你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

创建Azure存储帐户

Azure 存储帐户包含所有的 Azure 存储数据对象：Blob、文件、队列和表。存储帐户为Azure 存储数据提供唯一的命名空间，可通过 HTTP 或 HTTPS 从世界上的任何位置访问这些数据。有关Azure存储帐户的详细信息，请参阅 Storage 帐户概述。若要专门创建用于Azure 文件存储的存储帐户，请参阅创建 SMB 文件共享。

本文介绍如何使用 Azure 门户、Azure PowerShell、Azure CLI 或 Azure 资源管理器模板创建存储帐户。

先决条件

如果没有Azure订阅，请在开始前创建 free 帐户。

无。

Azure 开发人员 CLI（azd）是一种开源命令行工具，它简化了使用模板系统将资源预配和部署到Azure。 azd 适用于多个开发环境，包括以下选项：

通过 CLI 在本地安装 azd。
GitHub Codespaces 环境。
通过 Cloud Shell 使用 Azure 门户。

注意

azd 模板包含一个已安装 azd 的 .devcontainer。如果计划在本地或在 Codespaces 等环境中使用 devcontainer ，则可以跳过安装步骤。

接下来，登录到Azure。

登录到 Azure 门户。

使用 Connect-AzAccount 命令登录到Azure订阅，并按照屏幕上的说明进行身份验证。

Connect-AzAccount

若要启动Azure Cloud Shell，请登录到 Azure 门户。

若要登录到 CLI 的本地安装，请运行 az sign-in 命令：

az login

如果计划通过 Cloud Shell 使用 azd：

登录到 Azure 门户。
通过选择相应的图标启动Cloud Shell。 azd在Cloud Shell中自动可用，并使用用于登录到 Azure 门户的帐户进行身份验证。

若要登录到本地安装 azd 或 Codespaces 环境，请运行 azd auth sign-in 命令：

    azd auth login

azd将打开可用于登录Azure的浏览器窗口。

创建存储帐户

存储帐户是Azure 资源管理器资源。资源管理器是用于Azure的部署和管理服务。有关详细信息，请参阅 Azure 资源管理器概述。

每个资源管理器资源（包括Azure存储帐户）都必须属于Azure资源组。资源组是用于对Azure服务进行分组的逻辑容器。创建存储帐户时，可以创建新的资源组或使用现有资源组。本文介绍如何创建新资源组。

存储帐户类型参数

使用 PowerShell 创建存储帐户时，Azure CLI、Bicep、Azure 模板或Azure开发人员 CLI 使用 kind 参数指定存储帐户类型（例如，StorageV2）。使用 sku 或 SkuName 参数（例如， Standard_GRS）一起指定性能层和冗余配置。下表显示了用于 kind 参数以及 sku 或 SkuName 参数的值，以创建具有所需冗余配置的特定类型的存储帐户。

存储帐户的类型	受支持的冗余配置	kind 参数支持的值	sku 或 SkuName 参数支持的值	支持分层命名空间
标准常规用途 v2	LRS/GRS/RA-GRS/ZRS/GZRS/RA-GZRS	StorageV2	Standard_LRS/Standard_GRS/Standard_RAGRS/Standard_ZRS/Standard_GZRS/Standard_RAGZRS	是
高级块 blob	LRS/ZRS	BlockBlobStorage	Premium_LRS/Premium_ZRS	是
高级文件共享	LRS/ZRS	文件存储	Premium_LRS/Premium_ZRS	否
高级页 Blob	LRS	StorageV2	Premium_LRS	否
旧的标准常规用途 v1	LRS/GRS/RA-GRS	存储	Standard_LRS/Standard_GRS/Standard_RAGRS	否
旧的 blob 存储	LRS/GRS/RA-GRS	BlobStorage	Standard_LRS/Standard_GRS/Standard_RAGRS	否

若要使用 Azure 门户创建Azure存储帐户，请执行以下步骤：

在左侧门户菜单中，选择“存储帐户”以显示存储帐户的列表。如果未看到门户菜单，请选择菜单按钮将其打开。
在“存储帐户”页上，选择“创建” 。

“ 创建存储帐户 ”页将新存储帐户的选项组织到选项卡中。下图显示了这些选项卡。

包含每个存储帐户设置的选项卡的屏幕截图。

“基本信息”选项卡

在“ 基本信息 ”选项卡上，输入存储帐户的基本信息。完成“基本信息”选项卡后，可选择设置其他选项卡上的选项来进一步自定义你的新存储帐户，也可以选择“查看 + 创建”以接受默认选项，然后继续验证并创建帐户。

