Azure 存储帐户包含所有 Azure 存储数据对象:Blob、文件、队列和表。 存储帐户为你的 Azure 存储数据提供了一个唯一的命名空间,可以从世界上的任何位置通过 HTTP 或 HTTPS 访问该命名空间。 有关 Azure 存储帐户的详细信息,请参阅存储帐户概述。 若要创建专门用于 Azure 文件存储的存储帐户,请参阅创建 SMB 文件共享。
本操作指南文章介绍如何使用 Azure 门户、Azure PowerShell、Azure CLI 或 Azure 资源管理器模板创建存储帐户。
如果没有 Azure 订阅,可在开始前创建一个试用帐户。
接下来,登录到 Azure。
存储帐户是 Azure 资源管理器资源。 资源管理器是 Azure 的部署和管理服务。 有关详细信息,请参阅 Azure 资源管理器概述。
每个资源管理器资源(包括 Azure 存储帐户)都必须属于某个 Azure 资源组。 资源组是对 Azure 资源进行分组的逻辑容器。 在创建存储帐户时,可以选择创建新的资源组,也可以使用现有资源组。 此操作说明显示了如何创建新资源组。
使用 PowerShell、Azure CLI、Bicep 或 Azure 模板创建存储帐户时,存储帐户类型由 kind 参数指定(例如 StorageV2)。 性能层和冗余配置由 sku 或 SkuName 参数一起指定(例如 Standard_GRS)。 下表显示了用于 kind 参数以及 sku 或 SkuName 参数的值,以创建具有所需冗余配置的特定类型的存储帐户。
| 存储帐户的类型 | 受支持的冗余配置 | kind 参数支持的值 | sku 或 SkuName 参数支持的值 | 支持分层命名空间 |
|---|---|---|---|---|
| 标准常规用途 v2 | LRS/GRS/RA-GRS/ZRS/GZRS/RA-GZRS | StorageV2 | Standard_LRS/Standard_GRS/Standard_RAGRS/Standard_ZRS/Standard_GZRS/Standard_RAGZRS | 是 |
| 高级块 blob | LRS/ZRS | BlockBlobStorage | Premium_LRS/Premium_ZRS | 是 |
| 高级文件共享 | LRS/ZRS | FileStorage | Premium_LRS/Premium_ZRS | 否 |
| 高级页 Blob | LRS | StorageV2 | Premium_LRS | 否 |
| 旧的标准常规用途 v1 | LRS/GRS/RA-GRS | 存储 | Standard_LRS/Standard_GRS/Standard_RAGRS | 否 |
| 旧的 blob 存储 | LRS/GRS/RA-GRS | BlobStorage | Standard_LRS/Standard_GRS/Standard_RAGRS | 否 |
若要通过 Azure 门户创建 Azure 存储帐户,请执行以下步骤:
在左侧门户菜单中,选择“存储帐户”以显示存储帐户的列表。 如果门户菜单不可见,请单选择菜单按钮将其打开。
在“存储帐户”页上,选择“创建” 。
新存储帐户的选项都被组织到“创建存储帐户”页中的各个选项卡内。 以下各部分介绍了每个选项卡及其选项。
“基本信息”选项卡上提供了存储帐户的基本信息。 完成“基本信息”选项卡后,可选择设置其他选项卡上的选项来进一步自定义你的新存储帐户,也可以选择“查看 + 创建”以接受默认选项,然后继续验证并创建帐户 。
下表描述了“基本信息”选项卡上的字段。
| 部分 | 字段 | 必需或可选 | 说明 |
|---|---|---|---|
| 项目详细信息 | 订阅 | 必需 | 选择新存储帐户的订阅。 |
