Выбор способа авторизации доступа к файловым данным на портале Azure

При доступе к данным файлов с помощью портал Azure портал запрашивает Файлы Azure за кулисами. Эти запросы можно авторизовать с помощью учетной записи Microsoft Entra или ключа доступа к учетной записи хранения. Портал указывает, какой метод вы используете, и позволяет переключаться между двумя, если у вас есть соответствующие разрешения.

Вы также можете указать, как авторизовать отдельную операцию общей папки в портал Azure. По умолчанию портал использует любой метод, который вы уже используете для авторизации всех общих папок, но у вас есть возможность изменить этот параметр для отдельных файловых ресурсов.

Разрешения, необходимые для доступа к данным файла

В зависимости от способа авторизации доступа к данным файла в портал Azure вам потребуются определенные разрешения. В большинстве случаев эти разрешения предоставляются с помощью управления доступом на основе ролей Azure (Azure RBAC).

Использование учетной записи Microsoft Entra

Чтобы получить доступ к данным файла из портал Azure с помощью учетной записи Microsoft Entra, оба из следующих инструкций должны иметь значение true:

• Вы назначаете встроенную или пользовательскую роль, которая предоставляет доступ к данным файла.
• Роль читателя Azure Resource Manager назначается как минимум область на уровень учетной записи хранения или выше. Роль Читатель предоставляет наиболее ограниченные разрешения, однако можно использовать и другую роль Azure Resource Manager, которая предоставляет доступ к ресурсам управления учетными записями хранения.

Роль Читатель Azure Resource Manager позволяет просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в служба хранилища Azure, а только для ресурсов управления учетными записями. Роль читателя необходима, чтобы пользователи могли перейти к общим папкам в портал Azure.

Существует две новые встроенные роли, имеющие необходимые разрешения для доступа к данным файлов с помощью OAuth:

• средство чтения с привилегированными данными служба хранилища файлов
• участник привилегированных данных служба хранилища

Сведения о встроенных ролях, поддерживающих доступ к данным файлов, см. в статье Access Azure file shares using Microsoft Entra ID with Файлы Azure OAuth over REST.

Примечание.

Роль участника привилегированных файлов служба хранилища имеет разрешения на чтение, запись, удаление и изменение разрешений ACL/NTFS для файлов и каталогов в общих папках Azure. Изменение разрешений ACL/NTFS не поддерживается через портал Azure.

Пользовательские роли могут поддерживать различные комбинации тех же разрешений, которые предоставляются встроенными ролями. Дополнительные сведения о создании пользовательских ролей Azure см. в разделе Пользовательские роли Azure и Определения ролей для ресурсов Azure.

Использование ключа доступа к учетной записи хранения

Чтобы получить доступ к данным файла с ключом доступа к учетной записи хранения, необходимо назначить роль Azure, включающую действие Microsoft.служба хранилища/storageAccounts/listkeys/action. Эта роль Azure может быть встроенной или пользовательской. Встроенные роли, поддерживающие Microsoft.служба хранилища/storageAccounts/listkeys/action включают следующее:

• читатель с доступом к данным;
• участник учетной записи хранения;
• участник Azure Resource Manager;
• Владелец Azure Resource Manager.

При попытке получить доступ к данным файла в портал Azure на портале сначала проверка, назначена ли вам роль в Microsoft.служба хранилища/storageAccounts/listkeys/action. Если вы назначили роль с этим действием, портал использует ключ учетной записи хранения для доступа к данным файла. Если вы не назначили роль с этим действием, портал пытается получить доступ к данным с помощью учетной записи Microsoft Entra.

Важно!

Если учетная запись хранения заблокирована с блокировкой Azure Resource Manager ReadOnly , операция "Ключи списка" не разрешена для этой учетной записи хранения. Список ключей — операция POST, и все операции POST блокируются, если для учетной записи настроена блокировка ReadOnly. По этой причине, когда учетная запись заблокирована с блокировкой ReadOnly , пользователи должны использовать учетные данные Microsoft Entra для доступа к данным файлов на портале. Сведения о доступе к данным файла в портал Azure с идентификатором Microsoft Entra см. в статье "Использование учетной записи Microsoft Entra".