下表描述了“基本信息”选项卡上的字段。

部分	字段	必需或可选	说明
项目详细信息	订阅	必需	选择新存储帐户的订阅。
项目详细信息	资源组	必需	为此存储帐户创建新的资源组，或选择现有的资源组。有关详细信息，请参阅资源组。
实例详细信息	存储帐户名称	必需	为存储帐户选择唯一的名称。存储帐户名称长度必须介于 3 到 24 个字符之间，并且只能包含数字和小写字母。
实例详细信息	区域	必需	为存储帐户选择正确的区域。有关详细信息，请参阅 Azure 中的区域和可用性区域。并非所有区域都支持所有类型的存储帐户或冗余配置。有关详细信息，请参阅 Azure 存储冗余。选择区域可能会影响计费。有关详细信息，请参阅存储帐户计费。
实例详细信息	首选存储类型	必需	首选存储类型允许Azure根据所选存储类型在帐户创建体验中提供相关指导。从四种存储类型中选择：Blob 存储或 Azure Data Lake Storage (ADLS) Gen 2、Azure 文件存储、表和队列。选择首选存储类型不会限制使用存储帐户内的任何其他服务。
实例详细信息	性能	必需	为常规用途 v2 存储帐户选择“标准”性能（默认值）。大多数情况下，Microsoft建议使用此类型的帐户。有关详细信息，请参阅存储帐户的类型。对于需要低延迟的情况，请选择“高级”。选择“高级”后，选择要创建的高级存储帐户的类型。可以使用以下类型的高级存储帐户：块 blob 文件共享页 blob
实例详细信息	冗余	必需	选择所需的冗余配置。并非所有冗余选项都适用于所有区域中的所有存储帐户类型。有关冗余配置的详细信息，请参阅 Azure 存储冗余。如果选择异地冗余配置（GRS 或 GZRS），Azure将数据复制到不同区域中的数据中心。对于次要区域中数据的读取访问权限，请选择“在区域不可用的情况下，提供对数据的读取访问”。

高级选项卡

在“高级”选项卡上，可以为新的存储帐户配置其他选项并修改默认设置。创建存储帐户后，可以配置其中的一些选项，而其他选项在创建时需要配置。

下表描述了“高级”选项卡上的字段。

部分	字段	必需或可选	说明
Data Lake Storage	启用分层命名空间	可选	若要将此存储帐户用于Azure Data Lake Storage工作负荷，请配置分层命名空间。有关详细信息，请参阅 Azure 数据湖存储简介。
Blob 存储	启用 SFTP	可选	允许使用安全文件传输协议（SFTP）通过 Internet 安全地传输数据。有关详细信息，请参阅 [Azure Blob 存储中的 [安全文件传输（SFTP）协议支持]（../blobs/secure-file-transfer-protocol-support。
Blob 存储	启用网络文件系统 (NFS) v3	可选	NFS v3 在对象存储规模上提供 Linux 文件系统兼容性，并使 Linux 客户端能够从Azure虚拟机（VM）或本地计算机装载 Blob 存储中的容器。有关详细信息，请参阅 Azure Blob 存储中对网络文件系统 (NFS) 3.0 协议的支持。
Blob 存储	允许跨租户复制	必需	默认情况下，具有适当权限的用户可以在Microsoft Entra租户之间配置对象复制。若要防止跨租户复制，请取消选中此选项。有关详细信息，请参阅防止在 Microsoft Entra 租户间复制。
Blob 存储	访问层	必需	使用 Blob 访问层可以根据使用情况以最经济高效的方式存储 blob 数据。对经常访问的数据选择热层（默认值）。对不常访问的数据选择冷层。有关详细信息，请参阅 Blob 数据的热访问层、冷访问层和存档访问层。
Azure 文件存储	为 SMB 启用托管标识	可选	此设置允许通过Microsoft Entra ID而不是存储帐户密钥进行身份验证，对 Azure SMB 文件共享进行安全、无凭据的访问。此方法增强了安全性，并消除了对 VM 和应用程序的存储帐户密钥访问的需求。请参阅使用托管标识和 Microsoft Entra ID 访问 SMB Azure 文件共享。
Azure 文件存储	要求对 SMB 进行传输中加密	可选	通过此设置，可以独立控制 SMB 访问存储帐户中Azure文件共享是否需要加密。此设置提供比 “需要安全传输 ”设置更精细的控制。在存储帐户上启用 SMB 传输中要求加密时， “需要安全传输 ”设置仅适用于 REST/HTTPS 流量。

