你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Azure Blob 存储可以存储大量非结构化对象数据。 可以使用 Blob 存储向用户收集或公开媒体、内容或应用程序数据。 由于所有 Blob 数据都存储在容器中,因此必须先创建存储容器,然后才能开始上传数据。 若要详细了解 Blob 存储,请阅读 Azure Blob 存储简介。
本作说明文章介绍如何在 Azure 门户中使用容器对象。
先决条件
若要访问 Azure 存储,需要一个 Azure 订阅。 如果还没有订阅,请在开始前创建一个免费帐户。
对 Azure 存储进行的所有访问都要通过存储帐户完成。 对于本作指南文章,请使用 Azure 门户、Azure PowerShell 或 Azure CLI 创建存储帐户。 有关创建存储帐户的帮助,请参阅 “创建存储帐户”。
创建容器
容器组织一组 Blob,类似于文件系统中的目录。 存储帐户可以包含无限数量的容器,容器可以存储无限数量的 Blob。
若要在 Azure 门户中创建容器,请执行以下步骤:
在屏幕左侧的门户导航窗格中,选择 “存储帐户 ”,然后选择存储帐户。 如果导航窗格不可见,请选择菜单按钮切换其可见性。
在存储帐户的导航窗格中,滚动到 “数据存储 ”部分,然后选择“ 容器”。
在 “容器 ”窗格中,选择“ + 容器 ”按钮以打开 “新建容器 ”窗格。
在 “新建容器 ”窗格中,提供新容器 的名称 。 容器名称必须小写,必须以字母或数字开头,并且只能包含字母、数字和短划线 (-) 字符。 该名称的长度必须介于 3 到 63 个字符之间。 有关容器和 Blob 名称的详细信息,请参阅 命名和引用容器、Blob 和元数据。
设置容器的 匿名访问级别 。 建议的级别为“专用”(无匿名访问)。 有关防止匿名访问 Blob 数据的信息,请参阅 概述:修正 Blob 数据的匿名读取访问权限。
选择“创建”创建容器。
读取容器属性和元数据
容器公开系统属性和用户定义的元数据。 每个 Blob 存储资源上都存在系统属性。 某些属性是只读的,而另一些属性可以读取或设置。
用户定义的元数据由为 Blob 存储资源指定的一个或多个名称/值对组成。 可以使用元数据来存储资源中的其他值。 元数据值仅用于你自己的目的,不会影响资源的行为方式。
容器属性
若要在 Azure 门户中显示容器的属性,请执行以下步骤:
导航到存储帐户中的容器列表。
选中要查看其属性的容器名称旁边的复选框。
选择容器的 “更多 ”按钮(...),然后选择 “容器属性 ”以显示容器的“ 属性 ”窗格。
读取和写入容器元数据
存储帐户中具有大量对象的用户可以使用元数据在容器中以逻辑方式组织其数据。
若要在 Azure 门户中管理容器的元数据,请执行以下步骤:
导航到存储帐户中的容器列表。
要管理哪个容器的元数据,请选中其名称旁边的复选框。
选择容器的 “更多 ”按钮(...),然后选择 “编辑元数据 ”以显示 “容器元数据 ”窗格。
“容器元数据”窗格将显示现有的元数据键值对。 可以通过选择现有键或值并覆盖数据来编辑现有数据。 可以通过在提供的空字段中添加元数据来增加附加数据。 最后,选择“ 保存” 以提交数据。
管理容器和 Blob 访问
正确管理对容器及其 Blob 的访问是确保数据保持安全的关键。 以下部分说明了如何满足访问要求。
管理容器的 Azure RBAC 角色分配
Microsoft Entra ID 为 Blob 存储资源提供最佳安全性。 Azure 基于角色的访问控制(Azure RBAC)确定安全主体对给定资源拥有哪些权限。 若要授予对容器的访问权限,你将在容器范围或更高版本中为用户、组、服务主体或托管标识分配 RBAC 角色。 还可以选择向角色分配添加一个或多个条件。
可以在 Azure 门户中阅读有关分配 Azure 角色 的信息。
