使用 Azure 门户管理 Blob 容器
Azure blob 存储允许存储大量非结构化对象数据。 可以使用 Blob 存储来收集或向用户公开媒体、内容或应用程序数据。 由于所有 blob 数据都存储在容器中,因此必须先创建存储容器,然后才能开始上传数据。 若要了解有关 Blob 存储的详细信息,请参阅 Azure Blob 存储简介。
本操作指南文章将介绍如何在 Azure 门户中使用容器对象。
先决条件
若要访问 Azure 存储,需要一个 Azure 订阅。 如果你还没有订阅,请在开始前创建试用帐户。
对 Azure 存储进行的所有访问都要通过存储帐户完成。 本操作指南文章介绍如何使用 Azure 门户、Azure PowerShell 或 Azure CLI 创建存储帐户。 有关如何创建存储帐户的帮助,请参阅创建存储帐户。
创建容器
容器对一组 blob 进行组织,类似于文件系统中的目录。 一个存储帐户可以包含无限数量的容器,一个容器可以存储无限数量的 Blob。
若要在 Azure 门户中创建容器,请执行以下步骤:
在屏幕左侧的门户导航窗格中,选中“存储帐户”并选择存储帐户。 如果导航窗格不可见,请选择菜单按钮使其可见。
在存储帐户的导航窗格中,滚动到“数据存储”部分,然后选择“容器”。
在“容器”窗格中,选择“+ 容器”按钮以打开“新建容器”窗格。
在“新建容器”窗格中,为新容器输入名称。 容器名称必须小写,必须以字母或数字开头,并且只能包含字母、数字和短划线 (-) 字符。 名称的长度还必须介于 3 到 63 个字符之间。 有关容器名称和 Blob 名称的详细信息,请参阅 Naming and referencing containers, blobs, and metadata(命名和引用容器、Blob 和元数据)。
为容器设置“匿名访问级别”。 建议的级别为“专用(禁止匿名访问)”。 若要了解如何防止匿名访问 blob 数据,请参阅概述:修正 blob 数据的匿名读取访问。
选择“创建”创建容器。
读取容器属性和元数据
容器公开系统属性和用户定义的元数据。 每个 Blob 存储资源都存在系统属性。 有些属性是只读的,而其他属性可以读取或设置。
用户定义的元数据包含一个或多个你为 Blob 存储资源指定的名称/值对。 可以使用元数据存储资源的其他值。 元数据值仅用于你自己的目的,不会影响资源的行为方式。
容器属性
若要在 Azure 门户中显示容器的属性,请执行以下步骤:
读取和写入容器元数据
存储帐户中拥有大量对象的用户可以使用元数据在容器内按逻辑整理数据。
若要在 Azure 门户中管理容器的元数据,请执行以下步骤:
导航到存储帐户中的容器列表。
选中要管理其元数据的容器的名称旁的复选框。
选择容器的“更多(...)”按钮,然后选择“编辑元数据”以显示“容器元数据”窗格。
“容器元数据”窗格将显示现有的元数据键值对。 可以通过选择现有键或值并覆盖数据来编辑现有数据。 可以通过在提供的空字段中输入数据来添加其他元数据。 最后,选择“保存”提交数据。
管理容器和 Blob 访问
正确管理对容器及其 blob 的访问是确保数据安全的关键。 以下部分介绍满足访问要求的方法。
管理容器的 Azure RBAC 角色分配
Microsoft Entra ID 为 Blob 存储资源提供最佳安全性。 Azure 基于角色的访问控制 (Azure RBAC) 确定安全主体赋予给定资源的权限。 若要授予对容器的访问权限,则在容器范围或更高范围中将 RBAC 角色分配给用户、组、服务主体或托管标识。 还可以选择向角色分配添加一个或多个条件。
可以在使用 Azure 门户分配 Azure 角色中了解角色分配。