网络选项卡

在“网络”选项卡上，可以为新的存储帐户配置网络连接和路由首选项设置。还可以在创建存储帐户后配置这些选项。

下表描述了“网络”选项卡上的字段。

字段	必需或可选	说明
公用网络访问	必需	此设置指定默认公用网络访问规则。可以使用网络安全外围启用入站流量、阻止所有流量或保护流量。如果选择启用流量，可以使用此页面的 “公用网络访问范围 ”部分中提供的选项应用更精细的控制。
公用网络访问范围	必需	如果启用公共网络访问，则可以启用来自所有网络的入站流量，或者仅允许来自特定虚拟网络或 IP 地址范围的流量。
虚拟网络订阅	可选	如果您选择仅允许来自特定虚拟网络或 IP 地址范围的入站流量，请使用此设置来指定要允许流入流量的虚拟网络的订阅。
虚拟网络	可选	如果选择仅从特定虚拟网络或 IP 地址范围启用入站流量，请使用此设置指定要允许流量的虚拟网络的名称。
IPv4 地址	可选	如果选择仅从特定虚拟网络或 IP 地址范围启用入站流量，请使用此设置选择要允许流量的公共 Internet IP 地址。
专用端点	可选	允许创建专用终结点，用于将虚拟网络中的专用 IP 地址分配给存储帐户。
网络路由	必需	网络路由首选项指定如何通过 Internet 从客户端将网络流量路由到存储帐户的公共终结点。默认情况下，新的存储帐户使用Microsoft网络路由。还可以选择通过最靠近存储帐户的 POP 路由网络流量，这可能会降低网络成本。有关详细信息，请参阅 Azure 存储的Network 路由首选项。
Internet 协议	可选	除了 IPv4 之外，还可以选择启用 IPv6 协议。 IPv6 需要公共终结点访问，并且当前与专用终结点和 Internet 路由不兼容。

数据保护选项卡

在“数据保护”选项卡上，可以为新存储帐户中的 blob 数据配置数据保护选项。还可以在创建存储帐户后配置这些选项。有关 Azure 存储中数据保护选项的概述，请参阅 Data protection 概述。

下表描述了“数据保护”选项卡上的字段。

部分	字段	必需或可选	说明
恢复	为容器启用时间点还原	可选	时间点还原支持将块 blob 数据还原到之前的状态，以防止意外删除或损坏。有关详细信息，请参阅块 blob 的时间点还原。启用时间点还原还会启用 blob 版本控制、blob 软删除和 blob 更改源。这些必备功能可能会对成本产生影响。有关详细信息，请参阅时间点还原的定价和计费。
恢复	为 Blob 启用软删除	可选	Blob 软删除会于指定的保持期内在系统中保留已删除的数据，以保护单个 blob、快照或版本不被意外删除或覆盖。在保持期内，可以将软删除的对象还原到删除时的状态。有关详细信息，请参阅 blob 软删除。 Microsoft建议为存储帐户启用 Blob 软删除，并设置最短保留期 7 天。
恢复	启用容器软删除功能	可选	容器软删除会于指定的保持期内在系统中保留已删除的数据，以保护容器及其内容不被意外删除。在保持期内，可以将软删除的容器还原到删除时的状态。有关详细信息，请参阅容器软删除。 Microsoft建议为存储帐户启用容器软删除，并设置至少保留期 7 天。
恢复	为文件共享启用软删除	可选	文件共享软删除会于指定的保持期内在系统中保留已删除的数据，以保护文件共享及其内容不被意外删除。在保持期内，可以将软删除的文件共享还原到删除时的状态。有关详细信息，请参阅防止意外删除 Azure 文件共享。 Microsoft建议为Azure 文件存储工作负荷启用文件共享软删除，并设置至少保留期 7 天。
跟踪	为 Blob 启用版本控制	可选	当覆盖 blob 时，blob 版本控制会自动保存之前版本的 blob 的状态。有关详细信息，请参阅 Blob 版本控制。 Microsoft建议为存储帐户启用 Blob 版本控制以实现最佳数据保护。
跟踪	为 Blob 启用更改源	可选	Blob 更改源提供存储帐户中所有 blob 及其元数据的所有更改的事务日志。有关详细信息，请参阅 Azure Blob 存储中的更改提要支持。
访问控制	启用版本级别的不可变性支持	可选	启用对范围为 Blob 版本的不可变策略的支持。如果选择此选项，则在创建存储帐户后，可以为帐户或容器配置默认基于时间的保留策略，默认情况下，帐户或容器中的 Blob 版本会继承该策略。有关详细信息，请参阅对存储帐户启用版本级不可变支持。

