Delen via

PowerShell-opdrachten uitvoeren met Microsoft Entra-referenties voor toegang tot blobgegevens

Azure Storage biedt extensies voor PowerShell waarmee u zich kunt aanmelden en scriptopdrachten kunt uitvoeren met Microsoft Entra-referenties. Wanneer u zich met Microsoft Entra-referenties aanmeldt bij PowerShell, wordt er een OAuth 2.0-toegangstoken geretourneerd. Dit token wordt automatisch door PowerShell gebruikt om volgende gegevensbewerkingen voor Blob Storage te autoriseren. Voor ondersteunde bewerkingen hoeft u geen accountsleutel of SAS-token meer door te geven met de opdracht.

U kunt machtigingen toewijzen aan blobgegevens aan een Microsoft Entra-beveiligingsprincipaal via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Zie Een Azure-rol toewijzen voor toegang tot blobgegevens voor meer informatie over Azure-rollen in Azure Storage.

Ondersteunde bewerkingen

De Azure Storage-extensies worden ondersteund voor bewerkingen op blobgegevens. Welke bewerkingen u kunt aanroepen, is afhankelijk van de machtigingen die zijn verleend aan de Microsoft Entra-beveiligingsprincipaal waarmee u zich aanmeldt bij PowerShell. Machtigingen voor Azure Storage-containers worden toegewezen via Azure RBAC. Als u bijvoorbeeld de rol Blob-gegevenslezer hebt toegewezen, kunt u scriptopdrachten uitvoeren waarmee gegevens uit een container worden gelezen. Als u de rol Inzender voor blobgegevens hebt toegewezen, kunt u scriptopdrachten uitvoeren waarmee een container of de gegevens die ze bevatten, lezen, schrijven of verwijderen.

Zie Opslagbewerkingen aanroepen met OAuth-tokens voor meer informatie over de machtigingen die vereist zijn voor elke Azure Storage-bewerking in een container.

Belangrijk

Wanneer een opslagaccount met een Azure Resource Manager ReadOnly-vergrendeling is vergrendeld, is de bewerking Lijstsleutels niet toegestaan voor dat opslagaccount. Lijstsleutels is een POST-bewerking en alle POST-bewerkingen worden voorkomen wanneer een ReadOnly-vergrendeling is geconfigureerd voor het account. Daarom, wanneer het account is vergrendeld met een ReadOnly-vergrendeling, moeten gebruikers die nog niet beschikken over de accountsleutels, Microsoft Entra-referenties gebruiken om toegang te krijgen tot blobgegevens. Neem in PowerShell de -UseConnectedAccount parameter op om een AzureStorageContext-object te maken met uw Microsoft Entra-referenties.

PowerShell-opdrachten aanroepen met behulp van Microsoft Entra-referenties

Als u Azure PowerShell wilt gebruiken om u aan te melden en volgende bewerkingen uit te voeren voor Azure Storage met behulp van Microsoft Entra-referenties, maakt u een opslagcontext om te verwijzen naar het opslagaccount en neemt u de -UseConnectedAccount parameter op.

In het volgende voorbeeld ziet u hoe u een container maakt in een nieuw opslagaccount vanuit Azure PowerShell met behulp van uw Microsoft Entra-referenties. Vergeet niet om placeholderwaarden in de hoeken te vervangen door uw eigen waarden.

  1. Meld u aan bij uw Azure-account met de opdracht Connect-AzAccount :

    Connect-AzAccount

    Zie Aanmelden met Azure PowerShell voor meer informatie over aanmelden bij Azure met PowerShell.

  2. Maak een Azure-resourcegroep door New-AzResourceGroup aan te roepen.

    $resourceGroup = "sample-resource-group-ps"
$location = "eastus"
New-AzResourceGroup -Name $resourceGroup -Location $location

  3. Maak een opslagaccount door New-AzStorageAccount aan te roepen.

    $storageAccount = New-AzStorageAccount -ResourceGroupName $resourceGroup `
  -Name "<storage-account>" `
  -SkuName Standard_LRS `
  -Location $location `
  -AllowBlobPublicAccess $false

  4. Haal de context van het opslagaccount op die het nieuwe opslagaccount specificeert door New-AzStorageContext te gebruiken. Wanneer u op een opslagaccount werkt, kunt u verwijzen naar de context in plaats van herhaaldelijk de referenties door te geven. Neem de -UseConnectedAccount parameter op om eventuele volgende gegevensbewerkingen aan te roepen met behulp van uw Microsoft Entra-referenties:

    $ctx = New-AzStorageContext -StorageAccountName "<storage-account>" -UseConnectedAccount

  5. Voordat u de container maakt, moet u de rol Inzender voor opslagblobgegevens aan uzelf toewijzen. Hoewel u de accounteigenaar bent, hebt u expliciete machtigingen nodig om gegevensbewerkingen uit te voeren voor het opslagaccount. Zie Een Azure-rol toewijzen voor toegang tot blobgegevens voor meer informatie over het toewijzen van Azure-rollen.

    Belangrijk

    Het kan enkele minuten duren voordat Azure-roltoewijzingen zijn doorgegeven.

  6. Maak een container door New-AzStorageContainer aan te roepen. Omdat deze aanroep gebruikmaakt van de context die in de vorige stappen is gemaakt, wordt de container gemaakt met behulp van uw Microsoft Entra-referenties.

    $containerName = "sample-container"
New-AzStorageContainer -Name $containerName -Context $ctx

Volgende stappen