生成共享访问签名
共享访问签名 (SAS) 为通常没有权限的客户端提供临时、安全、委托的访问。 使用 SAS 可以精细控制客户端访问数据的方式。 例如,可以指定客户端可用的资源。 你还可以限制客户端可以执行的操作类型,并指定持续时间。
Azure 支持三种类型的 SAS。 服务 SAS 只能提供对以下一个存储服务中的资源的访问权限:Blob、队列、表或文件服务。 帐户 SAS 类似于服务 SAS,但可允许访问多个存储服务中的资源。 用户委托 SAS 是使用 Microsoft Entra 凭据保护的 SAS,只能与 Blob 存储服务结合使用。
创建 SAS 时,可以根据权限级别、IP 地址或范围,或开始和到期日期和时间设置访问限制。 有关详细信息,请参阅使用共享访问签名授予对 Azure 存储资源的有限访问权限。
注意
拥有有效 SAS 的任何客户端都可以访问该 SAS 允许的存储帐户中的数据。 防止 SAS 被恶意使用或意料之外的使用很重要。 请谨慎分发 SAS,并制定撤销受到安全威胁的 SAS 的计划。
若要使用 Azure 门户生成 SAS 令牌,请执行以下步骤:
在 Azure 门户中,导航到存储帐户中的容器的列表。
选中要为其生成 SAS 令牌的容器的名称旁的复选框。
选择容器的“更多(...)”按钮,然后选择“生成 SAS”以显示“生成 SAS”窗格。
在“生成 SAS”窗格中,为“签名方法”字段选择“帐户密钥”值。
在“签名方法”字段中,选择“帐户密钥”。 选择帐户密钥将创建服务 SAS。
在“签名密钥”字段中,选择要用于签署 SAS 的所需密钥。
在“存储的访问策略”字段中,选择“无”。
选择“权限”字段,然后选中与所需权限对应的复选框。
在“开始和到期日期/时间”部分,指定所需的“开始”和“到期”日期、时间和时区值。
(可选)在“允许的 IP 地址”字段中指定要从中接受请求 IP 地址或 IP 地址范围。 如果请求 IP 地址与 SAS 令牌中指定的 IP 地址或地址范围不匹配,则不会为此请求 IP 地址授权。
(可选)在“允许的协议”字段中指定通过 SAS 发出的请求所允许的协议。 默认值为 HTTPS。
查看设置是否准确,然后选择“生成 SAS 令牌和 URL”以显示“Blob SAS 令牌”和“Blob SAS URL”查询字符串。
将“Blob SAS 令牌”和“Blob SAS URL”值复制并粘贴到安全的位置。 这些信息只会显示一次,在关闭窗口后不再可以检索到。
注意
门户返回的 SAS 令牌不包含 URL 查询字符串的分隔符字符 ('?')。 如果要将 SAS 令牌追加到资源 URL,请记住在追加 SAS 令牌之前将分隔符字符追加到资源 URL。
创建存储访问或不可变性策略
使用存储的访问策略可以对一个或多个共享访问签名进行额外的服务器端控制。 将 SAS 与存储的访问策略相关联时,SAS 会继承策略中定义的限制。 使用这些额外限制可以更改签名的开始时间、到期时间或权限。 也可以在发布后将其撤销。
不可变性策略可用于避免覆盖和删除数据。 不可变性策略允许创建和读取对象,但在特定持续时间内会阻止修改或删除对象。 Blob 存储支持两种类型的不可变性策略。 基于时间的保留策略会在定义的时间段内禁止写入和删除操作。 法定保留也禁止写入和删除操作,必须明确清除法定保留才能恢复这些操作。
创建存储访问策略
配置存储的访问策略是一个两步过程:必须先定义策略,然后应用于容器。 若要配置存储的访问策略,请执行以下步骤:
在 Azure 门户中,导航到存储帐户中的容器的列表。
选中要为其生成 SAS 令牌的容器的名称旁的复选框。
选择容器的“更多(...)”按钮,然后选择“访问策略”以显示“访问策略”窗格。