“安全性”选项卡

在“ 安全 ”选项卡上，可以配置与安全性相关的选项。

下表描述了“ 安全 ”选项卡上的字段。

部分	字段	必需或可选	说明
安全性	需要安全传输才能进行 REST API 操作	可选	要求使用安全传输以确保仅通过 HTTPS（默认值）发出对此存储帐户的传入请求。推荐此设置以获取最佳安全性。如果在高级选项卡的Azure 文件存储部分中，既没有选择要求 SMB 传输加密也没有选择要求 NFS 传输加密，那么该设置适用于 Azure 文件存储的 SMB 和 NFS 以及 REST/HTTPS 流量。如果客户端需要访问未加密的 SMB（如 SMB 2.1），请取消选中此复选框。有关详细信息，请参阅要求采用安全传输以确保安全连接。
安全性	允许在单个容器上启用匿名访问	可选	启用此设置后，具有相应权限的用户可以启用对存储帐户中容器的匿名访问（默认值）。禁用此设置将阻止对存储帐户进行所有匿名访问。 Microsoft建议禁用此设置以实现最佳安全性。有关详细信息，请参阅阻止对容器和 Blob 的匿名读取访问。启用匿名访问不会使 Blob 数据可用于匿名访问，除非用户采取其他步骤来显式配置容器的匿名访问设置。
安全性	启用存储帐户密钥访问权限	可选	启用后，此设置允许客户端使用帐户访问密钥或Microsoft Entra帐户（默认值）授权对存储帐户的请求。禁用此设置更安全，因为它阻止使用帐户访问密钥进行授权。有关详细信息，请参阅 Azure 存储帐户的Prevent 共享密钥授权。
安全性	默认在Azure门户中使用Microsoft Entra进行授权	可选	启用后，Azure门户默认使用用户的Microsoft Entra凭据授权数据操作。如果用户没有通过Azure基于角色的访问控制（Azure RBAC）分配的相应权限来执行数据操作，则门户将帐户访问密钥用于数据访问。用户还可选择切换到使用帐户访问密钥。有关详细信息，请参阅在 Azure 门户中默认使用 Microsoft Entra 授权。
安全性	最低 TLS 版本	必需	对于存储帐户的传入请求，请选择最低版本的传输层安全性 (TLS)。默认值为 TLS 版本 1.2。设置为默认值时，会拒绝使用 TLS 1.0 或 TLS 1.1 发出的传入请求。有关详细信息，请参阅强制对存储帐户的请求使用传输层安全 (TLS) 的最低版本。
安全性	允许的复制操作范围(预览版)	必需	选择可从中将数据复制到新帐户的存储帐户的范围。默认值为 `From any storage account`。设置为默认值时，具有相应权限的用户可以将数据从任何存储帐户复制到新帐户。选择 `From storage accounts in the same Azure AD tenant`，仅允许从同一 Microsoft Entra 租户的存储帐户进行复制操作。如果选择 `From storage accounts that have a private endpoint to the same virtual network`，则仅允许从在同一虚拟网络中具有专用终结点的存储帐户执行复制操作。有关详细信息，请参阅将复制操作的来源限制为存储帐户。
Microsoft 存储保护者 (Microsoft Defender for Storage)	启用 Defender for Storage	可选	启用后，你的帐户会激活额外的安全智能层，用于检测访问或利用存储帐户的异常和潜在有害尝试。有关详细信息，请参阅什么是 Microsoft Defender for Cloud？。

