创建 Azure 存储帐户

项目
2024/11/26

Azure 存储帐户包含所有 Azure 存储数据对象：Blob、文件、队列和表。存储帐户为你的 Azure 存储数据提供了一个唯一的命名空间，可以从世界上的任何位置通过 HTTP 或 HTTPS 访问该命名空间。有关 Azure 存储帐户的详细信息，请参阅存储帐户概述。若要创建专门用于 Azure 文件存储的存储帐户，请参阅创建 SMB 文件共享。

本操作指南文章介绍如何使用 Azure 门户、Azure PowerShell、Azure CLI 或 Azure 资源管理器模板创建存储帐户。

先决条件

如果没有 Azure 订阅，可在开始前创建一个试用帐户。

可以安装 CLI 并在本地运行 CLI 命令。

在本地安装 Azure CLI

如果计划在本地使用 Azure CLI，请确保已安装最新版本的 Azure CLI。请参阅安装 Azure CLI。

接下来，登录到 Azure。

使用 Connect-AzAccount 命令登录到 Azure 订阅，然后按照屏幕上的说明进行身份验证。

Connect-AzAccount -Environment AzureChinaCloud

若要登录到本地安装的 CLI，请运行 az login 命令：

az login

创建存储帐户

存储帐户是 Azure 资源管理器资源。资源管理器是 Azure 的部署和管理服务。有关详细信息，请参阅 Azure 资源管理器概述。

每个资源管理器资源（包括 Azure 存储帐户）都必须属于某个 Azure 资源组。资源组是对 Azure 资源进行分组的逻辑容器。在创建存储帐户时，可以选择创建新的资源组，也可以使用现有资源组。此操作说明显示了如何创建新资源组。

存储帐户类型参数

使用 PowerShell、Azure CLI、Bicep 或 Azure 模板创建存储帐户时，存储帐户类型由 kind 参数指定（例如 StorageV2）。性能层和冗余配置由 sku 或 SkuName 参数一起指定（例如 Standard_GRS）。下表显示了用于 kind 参数以及 sku 或 SkuName 参数的值，以创建具有所需冗余配置的特定类型的存储帐户。

存储帐户的类型	受支持的冗余配置	kind 参数支持的值	sku 或 SkuName 参数支持的值	支持分层命名空间
标准常规用途 v2	LRS/GRS/RA-GRS/ZRS/GZRS/RA-GZRS	StorageV2	Standard_LRS/Standard_GRS/Standard_RAGRS/Standard_ZRS/Standard_GZRS/Standard_RAGZRS	是
高级块 blob	LRS/ZRS	BlockBlobStorage	Premium_LRS/Premium_ZRS	是
高级文件共享	LRS/ZRS	FileStorage	Premium_LRS/Premium_ZRS	否
高级页 Blob	LRS	StorageV2	Premium_LRS	否
旧的标准常规用途 v1	LRS/GRS/RA-GRS	存储	Standard_LRS/Standard_GRS/Standard_RAGRS	否
旧的 blob 存储	LRS/GRS/RA-GRS	BlobStorage	Standard_LRS/Standard_GRS/Standard_RAGRS	否

若要通过 Azure 门户创建 Azure 存储帐户，请执行以下步骤：

在左侧门户菜单中，选择“存储帐户”以显示存储帐户的列表。如果门户菜单不可见，请单选择菜单按钮将其打开。
在“存储帐户”页上，选择“创建” 。

新存储帐户的选项都被组织到“创建存储帐户”页中的各个选项卡内。以下各部分介绍了每个选项卡及其选项。

“基本信息”选项卡

“基本信息”选项卡上提供了存储帐户的基本信息。完成“基本信息”选项卡后，可选择设置其他选项卡上的选项来进一步自定义你的新存储帐户，也可以选择“查看 + 创建”以接受默认选项，然后继续验证并创建帐户。

