Autorisieren mit Der Microsoft Entra-ID
Azure Storage bietet eine Integration mit Microsoft Entra ID- für die identitätsbasierte Autorisierung von Anforderungen an die Blob-, Datei-, Warteschlangen- und Tabellendienste. Mit Microsoft Entra-ID können Sie rollenbasierte Zugriffssteuerung (RBAC) verwenden, um Zugriff auf Blob-, Datei-, Warteschlangen- und Tabellenressourcen für Benutzer, Gruppen oder Anwendungen zu gewähren. Sie können Berechtigungen erteilen, die auf die Ebene eines einzelnen Containers, einer Freigabe, einer Warteschlange oder einer Tabelle festgelegt sind.
Weitere Informationen zur Microsoft Entra ID-Integration in Azure Storage finden Sie unter Autorisieren des Zugriffs auf Azure-Blobs und -Warteschlangen mithilfe von Microsoft Entra ID.
Weitere Informationen zu den Vorteilen der Verwendung von Microsoft Entra ID in Ihrer Anwendung finden Sie unter Integration mit der Microsoft Identity Platform.
Wichtig
Für eine optimale Sicherheit empfiehlt Microsoft die Verwendung der Microsoft Entra-ID mit verwalteten Identitäten, um Anforderungen für Blob-, Warteschlangen- und Tabellendaten zu autorisieren, wenn möglich. Die Autorisierung mit Microsoft Entra ID und verwalteten Identitäten bietet eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber der Shared Key-Autorisierung. Weitere Informationen zu verwalteten Identitäten finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen.
Für Ressourcen, die außerhalb von Azure gehostet werden, z. B. lokale Anwendungen, können Sie verwaltete Identitäten über Azure Arc verwenden. Beispielsweise können Apps, die auf Azure Arc-fähigen Servern ausgeführt werden, verwaltete Identitäten verwenden, um eine Verbindung mit Azure-Diensten herzustellen. Weitere Informationen finden Sie unter Authentifizieren von Azure-Ressourcen mit Azure Arc-fähigen Servern.
Für Szenarien, in denen freigegebene Zugriffssignaturen (SAS) verwendet werden, empfiehlt Microsoft die Verwendung einer Benutzerdelegierungs-SAS. Eine Benutzerdelegierungs-SAS ist anstelle des Kontoschlüssels mit Microsoft Entra-Anmeldeinformationen gesichert. Informationen zu freigegebenen Zugriffssignaturen finden Sie unter Erstellen einer Benutzerdelegierung SAS-.
Verwenden von OAuth-Zugriffstoken für die Authentifizierung
Azure Storage akzeptiert OAuth 2.0 Zugriffstoken aus dem Microsoft Entra-Mandanten, der dem Abonnement zugeordnet ist, das das Speicherkonto enthält. Azure Storage akzeptiert Zugriffstoken für:
- Benutzer und Gruppen
- Dienstprinzipale
- Verwaltete Identitäten für Azure-Ressourcen
- Anwendungen, die von Benutzern delegierte Berechtigungen verwenden
Azure Storage macht einen einzelnen Delegierungsbereich namens user_impersonation verfügbar, mit dem Anwendungen alle vom Benutzer zulässigen Aktionen ausführen können.
Um Token für Azure Storage anzufordern, geben Sie den Wert https://storage.azure.com/ für die Ressourcen-ID an. Weitere Informationen zur Ressourcen-ID finden Sie unter Microsoft Identity Platform-Bereiche, Berechtigungen, & Zustimmung.
Weitere Informationen zum Anfordern von Zugriffstoken von Microsoft Entra ID für Benutzer und Dienstprinzipale finden Sie unter Authentifizierungsflüsse und Anwendungsszenarien.
Weitere Informationen zum Anfordern von Zugriffstoken für Ressourcen, die mit verwalteten Identitäten konfiguriert sind, finden Sie unter Verwenden verwalteter Identitäten für Azure-Ressourcen auf einer Azure-VM zum Abrufen eines Zugriffstokens.
Aufrufen von Speichervorgängen mit OAuth-Token
Um Blob-, Datei-, Warteschlangen- und Tabellendienstvorgänge mithilfe von OAuth-Zugriffstoken aufzurufen, übergeben Sie das Zugriffstoken im header Authorization mithilfe des Bearer--Schemas, und geben Sie eine Dienstversion von 2017-11-09 (2022-11-02 für Vorgänge in Datei--Ressource und Directory--Ressource oder 2024-11-04 für Vorgänge in FileService Ressource und FileShare Ressource) oder höher an, wie im folgenden Beispiel gezeigt:
Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate
Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!
Bearer-Herausforderung
Bearer-Herausforderung ist Teil des OAuth-Protokolls RFC 6750 und wird für die Autoritätsermittlung verwendet. Bei anonymen Anforderungen an den Blob-Dienst oder für Anforderungen, die mit einem ungültigen OAuth-Bearertoken vorgenommen wurden, gibt der Server den Statuscode 401 (Nicht autorisiert) mit Identitätsanbieter und Ressourceninformationen zurück. Informationen zur Verwendung dieser Werte während der Authentifizierung mit microsoft Entra ID finden Sie unter Link.
