik ve kullanım kolaylığı için Microsoft Entra kimlik bilgilerinin kullanılmasını önerir.
- Hesap erişim anahtarı veya paylaşılan erişim imzası (SAS) belirteci ile.
Veri işlemlerinin nasıl yetkilendirileceğini belirtme
Kuyruk verilerini okumak ve yazmak için Azure CLI komutları isteğe bağlı --auth-mode parametresini içerir. Bir veri işleminin nasıl yetkilendirileceğini belirtmek için bu parametreyi belirtin:
-
--auth-modeparametresini, bir Microsoft Entra güvenlik ilkesi kullanarak oturum açmak içinloginolarak ayarlayın (önerilir). -
--auth-modeYetkilendirme için kullanılacak hesap erişim anahtarını almaya çalışmak için parametresini eskikeydeğere ayarlayın. Parametresini--auth-modeatlarsanız, Azure CLI erişim anahtarını da almayı dener.
parametresini --auth-mode kullanmak için Azure CLI v2.0.46 veya üzerini yüklediğinizden emin olun. Yüklü sürümünüzü denetlemek için komutunu çalıştırın az --version .
Uyarı
Bir depolama hesabı Bir Azure Resource Manager ReadOnly kilidiyle kilitlendiğinde, söz konusu depolama hesabı için Liste Anahtarları işlemine izin verilmez. Liste Anahtarları bir POST işlemidir ve hesap için ReadOnly kilidi yapılandırıldığında tüm POST işlemleri engellenir. Bu nedenle, hesap ReadOnly kilidiyle kilitlendiğinde, hesap anahtarlarına sahip olmayan kullanıcıların kuyruk verilerine erişmek için Microsoft Entra kimlik bilgilerini kullanması gerekir.
Önemli
Eğer --auth-mode parametresini atlar veya key olarak ayarlarsanız, o zaman Azure CLI yetkilendirme için hesap erişim anahtarını kullanmayı dener. Bu durumda Microsoft, erişim anahtarını komutta veya ortam değişkeninde AZURE_STORAGE_KEY sağlamanızı önerir. Ortam değişkenleri hakkında daha fazla bilgi için Yetkilendirme parametreleri için ortam değişkenlerini ayarlama başlıklı bölüme bakın.
Erişim anahtarını sağlamazsanız, Azure CLI her bir işlem için Azure Depolama Kaynak Sağlayıcısını çağırarak onu almaya çalışır. Kaynak sağlayıcısına çağrı gerektiren birçok veri işleminin gerçekleştirilmesi, sınırlamaya yol açabilir. Kaynak sağlayıcısı sınırları hakkında daha fazla bilgi için bkz. Azure Depolama kaynak sağlayıcısı için ölçeklenebilirlik ve performans hedefleri.
Microsoft Entra kimlik bilgileriyle yetkilendirme
Azure CLI'da Microsoft Entra kimlik bilgileriyle oturum açtığınızda bir OAuth 2.0 erişim belirteci döndürülür. Bu belirteç Azure CLI tarafından kuyruk depolamaya karşı sonraki veri işlemlerini yetkilendirmek için otomatik olarak kullanılır. Desteklenen işlemler için, artık komutla birlikte bir hesap anahtarı veya SAS belirteci geçirmeniz gerekmiyor.
Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla bir Microsoft Entra güvenlik sorumlusuna kuyruk verilerine izin atayabilirsiniz. Azure Depolama'daki Azure rolleri hakkında daha fazla bilgi için bkz. Azure RBAC ile Azure Depolama verilerine erişim haklarını yönetme.
Veri işlemlerini çağırma izinleri
Azure Depolama uzantıları, kuyruk verileri üzerindeki işlemler için desteklenir. Hangi işlemleri çağırabileceğiniz, Azure CLI'da oturum açtığınızda Microsoft Entra güvenlik sorumlusuna verilen izinlere bağlıdır. Kuyruklara yönelik izinler Azure RBAC aracılığıyla atanır. Örneğin, size Depolama Kuyruğu Veri Okuyucusu rolü atanmışsa, kuyruktan veri okuyan betik komutlarını çalıştırabilirsiniz. Depolama Kuyruğu Veri Katkıda Bulunucu rolüne atanmışsanız, bir kuyruğu veya içerdiği verileri okuyan, yazan veya silen betik komutlarını çalıştırabilirsiniz.
Bir kuyruk üzerindeki her Azure Depolama işlemi için gereken izinler hakkında ayrıntılı bilgi için bkz. OAuth belirteçleriyle depolama işlemlerini çağırma.
