Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Storage unterstützt mithilfe von Microsoft Entra ID das Autorisieren von Anforderungen an Blob-Daten. Mithilfe von Microsoft Entra ID können Sie Azure rollenbasierte Zugriffssteuerung (Azure RBAC) verwenden, um Berechtigungen für einen Sicherheitsprinzipal zu erteilen, der ein Benutzer, eine Gruppe oder ein Anwendungsdienstprinzipal sein kann. Microsoft Entra ID authentifiziert den Sicherheitsprinzipal und gibt ein OAuth 2.0-Token zurück. Verwenden Sie das Token zum Autorisieren einer Anforderung an den Blob-Dienst.
Sie können die Microsoft Entra ID-Autorisierung mit allen universellen und Blob-Speicherkonten in allen öffentlichen und nationalen Clouds verwenden. Nur Speicherkonten, die mithilfe des Azure Resource Manager Bereitstellungsmodells erstellt wurden, unterstützen Microsoft Entra Autorisierung.
Wichtig
Um optimale Sicherheit zu gewährleisten, empfiehlt Microsoft möglichst die Verwendung von Microsoft Entra ID mit verwalteten Identitäten, um Anforderungen für Blob-, Warteschlangen- und Tabellendaten zu autorisieren. Die Autorisierung mit Microsoft Entra ID und verwalteten Identitäten bietet eine höhere Sicherheit und Benutzerfreundlichkeit als die Autorisierung mit gemeinsam verwendetem Schlüssel. Weitere Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?. Ein Beispiel zum Aktivieren und Verwenden einer verwalteten Identität für eine .NET-Anwendung finden Sie unter Authentifizieren von Azure-gehosteten Apps bei Azure-Ressourcen mit .NET.
Für Ressourcen, die außerhalb von Azure gehostet werden, z. B. lokale Anwendungen, können Sie verwaltete Identitäten über Azure Arc verwenden. Beispielsweise können Apps, die auf Azure Arc-fähigen Servern ausgeführt werden, verwaltete Identitäten verwenden, um eine Verbindung mit Azure-Diensten herzustellen. Weitere Informationen finden Sie unter Authentifizieren bei Azure-Ressourcen mit Azure Arc-fähigen Servern.
Für Szenarien, in denen SAS (Shared Access Signatures) verwendet werden, empfiehlt Microsoft die Verwendung einer Benutzerdelegierungs-SAS. Eine Benutzerdelegierungs-SAS wird mit Microsoft Entra-Anmeldeinformationen und nicht mithilfe des Kontoschlüssels geschützt. Informationen zu Shared Access Signatures finden Sie unter Gewähren von eingeschränktem Zugriff auf Daten mithilfe von SAS (Shared Access Signature). Ein Beispiel zum Erstellen und Verwenden einer Benutzerdelegierungs-SAS mit .NET finden Sie unter Erstellen einer SAS für die Benutzerdelegierung für ein Blob mit .NET.
Übersicht über Microsoft Entra ID für Blobs
Wenn ein Sicherheitsprinzipal (ein Benutzer, eine Gruppe oder eine Anwendung) versucht, auf eine Blobressource zuzugreifen, muss die Anforderung autorisiert werden, sofern es sich nicht um ein Blob für den anonymen Zugriff handelt. Durch die Verwendung von Microsoft Entra ID ist der Zugriff auf eine Ressource ein zweistufiger Prozess:
Zunächst wird die Identität des Sicherheitsprinzipals authentifiziert, und ein OAuth 2.0-Token wird zurückgegeben.
Für den Authentifizierungsschritt ist es erforderlich, dass eine Anwendung zur Laufzeit ein OAuth 2.0-Zugriffstoken anfordert. Wenn eine Anwendung in einer Azure-Entität, z. B. einer Azure-VM, einer VM-Skalierungsgruppe oder einer Azure Functions-App, ausgeführt wird, kann der Zugriff auf Blobdaten über eine verwaltete Identität erfolgen.
Als Nächstes wird das Token als Teil einer Anforderung an den Blob-Dienst übergeben, und der Dienst verwendet es, um den Zugriff auf die angegebene Ressource zu autorisieren.