在“访问策略”窗格中,选择“存储的访问策略”部分中的“+ 添加策略”以显示“添加策略”窗格。 所有现有策略均将显示在相应的部分中。
在“添加策略”窗格中,选择“标识符”框并为新策略添加名称。
选择“权限”字段,然后选中与新策略所需权限对应的复选框。
(可选)为“开始时间”和“到期时间”字段输入日期、时间和时区值,以设置策略的有效期。
查看设置是否准确,然后选择“确定”以更新“访问策略”窗格。
注意
尽管目前“存储的访问策略”表中显示了策略,但它仍未应用于容器。 如果此时离开“访问策略”窗格,则不会保存或应用策略,并且将丢失工作内容。
在“访问策略”窗格中,选择“+ 添加策略”以定义其他策略,或选择“保存”以将新策略应用于容器。 创建至少一个存储的访问策略后,可将其他安全访问签名 (SAS) 与其关联。
创建不可变性策略
详细了解如何为容器配置不可变性策略。 如需有关实现不可变性策略的帮助,请按照配置保留策略或配置或清除法定保留中概述的步骤进行操作。
管理租约
容器租约用于为删除操作建立或管理锁定。 在 Azure 门户中获取租约时,只能创建无限期的锁定。 以编程方式创建时,锁定持续时间可以在 15 到 60 秒之间,也可以是无限期。
租约操作模式有五种,但在 Azure 门户中只有两种可用:
使用案例 | ||
---|---|---|
请求新的租约。 | ✓ | |
续订现有租约。 | ||
更改现有租约的 ID。 | ||
结束当前租约;允许其他客户端获取新的租约 | ✓ | |
结束当前租约;防止其他客户端在当前租约期内获取新的租约 |
获取租用
若要使用 Azure 门户获取租约,请执行以下步骤:
在 Azure 门户中,导航到存储帐户中的容器的列表。
选中要为其获取租约的容器的名称旁的复选框。
选择容器的“更多(...)”按钮,然后选择“获取租约”以请求新的租约并在“租约状态”窗格中显示详细信息。
最近请求的租约的“容器”和“租约 ID”属性值显示在“租约状态”窗格中。 复制这些值并粘贴在安全位置。 这些信息只会显示一次,在关闭窗格后不再可以检索到。
中断租用
若要使用 Azure 门户中断租约,请执行以下步骤:
在 Azure 门户中,导航到存储帐户中的容器的列表。
选中要为其中断租约的容器的名称旁的复选框。
选择容器的“更多(...)”按钮,然后选择“中断租约”以中断租约。
中断租约后,将更新所选容器的租约状态值,并显示状态确认。
删除容器
在 Azure 门户中删除容器时,也将删除容器中的所有 blob。
警告
按照以下步骤可以永久删除容器及其包含的任何 blob。 Azure 建议启用容器软删除,防止意外删除容器和 Blob。 有关详细信息,请参阅容器的软删除。
若要在 Azure 门户中删除容器,请执行以下步骤:
在某些情况下,可以检索已删除的容器。 如果在存储帐户上启用了软删除数据保护选项,则可以访问在关联保持期内删除的容器。 若要详细了解软删除,请参阅容器软删除一文。
查看软删除的容器
启用软删除后,可在 Azure 门户中查看软删除的容器。 软删除的容器在指定的保持期内可见。 保持期到期后,软删除的容器将被永久删除,不再可见。
若要在 Azure 门户中查看软删除的容器,请执行以下步骤:
在 Azure 门户中导航到你的存储帐户,查看你的容器列表。
切换“显示删除的容器”开关,以将已删除的容器包含在列表中。
还原软删除的容器
可在保持期内还原软删除的容器及其内容。 若要在 Azure 门户中还原软删除的容器,请执行以下步骤:
在 Azure 门户中导航到你的存储帐户,查看你的容器列表。
显示要还原的容器的上下文菜单,然后从菜单中选择“撤消删除”。