加密选项卡

在 “加密 ”选项卡上，可以配置与将数据保存到云时加密方式相关的选项。其中一些选项只能在创建存储帐户时配置。

下表描述了 “加密 ”选项卡上的字段。

字段	必需或可选	说明
加密类型	必需	默认情况下，存储帐户中的数据使用Microsoft管理的密钥进行加密。可以依赖Microsoft管理的密钥来加密数据，也可以使用自己的密钥来管理加密。有关详细信息，请参阅Azure 存储静态数据的加密。
启用对客户管理的密钥的支持	必需	默认情况下，客户管理的密钥只能用于加密 blob 和文件。将此选项设置为“所有服务类型(blob、文件、表和队列)”，这样就可以对所有服务使用客户管理的密钥。如果选择此选项，则无需使用客户管理的密钥。有关详细信息，请参阅用于Azure 存储加密的Customer 托管密钥。
加密密钥	如果“加密类型”字段设置为“客户管理的密钥”，则此项是必需的。	如果你选择“选择密钥保管库和密钥”，系统会提供导航到你要使用的密钥保管库和密钥的选项。如果选择 URI 中的 Enter 密钥，将显示一个用于输入密钥 URI 和订阅的字段。
用户分配的标识	如果“加密类型”字段设置为“客户管理的密钥”，则此项是必需的。	如果在创建存储帐户时配置客户管理的密钥，则必须提供一个用户分配的标识，用于授权访问密钥保管库。
启用基础结构加密	可选	默认情况下，不会启用基础结构加密。启用基础结构加密，可在服务级别和基础结构级别对数据进行加密。有关详细信息，请参阅创建启用了基础结构加密的存储帐户，以便对数据进行双重加密。

“标记”选项卡

在 Tags 选项卡上，指定资源管理器标记以帮助组织Azure资源。有关详细信息，请参阅标记资源、资源组和订阅以进行合理组织。

“查看 + 创建”选项卡

转到 Review + create 选项卡时，Azure验证所选的存储帐户设置。如果验证通过，可以创建存储帐户。

如果验证失败，门户会指示需要修改哪些设置。

若要使用 PowerShell 创建常规用途 v2 存储帐户，请先调用 New-AzResourceGroup 命令创建新的资源组：

$resourceGroup = "<resource-group>"
$location = "<location>"
New-AzResourceGroup -Name $resourceGroup -Location $location

如果不确定要为 -Location 参数指定哪个区域，请使用 Get-AzLocation 命令检索订阅支持的区域列表：

Get-AzLocation | select Location

接下来，使用 New-AzStorageAccount 命令创建一个支持读取访问的异地冗余存储 (RA-GRS) 的标准通用 v2 存储帐户。请记住，存储帐户的名称在Azure中必须唯一，因此请将括号中的占位符值替换为自己的唯一值：

New-AzStorageAccount -ResourceGroupName $resourceGroup `
  -Name <account-name> `
  -Location $location `
  -SkuName Standard_RAGRS `
  -Kind StorageV2 `
  -AllowBlobPublicAccess $false `
  -MinimumTlsVersion TLS1_2

若要创建具有Azure DNS区域终结点的帐户（预览版），请执行以下步骤：

按照 Azure DNS 区域终结点（预览版）中所述注册预览版。

确保已安装 PowerShellGet 最新版本。

Install-Module PowerShellGet -Repository PSGallery -Force

然后，关闭再重新打开 PowerShell 控制台。
安装 Az.Storage PowerShell 模块 4.4.2-预览版或更高版本。可能需要卸载 PowerShell 模块的其他版本。有关安装Azure PowerShell的详细信息，请参阅 powerShellGet 的 Install Azure PowerShell。
```
Install-Module Az.Storage -Repository PsGallery -RequiredVersion 4.4.2-preview -AllowClobber -AllowPrerelease -Force
```

接下来，创建帐户，指定参数 AzureDnsZone 为 -DnsEndpointType。创建帐户后，可以通过获取存储帐户的 PrimaryEndpoints 和 SecondaryEndpoints 属性来查看服务终结点。

$rgName = "<resource-group>"
$accountName = "<storage-account>"