Örnek: Microsoft Entra kimlik bilgileriyle kuyruk oluşturmak için bir işlemi yetkilendirme
Aşağıdaki örnekte, Microsoft Entra kimlik bilgilerinizi kullanarak Azure CLI'dan kuyruk oluşturma adımları gösterilmektedir. Kuyruğu oluşturmak için Azure CLI'da oturum açmanız ve bir kaynak grubu ile depolama hesabınız olması gerekir.
Kuyruğu oluşturmadan önce Depolama Kuyruğu Veri Katkıda Bulunanı rolünü kendinize atayın. Hesap sahibi olmanıza rağmen, depolama hesabında veri işlemleri gerçekleştirmek için açık izinlere ihtiyacınız vardır. Azure rollerini atama hakkında daha fazla bilgi için bkz. Kuyruk verilerine erişim için Azure rolü atama.
Önemli
Azure rol atamalarının yayılması birkaç dakika sürebilir.
az storage queue createkomutunu,loginolarak ayarlanmış--auth-modeparametresiyle, Microsoft Entra kimlik bilgilerinizi kullanarak kuyruğu oluşturmak için çağırın. Köşeli ayraçlardaki yer tutucu değerleri kendi değerlerinizle değiştirmeyi unutmayın:az storage queue create \ --account-name <storage-account> \ --name sample-queue \ --auth-mode login
Hesap erişim anahtarıyla yetkilendirme
Hesap anahtarına sahipseniz, herhangi bir Azure Depolama veri işlemini çağırabilirsiniz. Genel olarak, hesap anahtarını kullanmak daha az güvenlidir. Hesap anahtarının gizliliği ihlal edilirse hesabınızdaki tüm veriler tehlikeye girebilir.
Aşağıdaki örnekte hesap erişim anahtarını kullanarak kuyruk oluşturma gösterilmektedir. Hesap anahtarını belirtin ve --auth-mode parametresini key değeriyle sağlayın.
az storage queue create \
--account-name <storage-account> \
--name sample-queue \
--account-key <key>
--auth-mode key
SAS belirteci ile yetkilendirme
SAS belirtecini kullanıyorsanız SAS tarafından izin verilen veri işlemlerini çağırabilirsiniz. Aşağıdaki örnekte SAS belirteci kullanarak kuyruk oluşturma gösterilmektedir:
az storage queue create \
--account-name <storage-account> \
--name sample-queue \
--sas-token <token>
Yetkilendirme parametreleri için ortam değişkenlerini ayarlama
Bir Azure Depolama veri işlemine yapılan her çağrıda bunları eklemekten kaçınmak için ortam değişkenlerinde yetkilendirme parametreleri belirtebilirsiniz. Aşağıdaki tabloda kullanılabilir ortam değişkenleri açıklanmaktadır.
| Ortam değişkeni | Açıklama |
|---|---|
| AZURE_STORAGE_ACCOUNT | Depolama hesabı adı. Bu değişken, depolama hesabı anahtarı veya SAS belirteci ile birlikte kullanılmalıdır. Hiçbiri yoksa Azure CLI, kimliği doğrulanmış Microsoft Entra hesabını kullanarak depolama hesabı erişim anahtarını almaya çalışır. Aynı anda çok sayıda komut çalıştırılırsa, Azure Depolama kaynak sağlayıcısının sınırlama limitine ulaşılabilir. Kaynak sağlayıcısı sınırları hakkında daha fazla bilgi için bkz. Azure Depolama kaynak sağlayıcısı için ölçeklenebilirlik ve performans hedefleri. |
| AZURE_STORAGE_KEY | Depolama hesabı anahtarı. Bu değişken depolama hesabı adıyla birlikte kullanılmalıdır. |
| AZURE_STORAGE_CONNECTION_STRING | Depolama hesabı anahtarını veya SAS belirtecini içeren bir bağlantı dizesi. Bu değişken depolama hesabı adıyla birlikte kullanılmalıdır. |
| AZURE_STORAGE_SAS_TOKEN | Paylaşılan erişim imzası (SAS) belirteci. Bu değişken depolama hesabı adıyla birlikte kullanılmalıdır. |
| AZURE_STORAGE_AUTH_MODE | Komutunun çalıştırıldığı yetkilendirme modu. İzin verilen değerler login (önerilir) veya key şeklindedir. belirtirseniz loginAzure CLI, veri işlemini yetkilendirmek için Microsoft Entra kimlik bilgilerinizi kullanır. Eski key modu belirtirseniz, Azure CLI hesap erişim anahtarını sorgulamayı ve komutu anahtarla yetkilendirmeyi dener. |