| 项目详细信息 | 资源组 | 必需 | 为此存储帐户创建新的资源组,或选择现有的资源组。 有关详细信息,请参阅资源组。 |
| 实例详细信息 | 存储帐户名称 | 必需 | 为存储帐户选择唯一的名称。 存储帐户名称必须为 3 到 24 个字符,并且只能包含数字和小写字母。 |
| 实例详细信息 | 区域 | 必需 | 为存储帐户选择正确的区域。 有关详细信息,请参阅 Azure 中的区域和可用性区域。 对于所有类型的存储帐户或冗余配置,并非所有区域都受支持。 有关详细信息,请参阅 Azure 存储冗余。 区域的选择可能会对计费产生影响。 有关详细信息,请参阅存储帐户计费。 |
| 实例详细信息 | 性能 | 必需 | 为常规用途 v2 存储帐户选择“标准”性能(默认值)。 在大多数情况下,Azure 建议使用此类型帐户。 有关详细信息,请参阅存储帐户的类型。 对于需要低延迟的情况,请选择“高级”。 选择“高级”后,选择要创建的高级存储帐户的类型。 可以使用以下类型的高级存储帐户: |
| 实例详细信息 | 冗余 | 必需 | 选择所需的冗余配置。 并非所有冗余选项都适用于所有区域中的所有存储帐户类型。 有关冗余配置的详细信息,请参阅 Azure 存储冗余。 如果选择异地冗余配置(GRS 或 GZRS),则会将数据复制到不同区域中的数据中心。 对于次要区域中数据的读取访问权限,请选择“在区域不可用的情况下,提供对数据的读取访问”。 |
下图显示了新存储帐户的基本属性的标准配置。
在“高级”选项卡上,可以为新的存储帐户配置其他选项并修改默认设置。 其中的某些选项也可在创建存储帐户后进行配置,而其他选项必须在创建时配置。
下表描述了“高级”选项卡上的字段。
| 部分 | 字段 | 必需或可选 | 说明 |
|---|---|---|---|
| 安全性 | 需要安全传输才能进行 REST API 操作 | 可选 | 要求使用安全传输以确保仅通过 HTTPS(默认值)发出对此存储帐户的传入请求。 推荐此设置以获取最佳安全性。 有关详细信息,请参阅要求采用安全传输以确保安全连接。 |
| 安全性 | 允许在单个容器上启用匿名访问 | 可选 | 启用此设置后,具有相应权限的用户可以启用对存储帐户中容器的匿名访问(默认值)。 禁用此设置将阻止对存储帐户进行所有匿名访问。 Microsoft 建议禁用此设置以提高安全性。 有关详细信息,请参阅阻止对容器和 Blob 的匿名读取访问。 启用匿名访问不会使 blob 数据可供匿名访问,除非用户采取额外步骤显式配置了容器的匿名访问设置。 |
| 安全性 | 启用存储帐户密钥访问权限 | 可选 | 启用此设置后,客户端可使用帐户访问密钥或 Microsoft Entra 帐户(默认值)向存储帐户授予请求。 禁用此设置将阻止使用帐户访问密钥进行授权。 有关详细信息,请参阅阻止对 Azure 存储帐户进行共享密钥授权。 |
| 安全性 | 最低 TLS 版本 | 必需 | 对于存储帐户的传入请求,请选择最低版本的传输层安全性 (TLS)。 默认值为 TLS 版本 1.2。 当设置为默认值时,使用 TLS 1.0 或 TLS 1.1 发出的传入请求将被拒绝。 有关详细信息,请参阅针对发送到存储帐户的请求强制实施必需的最低版本的传输层安全性 (TLS)。 |
| 安全性 | 允许的复制操作范围(预览版) | 必需 | 选择可从中将数据复制到新帐户的存储帐户的范围。 默认值为 From any storage account。 设置为默认值时,具有相应权限的用户可以将数据从任何存储帐户复制到新帐户。如果选择 From storage accounts in the same Azure AD tenant,则仅允许从同一 Microsoft Entra 租户中的存储帐户执行复制操作。如果选择 From storage accounts that have a private endpoint to the same virtual network,则仅允许从在同一虚拟网络中具有专用终结点的存储帐户执行复制操作。有关详细信息,请参阅将复制操作的来源限制为存储帐户。 |
