Konfigurace služby Azure Files

  • 10 min

Než budou mít uživatelé ve společnosti Contoso přístup ke službě Azure Files, musí se nejdřív ověřit a anonymní přístup se nepodporuje. Jako vedoucí systémový inženýr budete muset znát metody ověřování, které Azure Files podporuje, popsané v následující tabulce.

Metoda ověřování Popis
Ověřování založené na identitě přes protokol SMB Pokud možno při přístupu ke službě Azure Files poskytuje stejné bezproblémové jednotné přihlašování (SSO) při přístupu ke sdíleným složkám Azure jako přístup k místním sdíleným složkám. Ověřování založené na identitě podporuje ověřování protokolem Kerberos, které používá identity z Microsoft Entra ID (dříve Azure AD) nebo AD DS.
Přístupový klíč Přístupový klíč je starší a méně flexibilní možnost. Účet úložiště Azure má dva přístupové klíče, které je možné použít při vytváření požadavku na účet úložiště, včetně služby Azure Files. Přístupové klíče jsou statické a poskytují úplný přístup ke službě Azure Files. Přístupové klíče by měly být zabezpečené a nesdílené s uživateli, protože obcházejí všechna omezení řízení přístupu. Osvědčeným postupem je vyhnout se sdílení klíčů účtu úložiště a používat ověřování založené na identitě, kdykoli je to možné.
Token sdíleného přístupového podpisu (SAS) SAS je dynamicky generovaný identifikátor URI (Uniform Resource Identifier), který je založený na přístupovém klíči úložiště. SAS poskytuje omezená přístupová práva k účtu úložiště Azure. Omezení zahrnují povolená oprávnění, čas zahájení a vypršení platnosti, povolené IP adresy, ze kterých se dají odesílat požadavky, a povolené protokoly. Se službou Azure Files se token SAS používá jenom k poskytování přístupu k rozhraní REST API z kódu.

Použití ověřování založeného na identitě

U účtů úložiště Azure můžete povolit ověřování na základě identity. Než to ale budete moct udělat, musíte nejprve nastavit vaše doménové prostředí. V případě ověřování Microsoft Entra ID musíte povolit službu Microsoft Entra Domain Services (dříve Azure Doména služby Active Directory Services). V případě ověřování AD DS musíte zajistit, aby služba AD DS synchronizovala s ID Microsoft Entra a pak se připojila k účtu úložiště. V obou případech můžou uživatelé ověřovat sdílené složky Azure a přistupovat k nim jenom ze zařízení nebo virtuálních počítačů připojených k doméně.

Diagram znázorňuje, jak funguje ověřování na základě identit se sdílenými složkami Azure. Klientský počítač má obousměrnou komunikaci se službou Doména služby Active Directory Services (AD DS) a se službou Microsoft Entra Domain Services. Služba AD DS a Microsoft Entra Domain Services se vzájemně vylučují – klient může jako úložiště identit používat pouze jeden z nich. Když chce klient získat přístup ke sdílené složce Azure, kontaktuje službu AD DS nebo Microsoft Entra Domain Services, kde se ověřuje a přijímá lístek Kerberos pro přístup ke sdílené složce Azure. Klientský počítač odešle lístek Kerberos do sdílené složky Azure, která uděluje přístup k obsahu sdílené složky.

Po povolení ověřování na základě identity pro účet úložiště můžou uživatelé přistupovat k souborům ve sdílené složce Azure pomocí přihlašovacích údajů. Když se uživatel pokusí získat přístup k datům ve službě Azure Files, odešle se požadavek na ID Microsoft Entra pro ověření. Pokud ověřování proběhne úspěšně, vrátí ID Microsoft Entra token Kerberos. Uživatel pak odešle požadavek, který obsahuje token Kerberos, a sdílená složka Azure tento token použije k autorizaci požadavku. Ověřování AD DS funguje stejným způsobem, jako služba AD DS poskytuje token Kerberos.

Konfigurace oprávnění sdílené složky Azure

Pokud jste povolili ověřování na základě identit, můžete pomocí rolí řízení přístupu na základě role (RBAC) řídit přístupová práva (nebo oprávnění) ke sdíleným složkám Azure. Azure zahrnuje role související se sdílenými složkami Azure v následující tabulce.