下表描述了“基本信息”选项卡上的字段。

部分	字段	必需或可选	说明
项目详细信息	订阅	必需	选择新存储帐户的订阅。
项目详细信息	资源组	必需	为此存储帐户创建新的资源组，或选择现有的资源组。有关详细信息，请参阅资源组。
实例详细信息	存储帐户名称	必需	为存储帐户选择唯一的名称。存储帐户名称必须为 3 到 24 个字符，并且只能包含数字和小写字母。
实例详细信息	区域	必需	为存储帐户选择正确的区域。有关详细信息，请参阅 Azure 中的区域和可用性区域。对于所有类型的存储帐户或冗余配置，并非所有区域都受支持。有关详细信息，请参阅 Azure 存储冗余。区域的选择可能会对计费产生影响。有关详细信息，请参阅存储帐户计费。
实例详细信息	性能	必需	为常规用途 v2 存储帐户选择“标准”性能（默认值）。在大多数情况下，Azure 建议使用此类型帐户。有关详细信息，请参阅存储帐户的类型。对于需要低延迟的情况，请选择“高级”。选择“高级”后，选择要创建的高级存储帐户的类型。可以使用以下类型的高级存储帐户：块 Blob 文件共享页 Blob
实例详细信息	冗余	必需	选择所需的冗余配置。并非所有冗余选项都适用于所有区域中的所有存储帐户类型。有关冗余配置的详细信息，请参阅 Azure 存储冗余。如果选择异地冗余配置（GRS 或 GZRS），则会将数据复制到不同区域中的数据中心。对于次要区域中数据的读取访问权限，请选择“在区域不可用的情况下，提供对数据的读取访问”。

下图显示了新存储帐户的基本属性的标准配置。

高级选项卡

在“高级”选项卡上，可以为新的存储帐户配置其他选项并修改默认设置。其中的某些选项也可在创建存储帐户后进行配置，而其他选项必须在创建时配置。

下表描述了“高级”选项卡上的字段。

部分	字段	必需或可选	描述
安全性	需要安全传输才能进行 REST API 操作	可选	要求使用安全传输以确保仅通过 HTTPS（默认值）发出对此存储帐户的传入请求。推荐此设置以获取最佳安全性。有关详细信息，请参阅要求采用安全传输以确保安全连接。
安全性	允许在单个容器上启用匿名访问	可选	启用此设置后，具有相应权限的用户可以启用对存储帐户中容器的匿名访问（默认值）。禁用此设置将阻止对存储帐户进行所有匿名访问。 Azure 建议禁用此设置以提高安全性。有关详细信息，请参阅阻止对容器和 Blob 的匿名读取访问。启用匿名访问不会使 blob 数据可供匿名访问，除非用户采取额外步骤显式配置了容器的匿名访问设置。
安全性	启用存储帐户密钥访问权限	可选	启用此设置后，客户端可使用帐户访问密钥或 Microsoft Entra 帐户（默认值）向存储帐户授予请求。禁用此设置将阻止使用帐户访问密钥进行授权。有关详细信息，请参阅阻止对 Azure 存储帐户进行共享密钥授权。
安全性	最低 TLS 版本	必需	对于存储帐户的传入请求，请选择最低版本的传输层安全性 (TLS)。默认值为 TLS 版本 1.2。当设置为默认值时，使用 TLS 1.0 或 TLS 1.1 发出的传入请求将被拒绝。有关详细信息，请参阅针对发送到存储帐户的请求强制实施必需的最低版本的传输层安全性 (TLS)。
安全性	允许的复制操作范围(预览版)	必需	选择可从中将数据复制到新帐户的存储帐户的范围。默认值为 `From any storage account`。设置为默认值时，具有相应权限的用户可以将数据从任何存储帐户复制到新帐户。如果选择 `From storage accounts in the same Azure AD tenant`，则仅允许从同一 Microsoft Entra 租户中的存储帐户执行复制操作。如果选择 `From storage accounts that have a private endpoint to the same virtual network`，则仅允许从在同一虚拟网络中具有专用终结点的存储帐户执行复制操作。有关详细信息，请参阅将复制操作的来源限制为存储帐户。
Data Lake Storage	启用分层命名空间	可选	要将此存储帐户用于 Azure Data Lake Storage 工作负载，请配置分层命名空间。有关详细信息，请参阅 Azure Data Lake Storage 简介。
Blob 存储	启用 SFTP	可选	启用安全文件传输协议 (SFTP) 以通过 Internet 安全地传输数据。有关详细信息，请参阅 Azure Blob 存储中的安全文件传输 (SFTP) 协议支持。
Blob 存储	启用网络文件系统 (NFS) v3	可选	NFS v3 在对象存储规模上提供 Linux 文件系统兼容性，使 Linux 客户端能够从 Azure 虚拟机 (VM) 或本地计算机将容器装载在 Blob 存储中。有关详细信息，请参阅 Azure Blob 存储中的网络文件系统 (NFS) 3.0 协议支持。
Blob 存储	允许跨租户复制	必须	默认情况下，具有适当权限的用户可跨 Microsoft Entra 租户配置对象复制。若要防止跨租户复制，请取消选中此选项。有关详细信息，请参阅防止跨 Microsoft Entra 租户进行复制。
Blob 存储	访问层	必需	使用 Blob 访问层可以根据使用情况以最经济高效的方式存储 blob 数据。对经常访问的数据选择热层（默认值）。对不常访问的数据选择冷层。有关详细信息，请参阅 Blob 数据的热访问层、冷访问层和存档访问层。