Der Autorisierungsschritt erfordert es, dass dem Sicherheitsprinzipal, der die Anforderung sendet, mindestens eine Azure RBAC-Rolle zugewiesen wird. Weitere Informationen finden Sie unter Zuweisen von Azure-Rollen für Zugriffsrechte.
Verwenden eines Microsoft Entra-Kontos mit dem Portal, PowerShell oder der Azure CLI
Informationen zum Zugreifen auf Daten im Azure Portal mithilfe eines Microsoft Entra Kontos finden Sie unter Datenzugriff über das Azure Portal. Informationen zum Aufrufen von Azure PowerShell oder Azure CLI Befehlen mithilfe eines Microsoft Entra Kontos finden Sie unter Datenzugriff über PowerShell oder Azure CLI.
Verwenden von Microsoft Entra ID zum Autorisieren des Zugriffs im Anwendungscode
Um den Zugriff auf Azure Storage mithilfe von Microsoft Entra ID zu autorisieren, verwenden Sie eine der folgenden Clientbibliotheken, um ein OAuth 2.0-Token abzurufen:
- Die Azure Identity-Client-Bibliothek wird für die meisten Entwicklungsszenarien empfohlen.
- Die Microsoft Authentication Library (MSAL) (MSAL) kann für bestimmte erweiterte Szenarien geeignet sein.
Azure Identity-Clientbibliothek
Die Azure Identity-Clientbibliothek vereinfacht den Prozess des Abrufens eines OAuth 2.0-Zugriffstokens für die Autorisierung mithilfe von Microsoft Entra ID über die Azure SDK. Die neuesten Versionen der Azure Storage Clientbibliotheken für .NET, Java, Python, JavaScript und Go lassen sich in die Azure Identitätsbibliotheken für jede dieser Sprachen integrieren, um eine einfache und sichere Möglichkeit zum Abrufen eines Zugriffstokens für die Autorisierung von Azure Storage Anforderungen bereitzustellen.
Ein Vorteil der Azure Identity-Clientbibliothek besteht darin, dass Sie das Zugriffstoken mit demselben Code abrufen können, um zu erfahren, ob Ihre Anwendung in der Entwicklungsumgebung oder in Azure ausgeführt wird. Die Azure Identity-Clientbibliothek gibt ein Zugriffstoken für einen Sicherheitsprinzipal zurück. Wenn Ihr Code in Azure ausgeführt wird, kann der Sicherheitsprinzipal entweder eine verwaltete Identität für Azure-Ressourcen, ein Dienstprinzipal oder ein Benutzer bzw. eine Gruppe sein. In der Entwicklungsumgebung stellt die Clientbibliothek ein Zugriffstoken für einen Benutzer oder einen Dienstprinzipal zu Testzwecken zur Verfügung.
Das Zugriffstoken, das von der Azure Identity-Clientbibliothek zurückgegeben wird, wird in einer Tokenanmeldeinformation gekapselt. Sie können dann mithilfe der Token-Anmeldeinformationen ein Dienstclientobjekt abrufen, das zum Ausführen autorisierter Vorgänge für Azure Storage verwendet wird. Eine einfache Möglichkeit zum Abrufen des Zugriffstokens und der Tokenanmeldeinformationen ist die Verwendung der DefaultAzureCredentialKlasse, die die Azure Identity-Clientbibliothek bereitstellt. DefaultAzureCredential versucht, die Tokenanmeldeinformationen abzurufen, indem mehrere verschiedene Anmeldeinformationstypen nacheinander ausprobiert werden. DefaultAzureCredential funktioniert sowohl in der Entwicklungsumgebung als auch in Azure.
Die folgende Tabelle enthält zusätzliche Informationen zum Autorisieren des Zugriffs auf Daten in verschiedenen Szenarien:
Microsoft-Authentifizierungsbibliothek (MSAL)
Während Microsoft die Verwendung der Azure Identity-Clientbibliothek nach Möglichkeit empfiehlt, kann die MSAL-Bibliothek in bestimmten erweiterten Szenarien verwendet werden. Weitere Informationen finden Sie unter Weitere Informationen zu MSAL.