Примечание.

Роль администратора классической подписки Администратор istrator и co-Администратор istrator включают эквивалент роли владельца Azure Resource Manager. Роль владельца включает все действия, включая Microsoft.служба хранилища/storageAccounts/listkeys/action, поэтому пользователь с одной из этих административных ролей также может получить доступ к данным файла с помощью ключа учетной записи хранения. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Укажите, как авторизовать операции с определенной общей папкой

Вы можете изменить метод проверки подлинности для отдельных общих папок. По умолчанию портал использует текущий метод проверки подлинности. Чтобы определить текущий метод проверки подлинности, выполните следующие действия.

1. Перейдите к учетной записи хранения в портал Azure и выберите общие папки хранилища>данных в области навигации слева.
2. Выберите общий файловый ресурс.
3. Выберите Обзор.
4. Метод проверки подлинности указывает, используете ли вы ключ доступа к учетной записи хранения или учетную запись Microsoft Entra для проверки подлинности и авторизации операций общей папки. Если вы выполняете проверку подлинности с помощью ключа доступа к учетной записи хранения, вы увидите ключ доступа, указанный в качестве метода проверки подлинности, как показано на следующем рисунке. Если вы выполняете проверку подлинности с помощью учетной записи Microsoft Entra, вы увидите учетную запись пользователя Microsoft Entra, указанную вместо этого.

Проверка подлинности с помощью учетной записи Microsoft Entra

Чтобы переключиться на использование учетной записи Microsoft Entra, выберите ссылку, выделенную на изображении, в котором говорится, что переключитесь на учетную запись пользователя Microsoft Entra. Если в назначенных вам ролях Azure имеются соответствующие разрешения, вы сможете продолжить работу. Однако если у вас нет необходимых разрешений, появится сообщение об ошибке, которое у вас нет разрешений на перечисление данных с помощью учетной записи пользователя с идентификатором Microsoft Entra.

Для использования учетной записи Microsoft Entra требуются два дополнительных разрешения RBAC:

• Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
• Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

В списке нет общих папок, если ваша учетная запись Microsoft Entra не имеет разрешений для их просмотра.

Проверка подлинности с помощью ключа доступа к учетной записи хранения

Чтобы перейти на использование ключа доступа к учетной записи, выберите ссылку, которая говорит "Переключиться на ключ доступа". Если у вас есть доступ к ключу учетной записи хранения, вы сможете продолжить. Однако если у вас нет доступа к ключу учетной записи, появится сообщение об ошибке, которое у вас нет разрешений на использование ключа доступа для перечисления данных.

В списке нет общих папок, если у вас нет доступа к ключу доступа к учетной записи хранения.

По умолчанию авторизация Microsoft Entra в портал Azure

При создании новой учетной записи хранения можно указать, что портал Azure по умолчанию будет авторизации с идентификатором Microsoft Entra при переходе пользователя к данным файла. Этот параметр также можно настроить для существующей учетной записи хранения. Этот параметр задает только метод авторизации по умолчанию. Помните, что пользователь может переопределить этот параметр и разрешить доступ к данным с помощью ключа учетной записи хранения.

Чтобы указать, что портал будет использовать авторизацию Microsoft Entra по умолчанию для доступа к данным при создании учетной записи хранения, выполните следующие действия.

1. Создайте учетную запись хранения, следуя инструкциям в разделе Создание учетной записи хранения.

2. На вкладке "Дополнительно" в разделе "Безопасность" проверка поле рядом с авторизацией Microsoft Entra по умолчанию в портал Azure.

   

3. Выберите "Проверка и создание", чтобы выполнить проверку и создать учетную запись хранения.

Чтобы изменить этот параметр для существующей учетной записи хранения, выполните следующие действия.

1. Перейдите к обзору учетной записи хранения в портал Azure.
2. В разделе Параметры выберите пункт Конфигурация.
3. Установите для параметра "По умолчанию авторизация Microsoft Entra" в портал Azure значение "Включено".

См. также

• Доступ к общим папкам Azure с помощью идентификатора Microsoft Entra с Файлы Azure OAuth по протоколу REST
• Авторизация доступа к данным в службе хранилища Azure