$account = New-AzStorageAccount -ResourceGroupName $rgName `
          -Name $accountName `
          -SkuName Standard_RAGRS `
          -Location <location> `
          -Kind StorageV2 `
          -AllowBlobPublicAccess $false `
          -MinimumTlsVersion TLS1_2 `
          -DnsEndpointType AzureDnsZone

$account.PrimaryEndpoints
$account.SecondaryEndpoints

若要为存储帐户启用分层命名空间以使用 Azure Data Lake Storage，请将对 EnableHierarchicalNamespace 命令调用时将 $True 参数设置为。

下表显示了用于 SkuName 和 Kind 参数的值，以创建具有所需冗余配置的特定类型的存储帐户。

若要创建具有Azure CLI的常规用途 v2 存储帐户，请先通过调用 az group create 命令创建新的资源组。

az group create \
  --name storage-resource-group \
  --location eastus

如果不确定要为 --location 参数指定哪个区域，请使用 az account list-locations 命令检索订阅支持的区域列表。

az account list-locations \
  --query "[].{Region:name}" \
  --out table

接下来，使用 az storage account create 命令通过读取访问异地冗余存储创建标准常规用途 v2 存储帐户。请记住，存储帐户的名称在Azure中必须唯一，因此请将括号中的占位符值替换为自己的唯一值：

az storage account create \
  --name <account-name> \
  --resource-group storage-resource-group \
  --location eastus \
  --sku Standard_RAGRS \
  --kind StorageV2 \
  --min-tls-version TLS1_2 \
  --allow-blob-public-access false

若要创建具有Azure DNS区域终结点（预览版）的帐户，请首先注册预览版，如 Azure DNS 区域终结点（预览版）中所述。接下来，安装Azure CLI的预览扩展（如果尚未安装）：

az extension add --name storage-preview

接下来，创建帐户，指定参数 AzureDnsZone 为 --dns-endpoint-type。创建帐户后，可以通过获取存储帐户的 PrimaryEndpoints 属性来查看服务终结点。

az storage account create \
    --name <account-name> \
    --resource-group <resource-group> \
    --location <location> \
    --min-tls-version TLS1_2 \
    --allow-blob-public-access false \
    --dns-endpoint-type AzureDnsZone

创建帐户后，可以通过获取存储帐户的 primaryEndpoints 和 secondaryEndpoints 属性来返回服务终结点。

az storage account show \
    --resource-group <resource-group> \
    --name <account-name> \
    --query '[primaryEndpoints, secondaryEndpoints]'

若要为存储帐户启用分层命名空间以使用 Azure Data Lake Storage，请在调用参数设置为 >az storage account create 命令。创建分层命名空间需要Azure CLI版本 2.0.79 或更高版本。

可以使用Azure PowerShell或Azure CLI部署Bicep文件来创建存储帐户。在本操作方法文章中使用的 Bicep 文件来自 Azure 资源管理器快速入门模板。 Bicep目前不支持部署远程文件。下载Bicep文件并保存到本地计算机，然后运行脚本。

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. centralus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateFile "main.bicep"

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
echo "Enter the location (i.e. centralus):" &&
read location &&
az group create --name $resourceGroupName --location "$location" &&
az deployment group create --resource-group $resourceGroupName --template-file "main.bicep"

注意

此Bicep文件仅用作示例。有许多存储帐户设置未在此 Bicep 文件中进行配置。例如，如果要使用 Data Lake Storage，则需要通过将 isHnsEnabled 对象的 StorageAccountPropertiesCreateParameters 属性设置为 true 来修改此Bicep文件。

若要了解如何修改此Bicep文件或创建新文件，请参阅：

可以使用Azure PowerShell或Azure CLI部署资源管理器模板来创建存储帐户。本操作指南文章中使用的模板来自 Azure 资源管理器快速入门模板。若要运行脚本，请选择 Try it打开Azure Cloud Shell。若要粘贴脚本，请右键单击 shell，然后选择“粘贴”。

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
$location = Read-Host -Prompt "Enter the location (i.e. centralus)"

New-AzResourceGroup -Name $resourceGroupName -Location "$location"
New-AzResourceGroupDeployment -ResourceGroupName $resourceGroupName -TemplateUri "https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json"

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
echo "Enter the location (i.e. centralus):" &&
read location &&
az group create --name $resourceGroupName --location "$location" &&
az deployment group create --resource-group $resourceGroupName --template-uri "https://raw.githubusercontent.com/Azure/azure-quickstart-templates/master/quickstarts/microsoft.storage/storage-account-create/azuredeploy.json"

