Choose how to authorize access to file data in the Azure portal

Amikor az Azure Portalon fér hozzá a fájladatokhoz, a portál kéréseket küld az Azure Filesnak a színfalak mögött. Ezek a kérések a Microsoft Entra-fiók vagy a tárfiók hozzáférési kulcsával engedélyezhetők. A portál jelzi, hogy melyik módszert használja, és lehetővé teszi a kettő közötti váltást, ha rendelkezik a megfelelő engedélyekkel.

Azt is megadhatja, hogyan engedélyezheti az egyes fájlmegosztási műveleteket az Azure Portalon. Alapértelmezés szerint a portál bármelyik módszert használja az összes fájlmegosztás engedélyezéséhez, de ön módosíthatja ezt a beállítást az egyes fájlmegosztások esetében.

A fájladatok eléréséhez szükséges engedélyek

Attól függően, hogy hogyan szeretné engedélyezni a fájladatokhoz való hozzáférést az Azure Portalon, meghatározott engedélyekre lesz szüksége. A legtöbb esetben ezeket az engedélyeket az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) biztosítja.

A Microsoft Entra-fiók használata

Ha a Microsoft Entra-fiókjával szeretné elérni a fájladatokat az Azure Portalról, az alábbi utasítások mindegyikének igaznak kell lennie:

• Egy beépített vagy egyéni szerepkör van hozzárendelve, amely hozzáférést biztosít a fájladatokhoz.
• Az Azure Resource Manager-olvasó szerepkör legalább a tárfiók szintjére vagy annál magasabbra van korlátozva. Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz.

Az Azure Resource Manager-olvasó szerepkör lehetővé teszi a felhasználók számára a tárfiók erőforrásainak megtekintését, de nem módosíthatják őket. Nem biztosít olvasási engedélyeket az Azure Storage-adatokhoz, csak a fiókkezelési erőforrásokhoz. Az Olvasó szerepkörre azért van szükség, hogy a felhasználók az Azure Portalon navigáljanak a fájlmegosztásokra.

Két új beépített szerepkör van, amelyek rendelkeznek a szükséges engedélyekkel a fájladatok OAuth-beli eléréséhez:

• Tárfájl adatjogosultságú olvasója
• Tárfájl adatainak kiemelt közreműködője

A fájladatokhoz való hozzáférést támogató beépített szerepkörökkel kapcsolatos információkért lásd: Azure-fájlmegosztások elérése Microsoft Entra-azonosítóval és Azure Files OAuth over REST-en keresztül.

Megjegyzés:

A Tárfájladatok kiemelt közreműködői szerepköre rendelkezik olvasási, írási, törlési és módosítási engedélyekkel az Azure-fájlmegosztásokban lévő fájlokra/könyvtárakra vonatkozó ACL/NTFS-engedélyekre. Az ACL-ek/NTFS-engedélyek módosítása nem támogatott az Azure Portalon.

Az egyéni szerepkörök támogathatják a beépített szerepkörök által biztosított engedélyek különböző kombinációit. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörök és az Azure-erőforrások szerepkördefinícióinak ismertetése című témakörben talál.

A tárfiók hozzáférési kulcsának használata

Ha a tárfiók hozzáférési kulcsával szeretné elérni a fájladatokat, rendelkeznie kell egy Azure-szerepkörrel, amely tartalmazza a Microsoft.Storage/storageAccounts/listkeys/action Azure RBAC-műveletet. Ez az Azure-szerepkör lehet beépített vagy egyéni szerepkör. A Microsoft.Storage/storageAccounts/listkeys/action műveletet támogató beépített szerepkörök a következők, amelyek a legkevésbé a legnagyobb engedélyek sorrendjében jelennek meg:

• Az Olvasó és az Adatelérés szerepkör
• A tárfiók közreműködői szerepköre
• Az Azure Resource Manager közreműködői szerepköre
• Az Azure Resource Manager tulajdonosi szerepköre

Amikor megpróbál hozzáférni a fájladatokhoz az Azure Portalon, a portál először ellenőrzi, hogy hozzárendelték-e Önhöz a Microsoft.Storage/storageAccounts/listkeys/action szerepkört. Ha ezzel a művelettel szerepkörhöz lett rendelve, akkor a portál a tárfiókkulcsot használja a fájladatok eléréséhez. Ha még nem rendelt hozzá szerepkört ezzel a művelettel, akkor a portál megkísérli elérni az adatokat a Microsoft Entra-fiókjával.

Fontos

Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárol, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Ezért ha a fiók olvasási zárolással van zárolva, a felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférni a portálon található fájladatokhoz. A fájladatok Microsoft Entra-azonosítóval való eléréséről az Azure Portalon a Microsoft Entra-fiók használata című témakörben olvashat.