Wenn Sie MSAL zum Abrufen eines OAuth-Tokens für den Zugriff auf Azure Storage verwenden, müssen Sie eine Microsoft Entra-Ressourcen-ID angeben. Die Microsoft Entra-Ressourcen-ID gibt die Zielgruppe an, für die ein ausgegebenes Token verwendet werden kann, um den Zugriff auf eine Azure-Ressource zu ermöglichen. Im Fall von Azure Storage kann die Ressourcen-ID für ein einzelnes Speicherkonto spezifisch sein, oder sie gilt für jedes Speicherkonto.
Wenn Sie eine Ressourcen-ID angeben, die spezifisch für ein einzelnes Speicherkonto und einen einzelnen Dienst ist, wird die Ressourcen-ID verwendet, um ein Token für die Autorisierung von Anforderungen nur für das angegebene Konto und den angegebenen Dienst abzurufen. In der folgenden Tabelle ist der Wert aufgeführt, der für die Ressourcen-ID verwendet werden soll, basierend auf der Cloud, mit der Sie arbeiten. Ersetzen Sie <account-name> durch den Namen Ihres Speicherkontos.
| Wolke | Ressourcen-ID |
|---|---|
| Azure Global | https://<account-name>.blob.core.windows.net |
| Azure für Behörden | https://<account-name>.blob.core.usgovcloudapi.net |
| Azure China 21Vianet | https://<account-name>.blob.core.chinacloudapi.cn |
Sie können auch eine Ressourcen-ID bereitstellen, die für jedes Speicherkonto gilt, wie in der folgenden Tabelle dargestellt. Diese Ressourcen-ID ist für alle öffentlichen Clouds und Sovereign Cloud identisch und wird verwendet, um ein Token für die Autorisierung von Anforderungen an ein beliebiges Speicherkonto zu erwerben.
| Wolke | Ressourcen-ID |
|---|---|
| Azure Global Azure für Behörden Azure China 21Vianet |
https://storage.azure.com/ |
Zuweisen von Azure-Rollen für Zugriffsrechte
Microsoft Entra autorisiert Zugriffsrechte für gesicherte Ressourcen über Azure RBAC. Azure Storage definiert eine Reihe von in Azure integrierten RBAC-Rollen mit allgemeinen Berechtigungssätzen für den Zugriff auf Blobdaten. Außerdem können Sie benutzerdefinierte Rollen für den Zugriff auf Blobdaten definieren. Weitere Informationen zum Zuweisen von Azure-Rollen für den Blobzugriff finden Sie unter Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten.
Ein Microsoft Entra-Sicherheitsprinzipal kann ein Benutzer/eine Benutzerin, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Identität für Azure-Ressourcen sein. Die RBAC-Rollen, die Sie einem Sicherheitsprinzipal zuweisen, bestimmen die Berechtigungen, die der Prinzipal für die angegebene Ressource hat.
Informationen zum Zuweisen von Azure Rollen für den Blobzugriff finden Sie unter Assign an Azure Rolle für den Zugriff auf Blobdaten.
In einigen Fällen müssen Sie möglicherweise einen differenzierten Zugriff auf Blobressourcen aktivieren oder Berechtigungen vereinfachen, wenn Sie über eine große Anzahl von Rollenzuweisungen für eine Speicherressource verfügen. Verwenden Sie Azure attributbasierte Zugriffssteuerung (Azure ABAC), um Bedingungen für Rollenzuweisungen zu konfigurieren. Sie können Bedingungen bei einer benutzerdefinierten Rolle verwenden oder integrierte Rollen auswählen. Weitere Informationen zum Konfigurieren von Bedingungen für Azure-Speicherressourcen mit ABAC finden Sie unter Autorisieren des Zugriffs auf Blobs mithilfe von Bedingungen für die Azure-Rollenzuweisung (Vorschau). Einzelheiten zu unterstützten Bedingungen für Blobdatenvorgänge finden Sie unter Aktionen und Attribute für Azure-Rollenzuweisungsbedingungen in Azure Storage (Vorschau).
Hinweis
Wenn Sie ein Azure Storage Konto erstellen, werden Ihnen nicht automatisch Berechtigungen für den Zugriff auf Daten über Microsoft Entra ID zugewiesen. Sie müssen sich selbst explizit eine Azure-Rolle für den Zugriff auf Blob Storage zuweisen. Sie können sie auf Ebene Ihres Abonnements, einer Ressourcengruppe, eines Speicherkontos oder eines Containers zuordnen.