Azure Storage Blob- und Warteschlangendienste geben eine Bearer-Herausforderung für Version 2019-12-12 und höher zurück. Der Azure Storage Table-Dienst gibt eine Beareranforderung für Version 2020-12-06 und höher zurück. Azure Data Lake Storage Gen2 gibt eine Bearer-Herausforderung für Version 2017-11-09 und höher zurück. Der Azure-Dateidienst gibt eine Bearer-Herausforderung aus Version 2022-11-02 und höher zurück.
Antworten auf anonyme Leseanforderungen
Wenn Blob Storage eine anonyme Anforderung empfängt, wird diese Anforderung erfolgreich ausgeführt, wenn alle folgenden Bedingungen erfüllt sind:
- Anonymer öffentlicher Zugriff ist für das Speicherkonto zulässig.
- Der Container ist so konfiguriert, dass anonymer öffentlicher Zugriff zulässig ist.
- Die Anforderung ist für den Lesezugriff vorgesehen.
Wenn eine dieser Bedingungen nicht erfüllt ist, schlägt die Anforderung fehl. Der Antwortcode beim Fehler hängt davon ab, ob die anonyme Anforderung mit einer Version des Diensts durchgeführt wurde, die die Bearerabfrage unterstützt. Die Bearer-Herausforderung wird mit Dienstversionen 2019-12-12 und höher unterstützt:
- Wenn die anonyme Anforderung mit einer Dienstversion durchgeführt wurde, die die Bearerabfrage unterstützt, gibt der Dienst den Fehlercode 401 (Nicht autorisiert) zurück.
- Wenn die anonyme Anforderung mit einer Dienstversion erfolgt ist, die die Bearerabfrage nicht unterstützt und der anonyme öffentliche Zugriff für das Speicherkonto nicht zulässig ist, gibt der Dienst den Fehlercode 409 (Conflict) zurück.
- Wenn die anonyme Anforderung mit einer Dienstversion erfolgt ist, die die Bearerabfrage nicht unterstützt und der anonyme öffentliche Zugriff für das Speicherkonto zulässig ist, gibt der Dienst den Fehlercode 404 (Nicht gefunden) zurück.
Weitere Informationen zur Bearer-Herausforderung finden Sie unter Bearer Challenge.
Beispielantwort auf Bearer-Herausforderung
Im Folgenden sehen Sie ein Beispiel für eine Bearer-Abfrageantwort, wenn die Clientanforderung das Bearertoken nicht in die anonyme Download-BLOB-Anforderung einschließt:
Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net
Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com
<?xml version="1.0" encoding="utf-8"?>
<Error>
<Code>NoAuthenticationInformation</Code>
<Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>
| Parameter | Beschreibung |
|---|---|
| authorization_uri | Der URI (physischer Endpunkt) des Autorisierungsservers. Dieser Wert wird auch als Nachschlageschlüssel verwendet, um weitere Informationen zum Server von einem Ermittlungsendpunkt abzurufen. Der Client muss überprüfen, ob der Autorisierungsserver vertrauenswürdig ist. Wenn die Ressource durch die Microsoft Entra-ID geschützt ist, genügt es, zu überprüfen, ob die URL mit https://login.microsoftonline.com oder einem anderen Hostnamen beginnt, der von Microsoft Entra ID unterstützt wird. Eine mandantenspezifische Ressource sollte immer einen mandantenspezifischen Autorisierungs-URI zurückgeben. |
| resource_id | Gibt den eindeutigen Bezeichner der Ressource zurück. Die Clientanwendung kann diesen Bezeichner als Wert des Ressourcenparameters verwenden, wenn er ein Zugriffstoken für die Ressource anfordert. Es ist wichtig, dass die Clientanwendung diesen Wert überprüft, andernfalls kann ein böswilliger Dienst einen Angriff auf Rechteerweiterungen auslösen. Die empfohlene Strategie zum Verhindern eines Angriffs besteht darin, zu überprüfen, ob die resource_id der Basis der Web-API-URL entspricht, auf die zugegriffen wird. Die Azure Storage-Ressourcen-ID ist https://storage.azure.com. |
Verwalten von Zugriffsrechten mit RBAC
Die Microsoft Entra-ID verarbeitet die Autorisierung des Zugriffs auf gesicherte Ressourcen über RBAC. Mithilfe von RBAC können Sie Benutzern, Gruppen oder Dienstprinzipale Rollen zuweisen. Jede Rolle umfasst eine Reihe von Berechtigungen für eine Ressource. Sobald die Rolle dem Benutzer, der Gruppe oder dem Dienstprinzipal zugewiesen ist, haben sie Zugriff auf diese Ressource. Sie können Zugriffsberechtigungen über das Azure-Portal, Azure-Befehlszeilentools und Azure-Verwaltungs-APIs zuweisen. Weitere Informationen zu RBAC finden Sie unter Erste Schritte mit Role-Based Access Control.