Megjegyzés:

A klasszikus előfizetés-rendszergazdai szerepkörök a Service Rendszergazda istrator és a Co-Rendszergazda istrator az Azure Resource Manager tulajdonosi szerepkörével egyenértékűek. A tulajdonosi szerepkör minden műveletet tartalmaz, beleértve a Microsoft.Storage/StorageAccounts/listkeys/action műveletet is, így az ilyen rendszergazdai szerepkörökkel rendelkező felhasználók a tárfiók kulccsal is hozzáférhetnek a fájladatokhoz. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.

Egy adott fájlmegosztás műveleteinek engedélyezése

Az egyes fájlmegosztások hitelesítési módszerét módosíthatja. Alapértelmezés szerint a portál az aktuális hitelesítési módszert használja. Az aktuális hitelesítési módszer meghatározásához kövesse az alábbi lépéseket.

1. Lépjen a tárfiókra az Azure Portalon, és válassza ki az Adattárolási>fájlmegosztások lehetőséget a bal oldali navigációs sávon.
2. Válasszon ki egy fájlmegosztást.
3. Válassza a Tallózás lehetőséget.
4. A hitelesítési módszer azt jelzi, hogy jelenleg a tárfiók hozzáférési kulcsát vagy a Microsoft Entra-fiókját használja-e a fájlmegosztási műveletek hitelesítéséhez és engedélyezéséhez. Ha jelenleg a tárfiók hozzáférési kulcsával hitelesít, a hitelesítési módszerként megadott hozzáférési kulcs jelenik meg, ahogyan az alábbi képen is látható. Ha a Microsoft Entra-fiókjával hitelesíti a hitelesítést, ehelyett a Microsoft Entra felhasználói fiókját fogja látni.

Hitelesítés a Microsoft Entra-fiókkal

Ha a Microsoft Entra-fiók használatára szeretne váltani, válassza a képen a Switch to Microsoft Entra felhasználói fiókra mutató hivatkozást. Ha rendelkezik a megfelelő engedélyekkel az Önhöz rendelt Azure-szerepkörökön keresztül, folytathatja a műveletet. Ha azonban nem rendelkezik a szükséges engedélyekkel, hibaüzenet jelenik meg, amely szerint nincs engedélye az adatok Microsoft Entra-azonosítóval való listázására a felhasználói fiókjával.

A Microsoft Entra-fiók használatához két további RBAC-engedély szükséges:

• Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
• Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Nem jelennek meg fájlmegosztások a listában, ha a Microsoft Entra-fiókja nem rendelkezik a megtekintéshez szükséges engedélyekkel.

Hitelesítés a tárfiók hozzáférési kulcsával

A fiók hozzáférési kulcsának használatára való váltáshoz válassza a Kapcsoló a hozzáférési kulcshoz parancsra mutató hivatkozást . Ha rendelkezik hozzáféréssel a tárfiókkulcshoz, folytathatja a műveletet. Ha azonban nem fér hozzá a fiókkulcshoz, hibaüzenet jelenik meg, amely szerint nincs engedélye arra, hogy a hozzáférési kulcs használatával listázhassa az adatokat.

Nem jelennek meg fájlmegosztások a listában, ha nincs hozzáférése a tárfiók hozzáférési kulcsához.

Alapértelmezett a Microsoft Entra-engedélyezés az Azure Portalon

Új tárfiók létrehozásakor megadhatja, hogy az Azure Portal alapértelmezés szerint a Microsoft Entra-azonosítóval legyen engedélyezve, amikor egy felhasználó fájladatokhoz navigál. Ezt a beállítást egy meglévő tárfiókhoz is konfigurálhatja. Ez a beállítás csak az alapértelmezett engedélyezési módszert adja meg. Ne feledje, hogy a felhasználók felülbírálhatják ezt a beállítást, és dönthetnek úgy, hogy engedélyezik az adathozzáférést a tárfiók kulccsal.

Ha meg szeretné adni, hogy a portál alapértelmezés szerint a Microsoft Entra-hitelesítést használja-e az adathozzáféréshez tárfiók létrehozásakor, kövesse az alábbi lépéseket:

1. Hozzon létre egy új tárfiókot a Tárfiók létrehozása című témakör utasításait követve.

2. A Speciális lap Biztonság szakaszában jelölje be a Microsoft Entra-engedélyezés alapértelmezett beállítása melletti jelölőnégyzetet az Azure Portalon.

   

3. Az ellenőrzés futtatásához és a tárfiók létrehozásához válassza a Véleményezés + létrehozás lehetőséget .

Meglévő tárfiók beállításának frissítéséhez kövesse az alábbi lépéseket:

1. Nyissa meg a tárfiókok áttekintését az Azure Portalon.
2. A Beállítások területen válassza a Konfiguráció elemet.
3. Állítsa be az Alapértelmezett beállítást a Microsoft Entra-engedélyezésre az Azure Portalon engedélyezve értékre.

Kapcsolódó információk

• Azure-fájlmegosztások elérése a Microsoft Entra ID-val az Azure Files OAuthtal REST-en keresztül
• Hozzáférés engedélyezése az Azure Storage-beli adatokhoz