Ressourcenumfang
Bevor Sie einem Sicherheitsprinzipal eine Azure RBAC-Rolle zuweisen, legen Sie den Zugriffsbereich fest, den der Sicherheitsprinzipal haben soll. Gewähren Sie immer nur den engst-möglichen Berechtigungsumfang. Azure RBAC-Rollen, die in einem umfassenderen Bereich definiert sind, werden von den darunterliegenden Ressourcen geerbt.
Sie können den Zugriff auf Azure-Blobressourcen auf den folgenden Ebenen einschränken, beginnend mit dem kleinstmöglichen Bereich:
- Ein einzelner Container. Bei diesem Umfang gilt eine Rollenzuweisung für alle Blobs im Container sowie für Containereigenschaften und Metadaten.
- Das Speicherkonto Bei diesem Bereich gilt eine Rollenzuweisung für alle Container und deren Blobs.
- Die Ressourcengruppe. Bei diesem Bereich gilt eine Rollenzuweisung für alle Container in allen Speicherkonten der Ressourcengruppe.
- Das Abonnement. Bei diesem Bereich gilt eine Rollenzuweisung für alle Container in allen Speicherkonten in allen Ressourcengruppen des Abonnements.
- Eine Verwaltungsgruppe. Bei diesem Bereich gilt eine Rollenzuweisung für alle Container in allen Speicherkonten in allen Ressourcengruppen und allen Abonnements in der Ressourcengruppe.
Weitere Informationen zum Bereich für Azure RBAC-Rollenzuweisungen finden Sie unter Grundlegendes zum Bereich für Azure RBAC.
In Azure integrierte Rollen für Blobs
Azure RBAC bietet mehrere integrierte Rollen zum Autorisieren des Zugriffs auf Blobdaten mithilfe von Microsoft Entra ID und OAuth. Beispiele für Rollen, die Berechtigungen für Datenressourcen in Azure Storage bereitstellen:
- Besitzer von Speicherblobdaten: dient zum Festlegen des Besitzes sowie zum Verwalten der POSIX-Zugriffssteuerung für Azure Data Lake Storage. Weitere Informationen finden Sie unter Zugriffssteuerung in Azure Data Lake Storage.
- Mitwirkender an Speicherblobdaten: Dient zum Gewähren von Lese-, Schreib- und Löschberechtigungen für Blobspeicherressourcen.
- Leser von Speicherblobdaten: Dient zum Gewähren von Leseberechtigungen für Blobspeicherressourcen.
- Storage Blob-Delegator: Abrufen eines Benutzerdelegierungsschlüssels zum Erstellen einer SAS (Shared Access Signature), die durch Microsoft Entra-Anmeldeinformationen für einen Container oder ein Blob signiert ist.
Informationen zum Zuweisen einer integrierten Azure-Rolle zu einem Sicherheitsprinzipal finden Sie unter Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten. Informationen zum Auflisten von Azure RBAC-Rollen und deren Berechtigungen finden Sie unter Auflisten von Azure-Rollendefinitionen.
Weitere Informationen dazu, wie integrierte Rollen für Azure Storage definiert sind, finden Sie unter Grundlegendes zu Rollendefinitionen. Informationen zum Erstellen von benutzerdefinierten Azure-Rollen finden Sie unter Benutzerdefinierte Azure-Rollen.
Nur Rollen, die explizit für den Datenzugriff definiert sind, ermöglichen einem Sicherheitsprinzipal den Zugriff auf Blobdaten. Integrierte Rollen wie Besitzer, Mitwirkender und Speicherkontomitwirkender gestatten einem Sicherheitsprinzipal die Verwaltung eines Speicherkontos, gewähren aber keinen Zugriff auf die Blob-Daten in diesem Konto über Microsoft Entra ID. Wenn eine Rolle jedoch Microsoft.Storage/storageAccounts/listKeys/action enthält, kann ein Benutzer, dem diese Rolle zugewiesen ist, über die Autorisierung mit gemeinsam verwendetem Schlüssel unter Verwendung der Kontozugriffsschlüssel auf Daten im Speicherkonto zugreifen. Weitere Informationen finden Sie unter Auswählen der Autorisierung des Zugriffs auf Blobdaten im Azure-Portal.