“网络”选项卡

在“网络”选项卡上，可以为新的存储帐户配置网络连接和路由首选项设置。也可在创建存储帐户后配置这些选项。

下表描述了“网络”选项卡上的字段。

部分	字段	必需或可选	说明
网络连接	网络访问	必需	默认情况下，传入网络流量会路由到存储帐户的公共终结点。可以指定必须通过 Azure 虚拟网络将流量路由到公共终结点。你还可以为你的存储帐户配置专用终结点。有关详细信息，请参阅对 Azure 存储使用专用终结点。

“数据保护”选项卡

在“数据保护”选项卡上，可以为新存储帐户中的 blob 数据配置数据保护选项。也可在创建存储帐户后配置这些选项。有关 Azure 存储中的数据保护选项的概述，请参阅数据保护概述。

下表描述了“数据保护”选项卡上的字段。

部分	字段	必需或可选	说明
恢复	为容器启用时间点还原	可选	时间点还原支持将块 blob 数据还原到之前的状态，以防止意外删除或损坏。有关详细信息，请参阅块 blob 的时间点还原。启用时间点还原还会启用 blob 版本控制、blob 软删除和 blob 更改源。这些必备功能可能会对成本产生影响。有关详细信息，请参阅时间点还原的定价和计费。
恢复	为 blob 启用软删除	可选	Blob 软删除会于指定的保持期内在系统中保留已删除的数据，以保护单个 blob、快照或版本不被意外删除或覆盖。在保持期内，可以将软删除的对象还原到删除时的状态。有关详细信息，请参阅 blob 软删除。 Microsoft 建议为你的存储帐户启用 blob 软删除，并将最短保持期设置为七天。
恢复	启用容器软删除	可选	容器软删除会于指定的保持期内在系统中保留已删除的数据，以保护容器及其内容不被意外删除。在保持期内，可以将软删除的容器还原到删除时的状态。有关详细信息，请参阅容器软删除。 Azure 建议为你的存储帐户启用容器软删除，并将最短保持期设置为七天。
恢复	为文件共享启用软删除	可选	文件共享软删除会于指定的保持期内在系统中保留已删除的数据，以保护文件共享及其内容不被意外删除。在保持期内，可以将软删除的文件共享还原到删除时的状态。有关详细信息，请参阅防止意外删除 Azure 文件共享。 Azure 建议对 Azure 文件存储工作负载启用文件共享软删除，并将最短保持期设置为七天。
跟踪	为 blob 启用版本控制	可选	当覆盖 blob 时，blob 版本控制会自动保存之前版本的 blob 的状态。有关详细信息，请参阅 Blob 版本控制。 Azure 建议为存储帐户启用 blob 版本控制以实现最佳数据保护。
跟踪	为 blob 启用更改源	可选	Blob 更改源提供存储帐户中所有 blob 及其元数据的所有更改的事务日志。有关详细信息，请参阅 Azure Blob 存储中的更改源支持。
访问控制	启用版本级别的不可变性支持	可选	启用对范围为 Blob 版本的不可变策略的支持。如果选择此选项，则创建存储帐户后，可为帐户或容器配置默认基于时间的保留策略，默认情况下，帐户或容器中的 Blob 版本将继承。有关详细信息，请参阅对存储帐户启用版本级不可变支持。

