概述:修正对 Blob 数据的匿名读取访问

Azure 存储支持对容器和 Blob 进行可选的匿名读取访问。 默认情况下,系统从不允许匿名访问你的数据。 除非你显式启用匿名访问,否则对容器及其 blob 的所有请求都必须获得授权。 建议对所有存储帐户禁用匿名访问。

本文概述了如何修正存储帐户的匿名访问。

警告

匿名访问会带来安全风险。 建议执行以下部分中所述的操作,以修正所有存储帐户的匿名访问,除非你的方案特别需要匿名访问。

有关修正匿名访问的建议

若要修正匿名访问,首先确定存储帐户是使用 Azure 资源管理器部署模型还是经典部署模型。 有关详细信息,请参阅资源管理器与经典部署

Azure 资源管理器帐户

如果存储帐户使用的是 Azure 资源管理器部署模型,则可以通过将帐户的“AllowBlobPublicAccess”属性设置为“False”来随时修正帐户的匿名访问。 将“AllowBlobPublicAccess”属性设置为“False”后,此存储帐户对 Blob 数据的所有请求都将需要授权,无论任何单个容器的匿名访问设置如何

如果存储帐户使用的是 Azure 资源管理器部署模型,则可以通过将帐户的“AllowBlobAnonymousAccess”属性设置为“False”来随时修正帐户的匿名访问。 将“AllowBlobAnonymousAccess”属性设置为“False”后,此存储帐户对 Blob 数据的所有请求都将需要授权,无论任何单个容器的匿名访问设置如何

若要详细了解如何修正 Azure 资源管理器帐户的匿名访问,请参阅修正对 Blob 数据的匿名读取访问(Azure 资源管理器部署)

经典版帐户

如果存储帐户使用的是经典部署模型,则可以通过将每个容器的访问属性设置为“专用”来修正匿名访问。 若要详细了解如何修正经典存储帐户的匿名访问,请参阅修正对 Blob 数据的匿名读取访问(经典部署)

需要匿名访问的方案

如果你的方案要求某些容器可供匿名访问,则应将这些容器及其 Blob 移动到仅保留用于匿名访问的单独存储帐户中。 然后,可以使用有关修正匿名访问的建议中提供的建议来禁止任何其他存储帐户的匿名访问。

有关如何配置容器的匿名访问的详细信息,请参阅配置对容器和 Blob 的匿名读取访问

后续步骤