| Data Lake Storage | 启用分层命名空间 | 可选 | 要将此存储帐户用于 Azure Data Lake Storage 工作负载,请配置分层命名空间。 有关详细信息,请参阅 Azure Data Lake Storage 简介。 |
| Blob 存储 | 启用 SFTP | 可选 | 启用安全文件传输协议 (SFTP) 以通过 Internet 安全地传输数据。 有关详细信息,请参阅 Azure Blob 存储中的安全文件传输 (SFTP) 协议支持。 |
| Blob 存储 | 启用网络文件系统 (NFS) v3 | 可选 | NFS v3 在对象存储规模上提供 Linux 文件系统兼容性,使 Linux 客户端能够从 Azure 虚拟机 (VM) 或本地计算机将容器装载在 Blob 存储中。 有关详细信息,请参阅 Azure Blob 存储中的网络文件系统 (NFS) 3.0 协议支持。 |
| Blob 存储 | 允许跨租户复制 | 必需 | 默认情况下,具有适当权限的用户可跨 Microsoft Entra 租户配置对象复制。 若要防止跨租户复制,请取消选中此选项。 有关详细信息,请参阅防止跨 Microsoft Entra 租户进行复制。 |
| Blob 存储 | 访问层 | 必需 | 使用 Blob 访问层可以根据使用情况以最经济高效的方式存储 blob 数据。 对经常访问的数据选择热层(默认值)。 对不常访问的数据选择冷层。 有关详细信息,请参阅 Blob 数据的热访问层、冷访问层和存档访问层。 |
在“网络”选项卡上,可以为新的存储帐户配置网络连接和路由首选项设置。 也可在创建存储帐户后配置这些选项。
下表描述了“网络”选项卡上的字段。
| 部分 | 字段 | 必需或可选 | 说明 |
|---|---|---|---|
| 网络连接 | 网络访问 | 必需 | 默认情况下,传入网络流量会路由到存储帐户的公共终结点。 可以指定必须通过 Azure 虚拟网络将流量路由到公共终结点。 你还可以为你的存储帐户配置专用终结点。 有关详细信息,请参阅对 Azure 存储使用专用终结点。 |
在“数据保护”选项卡上,可以为新存储帐户中的 blob 数据配置数据保护选项。 也可在创建存储帐户后配置这些选项。 有关 Azure 存储中的数据保护选项的概述,请参阅数据保护概述。
下表描述了“数据保护”选项卡上的字段。
| 部分 | 字段 | 必需或可选 | 说明 |
|---|---|---|---|
| 恢复 | 为容器启用时间点还原 | 可选 | 时间点还原支持将块 blob 数据还原到之前的状态,以防止意外删除或损坏。 有关详细信息,请参阅块 blob 的时间点还原。 启用时间点还原还会启用 blob 版本控制、blob 软删除和 blob 更改源。 这些必备功能可能会对成本产生影响。 有关详细信息,请参阅时间点还原的定价和计费。 |
| 恢复 | 为 blob 启用软删除 | 可选 | Blob 软删除会于指定的保持期内在系统中保留已删除的数据,以保护单个 blob、快照或版本不被意外删除或覆盖。 在保持期内,可以将软删除的对象还原到删除时的状态。 有关详细信息,请参阅 blob 软删除。 Azure 建议为存储帐户启用 Blob 软删除,并设置至少保留期 7 天。 |
| 恢复 | 启用容器软删除 | 可选 | 容器软删除会于指定的保持期内在系统中保留已删除的数据,以保护容器及其内容不被意外删除。 在保持期内,可以将软删除的容器还原到删除时的状态。 有关详细信息,请参阅容器软删除。 Azure 建议为你的存储帐户启用容器软删除,并将最短保持期设置为七天。 |