生成共享访问签名
共享访问签名(SAS)提供对通常不具有权限的客户端的临时安全委派访问。 SAS 允许您对客户端访问数据的方式进行精细控制。 例如,可以指定客户端可用的资源。 还可以限制客户端可执行的作类型,并指定持续时间。
Azure 支持三种类型的 SAS。 服务 SAS 仅允许访问其中一个存储服务中的资源:Blob、队列、表或文件服务。 帐户 SAS 类似于服务 SAS,但可以允许访问多个存储服务中的资源。 用户委托 SAS 是使用 Microsoft Entra 凭据保护的 SAS,只能与 Blob 存储服务结合使用。
创建 SAS 时,可以根据权限级别、IP 地址或范围或开始和到期日期和时间设置访问限制。 可以在 使用共享访问签名授予对 Azure 存储资源的有限访问权限中阅读详细信息。
注意
拥有有效 SAS 的任何客户端都可以根据 SAS 的权限访问您的存储帐户中的数据。 保护 SAS 免受恶意或意外使用的影响非常重要。 请谨慎分发 SAS,并制定撤销受到安全威胁的 SAS 的计划。
若要使用 Azure 门户生成 SAS 令牌,请执行以下步骤:
在 Azure 门户中,导航到存储帐户中的容器列表。
选中要为其生成 SAS 令牌的容器名称旁边的复选框。
选择容器的 “更多 ”按钮(...),然后选择“ 生成 SAS ”以显示“ 生成 SAS ”窗格。
在“生成 SAS”窗格中,选择“签名方法”字段的“帐户密钥”值。
在 “签名方法 ”字段中,选择 “帐户密钥”。 选择帐户密钥将导致创建服务 SAS。
在 “签名密钥 ”字段中,选择要用于对 SAS 进行签名所需的密钥。
在 “存储访问策略 ”字段中,选择“ 无”。
选择 “权限 ”字段,然后选择与所需权限对应的复选框。
在 “开始”和“到期日期/时间 ”部分中,指定所需的 “开始 ”和“ 到期 日期”、“时间和时区”值。
(可选)指定要从中接受 允许 IP 地址 字段中的请求的 IP 地址或一系列 IP 地址。 如果请求 IP 地址与 SAS 令牌上指定的 IP 地址或地址范围不匹配,则不会获得授权。
(可选)在 “允许的协议 ”字段中指定允许使用 SAS 发出的请求的协议。 默认值为 HTTPS。
查看设置的准确性,然后选择“ 生成 SAS 令牌和 URL ”以显示 Blob SAS 令牌 和 Blob SAS URL 查询字符串。
将 Blob SAS 令牌和 Blob SAS URL 值复制并粘贴到安全位置。 它们仅显示一次,在关闭窗口后无法检索。
注释
门户返回的 SAS 令牌不包括 URL 查询字符串的分隔符字符 ('?')。 如果要将 SAS 令牌追加到资源 URL,请记住在追加 SAS 令牌之前将分隔符字符追加到资源 URL。
创建存储访问或不可变性策略
存储访问策略可让你对一个或多个共享访问签名进行额外的服务器端控制。 将 SAS 与存储的访问策略相关联时,SAS 将继承策略中定义的限制。 通过这些额外的限制,可以更改签名的开始时间、到期时间或权限。 还可以在颁发后撤销它。
不可变性策略 可用于保护数据免受覆盖和删除。 不可变性策略允许创建和读取对象,但会在特定持续时间内阻止其修改或删除。 Blob 存储支持两种类型的不可变性策略。 基于时间的保留策略禁止在定义的时间段内执行写入和删除作。 法定保留也禁止写入和删除操作,必须明确清除后才能重新允许这些操作。
创建存储访问策略
配置存储访问策略是一个双重过程:必须先定义策略,然后再应用于容器。 若要配置存储访问策略,请执行以下步骤:
在 Azure 门户中,导航到存储帐户中的容器列表。
选中要为其生成 SAS 令牌的容器名称旁边的复选框。
选择容器的 “更多 ”按钮(...),然后选择 “访问策略 ”以显示 “访问策略 ”窗格。
在“访问策略”窗格中,选择“存储访问策略”部分中的“+ 添加策略”以显示“添加策略”窗格。 任何现有策略都将显示在相应部分中。