注意

此模板仅用作示例。有许多存储帐户设置未在此模板中进行配置。例如，如果要使用 Data Lake Storage，则需要通过将 isHnsEnabled 对象的 StorageAccountPropertiesCreateParameters 属性设置为 true 来修改此模板。

若要了解如何修改此模板或创建新模板，请参阅：

Azure 开发人员 CLI (azd) 是围绕 azd 模板设计的。这些模板使用 Bicep 文件、基本配置和自动化任务将资源预配和部署到 Azure。还可以在创建存储帐户快速入门存储库中查看模板的源代码。

使用以下步骤初始化并运行本快速入门的模板：

在本地 azd init 终端或 CloudShell 中运行该命令。

azd init --template https://github.com/azure-samples/azd-create-storage-account

azd会提示你输入环境名称，该名称确定Azure中预配资源的命名。输入名称 azdstorage ，然后按 Enter。
接下来，运行以下命令 azd up 以启动模板预配和部署过程。
```
azd up
```
如果尚未向 Azure 进行身份验证，azd会输出一条消息，指示使用 azd auth login 命令登录到Azure。
```
azd auth login
```
进行身份验证后，azd会提示你选择一个 Azure 地区，以便从列表中创建存储帐户。从列表中选择所需的位置，然后按 Enter。
azd 还会提示输入存储帐户类型。该类型是添加到 azd 模板的自定义参数，用于为存储帐户预配增加灵活性。选择 Standard_LRS 或想要的任何类型，然后按 Enter。
azd 开始预配存储帐户。命令输出提供指向 Azure 部署的链接，并包含状态详细信息，直到命令完成。
命令完成后，选择指向预配资源组和存储帐户Azure门户的链接。

在 Azure 门户中已部署的资源组和存储帐户的截图。

本文的示例代码位于 Azure Terraform GitHub 存储库中。可以查看包含当前和之前版本的 Terraform 测试结果的日志文件。有关详细信息，请参阅 articles 和示例代码，演示如何使用 Terraform 管理Azure资源。

创建一个目录来测试和运行示例 Terraform 代码，并将其设为当前目录。

创建名为 providers.tf 的文件并插入以下代码：

terraform {
  required_providers {
    azurerm = {
      source  = "hashicorp/azurerm"
      version = "~>4.0"
    }
    random = {
      source  = "hashicorp/random"
      version = "~>3.0"
    }
  }
}

provider "azurerm" {
  features {}
}

创建名为 main.tf 的文件并插入以下代码：

# Create Resource Group
resource "random_pet" "rg_name" {
  prefix = var.resource_group_name_prefix
}

resource "azurerm_resource_group" "rg" {
  location = var.resource_group_location
  name     = random_pet.rg_name.id
}

# Random String for unique naming
resource "random_string" "name" {
  length  = 8
  special = false
  upper   = false
  lower   = true
  numeric = false
}

# Create Storage Account
resource "azurerm_storage_account" "sa" {
  name                     = "sa${random_string.name.result}"
  resource_group_name      = azurerm_resource_group.rg.name
  location                 = azurerm_resource_group.rg.location
  account_tier             = "Standard"
  account_replication_type = "RAGRS"
  account_kind             = "StorageV2"
  min_tls_version          = "TLS1_2"
  allow_nested_items_to_be_public = false
}

创建名为 variables.tf 的文件并插入以下代码：

variable "resource_group_location" {
  type        = string
  default     = "eastus"
  description = "Location of the resource group."
}

variable "resource_group_name_prefix" {
  type        = string
  default     = "rg"
  description = "Prefix of the resource group name that's combined with a random ID so name is unique in your Azure subscription."
}

创建名为 outputs.tf 的文件并插入以下代码：
```
output "resource_group_name" {
  value = azurerm_resource_group.rg.name
}

output "storage_account_name" {
  value = azurerm_storage_account.sa.name
}
```
重要