“加密”选项卡

在“加密”选项卡上，可以配置与将数据保存到云时的加密方式相关的选项。其中一些选项只能在创建存储帐户时配置。

字段	必需或可选	说明
加密类型	必须	默认情况下，使用 Microsoft 托管密钥加密存储帐户中的数据。可以依赖于使用 Microsoft 托管的密钥来加密数据，也可以使用你自己的密钥来管理加密。有关详细信息，请参阅静态数据的 Azure 存储加密。
启用对客户管理的密钥的支持	必需	默认情况下，客户管理的密钥只能用于加密 blob 和文件。将此选项设置为“所有服务类型(blob、文件、表和队列)”，这样就可以对所有服务使用客户管理的密钥。如果选择此选项，则不需要使用客户管理的密钥。有关详细信息，请参阅用于 Azure 存储加密的客户管理的密钥。
加密密钥	如果“加密类型”字段设置为“客户管理的密钥”，则此项是必需的。	如果你选择“选择密钥保管库和密钥”，系统会提供导航到你要使用的密钥保管库和密钥的选项。如果选择“从 URI 输入密钥”，则会显示一个用于输入密钥 URI 和订阅的字段。
用户分配的标识	如果“加密类型”字段设置为“客户管理的密钥”，则此项是必需的。	如果在创建存储帐户时配置客户管理的密钥，则必须提供用户分配的标识，用于授权访问密钥保管库。
启用基础结构加密	可选	默认情况下，未启用基础结构加密。启用基础结构加密，可在服务级别和基础结构级别对数据进行加密。有关详细信息，请参阅创建启用了基础结构加密的存储帐户，以便对数据进行双重加密。

“标记”选项卡

在标记选项卡上，可以指定资源管理器标记以帮助整理 Azure 资源。有关详细信息，请参阅标记资源、资源组和订阅以合理进行整理。

“查看 + 创建”选项卡

导航到“查看 + 创建”选项卡时，Azure 会对你选择的存储帐户设置运行验证。如果验证通过，则可以继续创建存储帐户。

如果验证失败，门户将指示需要修改哪些设置。

若要使用 PowerShell 创建常规用途 v2 存储帐户，请先调用 New-AzResourceGroup 命令创建新的资源组：

$resourceGroup = "<resource-group>"
$location = "<location>"
New-AzResourceGroup -Name $resourceGroup -Location $location

如果不确定为 -Location 参数指定哪个区域，可使用 Get-AzLocation 命令检索订阅支持的区域的列表：

Get-AzLocation | select Location

接下来，使用 New-AzStorageAccount 命令通过读取访问异地冗余存储 (RA-GRS) 创建标准常规用途 v2 存储帐户。请记住，存储帐户的名称必须在 Azure 中唯一，因此请将括号中的占位符值替换为你自己的唯一值：

New-AzStorageAccount -ResourceGroupName $resourceGroup `
  -Name <account-name> `
  -Location $location `
  -SkuName Standard_RAGRS `
  -Kind StorageV2 `
  -AllowBlobPublicAccess $false `
  -MinimumTlsVersion TLS1_2

若要为存储帐户启用分层命名空间以使用 Azure Data Lake Storage，请在调用 New-AzStorageAccount 命令时设置 EnableHierarchicalNamespace' parameter to $True`。

下表显示了用于 SkuName 和 Kind 参数的值，以创建具有所需冗余配置的特定类型的存储帐户。

若要使用 Azure CLI 创建常规用途 v2 存储帐户，请先调用 az group create 命令创建新的资源组。

az group create \
  --name storage-resource-group \
  --location chinaeast2

如果不确定为 --location 参数指定哪个区域，可使用 az account list-locations 命令检索订阅支持的区域的列表。

az account list-locations \
  --query "[].{Region:name}" \
  --out table

接下来，使用 az storage account create 命令通过读取访问异地冗余存储创建标准常规用途 v2 存储帐户。请记住，存储帐户的名称必须在 Azure 中唯一，因此请将括号中的占位符值替换为你自己的唯一值：

az storage account create \
  --name <account-name> \
  --resource-group storage-resource-group \
  --location chinaeast2 \
  --sku Standard_RAGRS \
  --kind StorageV2 \
  --min-tls-version TLS1_2 \
  --allow-blob-public-access false

若要为存储帐户启用分层命名空间以使用 Azure Data Lake Storage，请在调用 az storage account create 命令时将 enable-hierarchical-namespace 参数设置为 true。创建分层命名空间需要 Azure CLI 2.0.79 或更高版本。

可以使用 Azure PowerShell 或 Azure CLI 来部署 Bicep 文件以创建存储帐户。本操作指南文章中使用的 Bicep 文件来自 Azure 资源管理器快速入门模板。 Bicep 目前不支持部署远程文件。将 Bicep 文件下载并保存到本地计算机，然后运行脚本。

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. chinaeast2)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateFile "main.bicep"