在 “添加策略 ”窗格中,选择“ 标识符 ”框并为新策略添加名称。
选择 “权限 ”字段,然后选择对应于新策略所需权限的复选框。
(可选)为 “开始时间” 和“ 到期时间”时间 字段提供日期、时间和时区值,以设置策略的有效期。
查看设置的准确性,然后选择“ 确定 ”以更新 “访问策略 ”窗格。
注意
尽管策略现在显示在 存储访问策略 表中,但它仍然不应用于容器。 如果此时离开“访问策略” 窗格,该策略将不会 被保存或应用,您所做的所有更改将会丢失。
在 “访问策略 ”窗格中,选择“ + 添加策略 ”以定义其他策略,或选择“ 保存 ”将新策略应用到容器。 创建至少一个存储访问策略后,你将能够将其他安全访问签名(SAS)与其相关联。
创建不可变性策略
详细了解如何 为容器配置不可变性策略。 有关实现不可变性策略的帮助,请遵循 “配置保留策略 ”或 “配置”或清除法定保留 文章中所述的步骤。
管理租约
容器租约用于建立或管理用于删除操作的锁定。 在 Azure 门户中获取租约时,只能创建具有无限持续时间的锁。 以编程方式创建时,锁定持续时间可以介于 15 到 60 秒之间,也可以是无限的。
有五种不同的租约作模式,尽管 Azure 门户中只有两种模式可用:
| 用例 |
|
|
|---|---|---|
|
|
请求新的租约。 | ✓ |
|
|
续订现有租约。 | |
|
|
更改现有租约的 ID。 | |
|
|
结束当前租约;允许其他客户端获取新的租约 | ✓ |
|
|
结束当前租约;防止其他客户端在当前租约期内获取新租约 |
获取租约
若要使用 Azure 门户获取租约,请执行以下步骤:
在 Azure 门户中,导航到存储帐户中的容器列表。
选中要获取租约的容器名称旁边的复选框。
选择容器的 “更多 ”按钮(...),然后选择“ 获取租约 ”以请求新的租约,并在“ 租约状态 ”窗格中显示详细信息。
新请求租约的 容器 和 租约 ID 属性值显示在 租约状态 窗格中。 将这些值复制并粘贴到安全位置。 它们只会显示一次,在窗格关闭后无法检索。
中断租约
若要使用 Azure 门户中断租约,请执行以下步骤:
在 Azure 门户中,导航到存储帐户中的容器列表。
选中要中断租约的容器名称旁边的复选框。
选择容器的 “更多 ”按钮(...),然后选择“ 中断租约 ”以中断租约。
租约中断后,所选容器的 租约状态 值将更新,并显示状态确认。
删除容器
在 Azure 门户中删除容器时,容器中的所有 Blob 也将被删除。
警告
按照以下步骤可以永久删除容器及其包含的任何 blob。 Microsoft建议启用容器软删除来保护容器和 Blob 免受意外删除。 有关详细信息,请参阅 容器的软删除。
若要在 Azure 门户中删除容器,请执行以下步骤:
在 Azure 门户中,导航到存储帐户中的容器列表。
选择要删除的容器。
选择“ 更多 ”按钮(...),然后选择“ 删除”。
在 “删除容器” 对话框中,确认要删除容器。
在某些情况下,可以检索已删除的容器。 如果在存储帐户上启用了软删除数据保护选项,则可以访问在关联的保留期内删除的容器。 若要了解有关软删除的详细信息,请参阅 容器的软删除 文章。
查看已软删除的容器
启用软删除后,可以在 Azure 门户中查看软删除的容器。 软删除的容器在指定保留期限内仍然可见。 保留期到期后,软删除的容器将被永久删除,不再可见。
若要在 Azure 门户中查看软删除的容器,请执行以下步骤:
导航到 Azure 门户中的存储帐户并查看容器列表。
切换 “显示已删除的容器 ”开关以在列表中包括已删除的容器。
还原软删除的容器
可以在保留期内还原软删除的容器及其内容。 若要在 Azure 门户中还原软删除的容器,请执行以下步骤:
导航到 Azure 门户中的存储帐户并查看容器列表。
显示要还原的容器的上下文菜单,并从菜单中选择 “取消删除 ”。