| 恢复 | 为文件共享启用软删除 | 可选 | 文件共享软删除会于指定的保持期内在系统中保留已删除的数据,以保护文件共享及其内容不被意外删除。 在保持期内,可以将软删除的文件共享还原到删除时的状态。 有关详细信息,请参阅防止意外删除 Azure 文件共享。 Azure 建议对 Azure 文件存储工作负载启用文件共享软删除,并将最短保持期设置为七天。 |
| 跟踪 | 为 blob 启用版本控制 | 可选 | 当覆盖 blob 时,blob 版本控制会自动保存之前版本的 blob 的状态。 有关详细信息,请参阅 Blob 版本控制。 Microsoft 建议为存储帐户启用 blob 版本控制以实现最佳数据保护。 |
| 跟踪 | 为 blob 启用更改源 | 可选 | Blob 更改源提供存储帐户中所有 blob 及其元数据的所有更改的事务日志。 有关详细信息,请参阅 Azure Blob 存储中的更改源支持。 |
| 访问控制 | 启用版本级别的不可变性支持 | 可选 | 启用对范围为 Blob 版本的不可变策略的支持。 如果选择此选项,则创建存储帐户后,可为帐户或容器配置默认基于时间的保留策略,默认情况下,帐户或容器中的 Blob 版本将继承。 有关详细信息,请参阅对存储帐户启用版本级不可变支持。 |
在“加密”选项卡上,可以配置与将数据保存到云时的加密方式相关的选项。 其中一些选项只能在创建存储帐户时配置。
| 字段 | 必需或可选 | 说明 |
|---|---|---|
| 加密类型 | 必需 | 默认情况下,使用 Microsoft 托管密钥加密存储帐户中的数据。 可以依赖于使用 Microsoft 托管的密钥来加密数据,也可以使用你自己的密钥来管理加密。 有关详细信息,请参阅静态数据的 Azure 存储加密。 |
| 启用对客户管理的密钥的支持 | 必需 | 默认情况下,客户管理的密钥只能用于加密 blob 和文件。 将此选项设置为“所有服务类型(blob、文件、表和队列)”,这样就可以对所有服务使用客户管理的密钥。 如果选择此选项,则不需要使用客户管理的密钥。 有关详细信息,请参阅用于 Azure 存储加密的客户管理的密钥。 |
| 加密密钥 | 如果“加密类型”字段设置为“客户管理的密钥”,则此项是必需的。 | 如果你选择“选择密钥保管库和密钥”,系统会提供导航到你要使用的密钥保管库和密钥的选项。 如果选择“从 URI 输入密钥”,则会显示一个用于输入密钥 URI 和订阅的字段。 |
| 用户分配的标识 | 如果“加密类型”字段设置为“客户管理的密钥”,则此项是必需的。 | 如果在创建存储帐户时配置客户管理的密钥,则必须提供用户分配的标识,用于授权访问密钥保管库。 |
| 启用基础结构加密 | 可选 | 默认情况下,未启用基础结构加密。 启用基础结构加密,可在服务级别和基础结构级别对数据进行加密。 有关详细信息,请参阅创建启用了基础结构加密的存储帐户,以便对数据进行双重加密。 |
在标记选项卡上,可以指定资源管理器标记以帮助整理 Azure 资源。 有关详细信息,请参阅标记资源、资源组和订阅以合理进行整理。
导航到“查看 + 创建”选项卡时,Azure 会对你选择的存储帐户设置运行验证。 如果验证通过,则可以继续创建存储帐户。
如果验证失败,门户将指示需要修改哪些设置。
删除存储帐户将删除整个帐户,包括该帐户中的所有数据。 删除帐户前请务必备份要保存的任何数据。
如果尝试删除与 Azure 虚拟机关联的存储帐户,则会显示一条错误消息,指出存储帐户仍在使用。 有关排除此错误的帮助信息,请参阅删除存储帐户时排除错误。
或者,你可以删除资源组,该操作将删除该资源组中的存储帐户和其他任何资源。 有关删除资源组的详细信息,请参阅删除资源组和资源。