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
echo "Enter the location (i.e. chinaeast2):" &&
read location &&
az group create --name $resourceGroupName --location "$location" &&
az deployment group create --resource-group $resourceGroupName --template-file "main.bicep"

备注

此 Bicep 文件仅用作示例。有许多存储帐户设置未在此 Bicep 文件中进行配置。例如，如果想要使用 Data Lake Storage，可将 StorageAccountPropertiesCreateParameters 对象的 isHnsEnabled 属性设为 true 来修改此 Bicep 文件。

若要了解如何修改此 Bicep 文件或创建新 Bicep 文件，请参阅：

可以使用 Azure PowerShell 或 Azure CLI 来部署资源管理器模板以创建存储帐户。本操作指南文章中使用的模板来自 Azure 资源管理器快速入门模板。

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. chinaeast2)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json"

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
echo "Enter the location (i.e. chinaeast2):" &&
read location &&
az group create --name $resourceGroupName --location "$location" &&
az deployment group create --resource-group $resourceGroupName --template-uri "https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json"

备注

此模板仅用作示例。有许多存储帐户设置未在此模板中进行配置。例如，如果想要使用 Data Lake Storage，可将 StorageAccountPropertiesCreateParameters 对象的 isHnsEnabled 属性设为 true 来修改此模板。

若要了解如何修改此模板或创建新模板，请参阅：

删除存储帐户

删除存储帐户将删除整个帐户，包括该帐户中的所有数据。删除帐户前请务必备份要保存的任何数据。

如果尝试删除与 Azure 虚拟机关联的存储帐户，则会显示一条错误消息，指出存储帐户仍在使用。有关排除此错误的帮助信息，请参阅删除存储帐户时排除错误。

若要删除存储帐户，请使用 Remove-AzStorageAccount 命令：

Remove-AzStorageAccount -Name <storage-account> -ResourceGroupName <resource-group>

若要删除存储帐户，请使用 az storage account delete 命令：

az storage account delete --name <storage-account> --resource-group <resource-group>

若要删除存储帐户，请使用 Azure PowerShell 或 Azure CLI。

$storageResourceGroupName = Read-Host -Prompt "Enter the resource group name"
$storageAccountName = Read-Host -Prompt "Enter the storage account name"
Remove-AzStorageAccount -Name $storageAccountName -ResourceGroupName $storageResourceGroupName

echo "Enter the resource group name:" &&
read resourceGroupName &&
echo "Enter the storage account name:" &&
read storageAccountName &&
az storage account delete --name storageAccountName --resource-group resourceGroupName

若要删除存储帐户，请使用 Azure PowerShell 或 Azure CLI。

$storageResourceGroupName = Read-Host -Prompt "Enter the resource group name"
$storageAccountName = Read-Host -Prompt "Enter the storage account name"
Remove-AzStorageAccount -Name $storageAccountName -ResourceGroupName $storageResourceGroupName

echo "Enter the resource group name:" &&
read resourceGroupName &&
echo "Enter the storage account name:" &&
read storageAccountName &&
az storage account delete --name storageAccountName --resource-group resourceGroupName

或者，你可以删除资源组，该操作将删除该资源组中的存储帐户和其他任何资源。有关删除资源组的详细信息，请参阅删除资源组和资源。

创建常规用途 v1 存储帐户

备注

虽然 Azure 建议在大多数情况下使用常规用途 v2 帐户，但 Azure 仍为新客户和现有客户提供对常规用途 v1 帐户的支持。只要新区域中可使用 Azure 存储，用户就可以在新区域中创建常规用途 v1 存储帐户。 Azure 目前尚无计划停止对常规用途 v1 帐户的支持，并将在停用任何 Azure 存储功能之前至少提前一年发送相关通知。 Azure 会继续为常规用途 v1 帐户提供安全更新，但不会再为此类型的帐户开发任何新功能。

从 2020 年 10 月 1 日起，新 Azure 区域中的常规用途 v1 帐户的定价与这些区域中的常规用途 v2 帐户的定价一样。对于 2020 年 10 月 1 日之前存在的 Azure 区域，常规用途 v1 帐户的定价未发生变化。

常规用途 v1 (GPv1) 存储帐户无法再从 Azure 门户创建。如果需要创建 GPv1 存储帐户，请按照为 PowerShell、Azure CLI、Bicep 或 Azure 模板创建存储帐户部分中的步骤进行操作。对于 kind 参数，请指定 Storage，并从sku包含支持的值的表SkuName中选择或。

AI 技能盛会

通过