Role Popis
Přispěvatel sdílené složky SMB dat souboru úložiště Uživatelé v této roli mají přístup ke čtení, zápisu a odstraňování ve sdílených složkách azure Storage přes protokol SMB.
Přispěvatel sdílené složky SMB dat souboru úložiště s vyššími oprávněními Uživatelé v této roli mají oprávnění ntfs ke čtení, zápisu, odstranění a úpravě přístupu ke sdíleným složkám Azure Storage přes protokol SMB. Tato role má oprávnění k úplnému řízení sdílené složky Azure.
Čtenář sdílené složky SMB dat souboru úložiště Uživatelé v této roli mají ke sdílené složce Azure přístup pro čtení přes protokol SMB.
Čtenář dat souboru úložiště s privilegovaným přístupem Uživatelé v této roli mají úplný přístup ke čtení všech dat ve sdílených složkách pro všechny nakonfigurované účty úložiště bez ohledu na nastavená oprávnění NTFS na úrovni souboru nebo adresáře.
Přispěvatel dat souboru úložiště s privilegovaným přístupem Uživatelé v této roli mají úplný přístup ke čtení, zápisu, úpravě seznamů ACL a odstraňování přístupu ke všem datům ve sdílených složkách pro všechny nakonfigurované účty úložiště bez ohledu na nastavená oprávnění NTFS na úrovni souboru nebo adresáře.

V případě potřeby můžete také vytvořit a použít vlastní role RBAC. Role RBAC ale uděluje přístup jenom ke sdílené složce. Pro přístup k souborům musí mít uživatel také oprávnění na úrovni souboru.

Sdílené složky Azure vynucuje standardní oprávnění k souborům Windows na úrovni složky a souboru. Sdílenou složku můžete připojit a nakonfigurovat oprávnění přes protokol SMB stejným způsobem jako u místních sdílených složek.

Důležité

Úplné řízení správy sdílené složky Azure, včetně možnosti převzít vlastnictví souboru, vyžaduje použití klíče účtu úložiště.

Šifrování dat

Všechna data uložená v účtu úložiště Azure (která zahrnuje data ve sdílených složkách Azure) se vždy šifrují v klidovém stavu pomocí šifrování služby Storage (SSE). Data se šifrují, jak jsou napsaná v datacentrech Azure, a při přístupu k datům se automaticky dešifrují. Ve výchozím nastavení se data šifrují pomocí spravovaných klíčů Microsoftu, ale můžete zvolit použití vlastního šifrovacího klíče.

Ve výchozím nastavení mají všechny účty úložiště Azure povolené šifrování během přenosu. Tím zajistíte, že se všechna data při přenosu z datacentra Azure do vašeho zařízení zašifrují. Nešifrovaný přístup pomocí protokolu SMB 2.1 a SMB 3.0 bez šifrování nebo protokolu HTTP není ve výchozím nastavení povolený a klienti se nemůžou připojit ke sdíleným složkám Azure bez šifrování. To je možné nakonfigurovat pro účet úložiště Azure a je efektivní pro všechny služby účtu úložiště.

Vytváření sdílených složek Azure

Služba Azure Files se nasadí jako součást účtu úložiště Azure. Nastavení, které zadáte při vytváření účtu úložiště Azure, jako je umístění, replikace a metoda připojení, platí také pro Azure Files. Některá nastavení účtu úložiště Azure, jako je výkon a typ účtu, můžou omezit možnosti, které jsou dostupné pro Službu Azure Files. Pokud například chcete použít sdílené složky úrovně Premium, které používají disky SSD, musíte při vytváření účtu úložiště Azure vybrat výkon úrovně Premium a typ FileStorage účtu úložiště.

Po vytvoření účtu úložiště Azure můžete sdílenou složku Azure vytvořit pomocí webu Azure Portal, Azure PowerShellu, rozhraní příkazového řádku Azure (Azure CLI) nebo rozhraní REST API. Účet úložiště Azure můžete vytvořit také pomocí centra Windows Správa Center při nasazování Synchronizace souborů Azure.

Pokud chcete vytvořit standardní sdílenou složku Smb Azure, použijte následující postup. Pokud vytváříte sdílenou složku Azure úrovně Premium, musíte také zadat zřízenou kapacitu.

  1. Na webu Azure Portal vyberte příslušný účet úložiště.
  2. V navigačním podokně v části Souborová služba vyberte Sdílené složky.
  3. V podokně podrobností na panelu nástrojů vyberte + Sdílená složka.
  4. V okně Nová sdílená složka zadejte požadovaný název a vyberte úroveň.
  5. Vyberte Zkontrolovat a vytvořit a potom Vytvořit.