如果使用 4.x azurerm 提供程序，则必须显式指定Azure订阅 ID才能在运行 Terraform 命令之前对Azure进行身份验证。

在不将其放入 providers 块的情况下指定Azure订阅 ID 的一种方法是在名为 ARM_SUBSCRIPTION_ID 的环境变量中指定订阅 ID。

有关详细信息，请参阅 Azure 提供程序参考文档。
初始化 Terraform。

运行 terraform init，将 Terraform 部署进行初始化。此命令下载管理Azure资源所需的Azure提供程序。
```
terraform init -upgrade
```
要点：
- 参数 -upgrade 可将必要的提供程序插件升级到符合配置版本约束的最新版本。
创建 Terraform 执行计划。

运行 terraform plan 以创建执行计划。
```
terraform plan -out main.tfplan
```
要点：
- terraform plan 命令将创建一个执行计划，但不会执行它。相反，它会确定需要执行哪些操作，以创建配置文件中指定的配置。此模式允许你在对实际资源进行任何更改之前验证执行计划是否符合预期。
- 使用可选 -out 参数可以为计划指定输出文件。使用 -out 参数可以确保所查看的计划与所应用的计划完全一致。
应用 Terraform 执行计划。

运行 terraform apply，将执行计划应用到云基础结构。
```
terraform apply main.tfplan
```
要点：
- 示例 terraform apply 命令假设你先前运行了 terraform plan -out main.tfplan。
- 如果为 -out 参数指定了不同的文件名，请在对 terraform apply 的调用中使用该相同文件名。
- 如果未使用 -out 参数，请调用不带任何参数的 terraform apply。

删除存储帐户

删除存储帐户将删除整个帐户，包括该帐户中的所有数据。删除帐户前请务必备份要保存的任何数据。

在某些情况下，可以恢复已删除的存储帐户，但无法保证恢复。有关详细信息，请参阅恢复已删除的存储帐户。

如果尝试删除与Azure虚拟机关联的存储帐户，可能会收到有关存储帐户仍在使用的错误消息。有关排除此错误的帮助信息，请参阅删除存储帐户时排除错误。

转到 Azure 门户中的存储帐户。
选择“删除”。

若要删除存储帐户，请使用 Remove-AzStorageAccount 命令：

Remove-AzStorageAccount -Name <storage-account> -ResourceGroupName <resource-group>

若要删除存储帐户，请使用 az storage account delete 命令：

az storage account delete --name <storage-account> --resource-group <resource-group>

若要删除存储帐户，请使用Azure PowerShell或Azure CLI。

$storageResourceGroupName = Read-Host -Prompt "Enter the resource group name"
$storageAccountName = Read-Host -Prompt "Enter the storage account name"
Remove-AzStorageAccount -Name $storageAccountName -ResourceGroupName $storageResourceGroupName

echo "Enter the resource group name:" &&
read resourceGroupName &&
echo "Enter the storage account name:" &&
read storageAccountName &&
az storage account delete --name storageAccountName --resource-group resourceGroupName

若要删除存储帐户，请使用Azure PowerShell或Azure CLI。

$storageResourceGroupName = Read-Host -Prompt "Enter the resource group name"
$storageAccountName = Read-Host -Prompt "Enter the storage account name"
Remove-AzStorageAccount -Name $storageAccountName -ResourceGroupName $storageResourceGroupName

echo "Enter the resource group name:" &&
read resourceGroupName &&
echo "Enter the storage account name:" &&
read storageAccountName &&
az storage account delete --name storageAccountName --resource-group resourceGroupName

若要删除创建的资源组和存储帐户 azd ，请使用 azd down 以下命令：

azd down

不再需要通过 Terraform 创建的资源时，请执行以下步骤：

运行 terraform plan 并指定 destroy 标志。
```
terraform plan -destroy -out main.destroy.tfplan
```
要点：
- terraform plan 命令将创建一个执行计划，但不会执行它。相反，它会确定需要执行哪些操作，以创建配置文件中指定的配置。此模式允许你在对实际资源进行任何更改之前验证执行计划是否符合预期。
- 使用可选 -out 参数可以为计划指定输出文件。使用 -out 参数可以确保所查看的计划与所应用的计划完全一致。
运行 terraform apply 以应用执行计划。
```
terraform apply main.destroy.tfplan
```

还可以删除资源组。此操作将删除该资源组中的存储帐户和任何其他资源。有关删除资源组的详细信息，请参阅删除资源组和资源。

后续步骤

反馈

此页面是否有帮助？

Last updated on 2026-05-08

使用Azure Cloud Shell

在本地安装Azure CLI