Ausführliche Informationen zu integrierten Azure-Rollen für Azure Storage für die Datendienste und den Verwaltungsdienst finden Sie im Artikel In Azure integrierte Rollen für Azure RBAC im Abschnitt Storage. Informationen zu den verschiedenen Typen von Rollen, die Berechtigungen in Azure bereitstellen, finden Sie zusätzlich unter Azure-Rollen, Microsoft Entra-Rollen und Administratorrollen für klassische Abonnements.
Wichtig
Azure Rollenzuweisungen können bis zu 30 Minuten dauern, bis sie verteilt werden.
Zugriffsberechtigungen für Datenvorgänge
Einzelheiten zu den Berechtigungen, die für spezifische Vorgänge des Blob-Diensts erforderlich sind, finden Sie unter Berechtigungen für das Aufrufen von Datenvorgängen.
Verzögerungen bei der Verteilung von Rollenzuweisungen für den Blob-Datenzugriff
Beim Zuweisen von Rollen oder Entfernen von Rollenzuweisungen kann es bis zu 10 Minuten dauern, bis Änderungen wirksam werden. Wenn Sie Rollen im Verwaltungsgruppenbereich zuweisen, kann dies viel länger dauern.
Sie können integrierte Rollen mit Datenaktionen im Bereich „Verwaltungsgruppe” zuweisen. In seltenen Szenarien kann es jedoch eine erhebliche Verzögerung (bis zu 12 Stunden) geben, bevor Datenaktionsberechtigungen für bestimmte Ressourcentypen wirksam sind. Berechtigungen werden letztendlich angewendet. Für integrierte Rollen mit Datenaktionen wird das Hinzufügen oder Entfernen von Rollenzuweisungen im Verwaltungsgruppenbereich nicht für Szenarien empfohlen, in denen die rechtzeitige Aktivierung oder Sperrung von Berechtigungen wie Microsoft Entra Privileged Identity Management (PIM) erforderlich ist.
Wenn Sie die entsprechenden Berechtigungen für den Zugriff auf Daten über Microsoft Entra ID festlegen und nicht auf die Daten zugreifen können, z. B. erhalten Sie einen Fehler "AuthorizationPermissionMismatch", achten Sie darauf, genügend Zeit für die Berechtigungsänderungen zuzulassen, die Sie in Microsoft Entra ID repliziert haben. Stellen Sie außerdem sicher, dass es keine Verweigerungszuweisungen gibt, die Ihren Zugriff verhindern. Weitere Informationen finden Sie unter Verstehen von Ablehnungszuweisungen für Azure-Ressourcen.
Zugreifen auf Daten mit einem Microsoft Entra-Konto
Sie können den Zugriff auf BLOB-Daten über das Azure-Portal, PowerShell oder Azure CLI entweder mithilfe Ihres Microsoft Entra-Kontos oder mithilfe der Kontozugriffsschlüssel (Shared Key Authorization) autorisieren.
Vorsicht
Eine Autorisierung mit einem gemeinsam verwendeten Schlüssel wird nicht empfohlen, da sie möglicherweise weniger sicher ist. Um optimale Sicherheit zu gewährleisten, deaktivieren Sie die Autorisierung über gemeinsam genutzten Schlüssel für Ihr Speicherkonto. Eine Anleitung finden Sie unter Verhindern der Autorisierung mit gemeinsam verwendeten Schlüsseln für ein Azure Storage-Konto.
Sie sollten die Verwendung von Zugriffsschlüsseln und Verbindungszeichenfolgen auf vorläufige Proof-of-Concept-Anwendungen oder Entwicklungsprototypen beschränken, die keinen Zugriff auf Produktionsdaten oder vertrauliche Daten haben. In allen anderen Fällen sollten Sie immer die tokenbasierten Authentifizierungsklassen, die im Azure SDK verfügbar sind, für die Authentifizierung bei Azure-Ressourcen verwenden.
Microsoft empfiehlt, dass Clients entweder Microsoft Entra ID oder eine SAS (Shared Access Signature) verwenden, um den Zugriff auf Daten in Azure Storage zu autorisieren. Weitere Informationen finden Sie unter Autorisieren von Vorgängen für den Datenzugriff.
Datenzugriff über das Azure-Portal
Im Azure-Portal können Sie über Ihr Microsoft Entra-Konto oder die Kontozugriffsschlüssel auf Blob-Daten in einem Azure-Speicherkonto zugreifen. Welches Autorisierungsschema im Azure-Portal verwendet wird, hängt von den Ihnen zugewiesenen Azure-Rollen ab.
Wenn Sie versuchen, auf Blob-Daten zuzugreifen, überprüft das Azure-Portal zunächst, ob Ihnen eine Azure-Rolle mit Microsoft.Storage/storageAccounts/listkeys/action zugewiesen wurde. Wenn Ihnen eine Rolle mit dieser Aktion zugewiesen wurde, verwendet das Azure-Portal den Kontoschlüssel für den Zugriff auf Blob-Daten mittels Freigabeschlüssel-Autorisierung. Wenn Ihnen für diese Aktion keine Rolle zugewiesen wurde, versucht das Azure-Portal, mithilfe Ihres Microsoft Entra-Kontos auf Daten zuzugreifen.
Für den Zugriff auf BLOB-Daten über das Azure Portal mithilfe Ihres Microsoft Entra Kontos benötigen Sie Berechtigungen für den Zugriff auf BLOB-Daten, und Sie benötigen auch Berechtigungen zum Navigieren durch die Speicherkontoressourcen im Azure-Portal. Die integrierten Rollen, die von Azure Storage bereitgestellt werden, gewähren Zugriff auf Blobressourcen, aber nicht auf die Speicherkontoressourcen. Aus diesem Grund erfordert der Zugriff auf das Portal außerdem die Zuweisung einer Azure Resource Manager-Rolle (z. B. Leser) mindestens auf Ebene des Speicherkontos. Die Rolle Leser erteilt die am stärksten eingeschränkten Berechtigungen. Eine andere Azure Resource Manager-Rolle, die den Zugriff auf Ressourcen zur Verwaltung von Speicherkonten gewährt, ist jedoch ebenfalls akzeptabel. Weitere Informationen zum Zuweisen von Berechtigungen zu Benutzern für den Datenzugriff im Azure-Portal über ein Microsoft Entra-Konto finden Sie unter Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten.
Wenn Sie zu einem Container navigieren, wird im Azure-Portal angegeben, welches Autorisierungsschema verwendet wird. Weitere Informationen zum Datenzugriff im Portal finden Sie unter Auswählen der Autorisierung des Zugriffs auf Blobdaten im Azure-Portal.
Datenzugriff über PowerShell oder die Azure-Befehlszeilenschnittstelle
In der Azure-Befehlszeilenschnittstelle und PowerShell ist die Anmeldung mit Microsoft Entra-Anmeldeinformationen möglich. Nach der Anmeldung wird Ihre Sitzung unter diesen Anmeldeinformationen ausgeführt. Weitere Informationen finden Sie in den folgenden Artikeln:
- Auswählen der Autorisierung des Zugriffs auf Blobdaten mit der Azure CLI
- Ausführen von PowerShell-Befehlen mit Microsoft Entra-Anmeldeinformationen für den Zugriff auf Blobdaten
Featureunterstützung
Die Unterstützung für dieses Features kann durch die Aktivierung von Data Lake Storage Gen2, dem Network File System (NFS) 3.0-Protokoll oder dem SSH File Transfer Protocol (SFTP) beeinträchtigt werden. Wenn Sie eine dieser Funktionen aktiviert haben, lesen Sie bitte den Abschnitt Unterstützung der Blob Storage-Funktion in Azure Storage-Konten, um die Unterstützung für dieses Features zu bewerten.
Das Autorisieren von Blob-Datenvorgängen mit Microsoft Entra ID wird nur für die REST-API-Versionen 2017-11-09 und höher unterstützt. Weitere Informationen finden Sie unter Versionsverwaltung für die Azure-Speicherdienste.