Für Azure Storage können Sie Den Zugriff auf Daten in einem Container oder einer Warteschlange im Speicherkonto gewähren. Azure Storage bietet diese integrierten RBAC-Rollen für die Verwendung mit Microsoft Entra ID:
- des Speicherblobdatenbesitzers
- mitwirkender Speicher-BLOB-Daten
- Storage Blob Delegator-
- für Speicherwarteschlangendatenmitwirkender
- des Speicherwarteschlangen-Datenlesers
- Datenauftragsverarbeiter der Speicherwarteschlange
- des Absenders von Datennachrichten in der Speicherwarteschlange
- des Speichertabellendatenlesers
- für Speichertabellendatenmitwirkender
für Speicherdateidaten privilegierter Mitwirkender für Speicherdateidaten
Weitere Informationen dazu, wie integrierte Rollen für Azure Storage definiert werden, finden Sie unter Grundlegendes zu Rollendefinitionen für Azure-Ressourcen.
Sie können auch benutzerdefinierte Rollen für die Verwendung mit BLOB-Speicher und Azure-Warteschlangen definieren. Weitere Informationen finden Sie unter Erstellen benutzerdefinierter Rollen für Azure Role-Based Access Control.
Berechtigungen für Aufrufen von Datenvorgängen
In den folgenden Tabellen werden die Berechtigungen beschrieben, die für einen Microsoft Entra-Benutzer, eine Gruppe, eine verwaltete Identität oder einen Dienstprinzipal erforderlich sind, um bestimmte Azure Storage-Vorgänge aufzurufen. Um einem Client das Aufrufen eines bestimmten Vorgangs zu ermöglichen, stellen Sie sicher, dass die zugewiesene RBAC-Rolle des Clients ausreichende Berechtigungen für diesen Vorgang bietet.
Berechtigungen für Blob-Dienstvorgänge
| Blob-Dienstvorgang | RBAC-Aktion |
|---|---|
| Listencontainer | Microsoft.Storage/storageAccounts/blobServices/containers/read (Bereich für das Speicherkonto oder höher) |
| Festlegen von BLOB-Diensteigenschaften | Microsoft.Storage/storageAccounts/blobServices/write |
| Abrufen von Blob-Diensteigenschaften | Microsoft.Storage/storageAccounts/blobServices/read |
| Preflight Blob Request | Anonym |
| Get Blob Service Stats | Microsoft.Storage/storageAccounts/blobServices/read |
| Kontoinformationen abrufen | Nicht unterstützt |
| Abrufen von Benutzerdelegierungsschlüsseln | Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action |
| Container- erstellen | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Containereigenschaften abrufen | Microsoft.Storage/storageAccounts/blobServices/containers/read |
| Containermetadaten abrufen | Microsoft.Storage/storageAccounts/blobServices/containers/read |
| Festlegen von Containermetadaten | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Container-ACL- abrufen | Nicht unterstützt |
| Container-ACL- festlegen | Nicht unterstützt |
| Leasecontainer- | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Container löschen | Microsoft.Storage/storageAccounts/blobServices/containers/delete |
| Container wiederherstellen | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Blobs auflisten | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Nach Blobs nach Tags im Container- suchen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| Blob- | Erstellen oder Ersetzen: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write So erstellen Sie ein neues Blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Blob aus URL- | Erstellen oder Ersetzen: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write So erstellen Sie ein neues Blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Blob- abrufen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Abrufen von BLOB-Eigenschaften | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Festlegen von BLOB-Eigenschaften | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Abrufen von Blobmetadaten | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Festlegen von Blobmetadaten | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Blob-Tags abrufen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
| Festlegen von BLOB-Tags | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| Blob nach Tags suchen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| Blob- | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Snapshot Blob- | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write oder Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Blob- kopieren | Für Ziel-Blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write oder Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (beim Schreiben eines neuen Blobs an das Ziel) Für quell-BLOB im selben Speicherkonto: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Für Quell-BLOB in einem anderen Speicherkonto: Als anonym verfügbar oder gültiges SAS-Token einschließen |
| Blob aus URL- kopieren | Für Ziel-Blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write oder Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (beim Schreiben eines neuen Blobs an das Ziel) Für quell-BLOB im selben Speicherkonto: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Für Quell-BLOB in einem anderen Speicherkonto: Als anonym verfügbar oder gültiges SAS-Token einschließen |
| Blob- abbrechen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Blob- löschen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| Blob- rückgängigmachen | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| der Blobebene festlegen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| BLOB-Batch- | Übergeordnete Anforderung: Microsoft.Storage/storageAccounts/blobServices/containers/write Unteranforderungen: Anzeigen von Berechtigungen für diesen Anforderungstyp. |
| Festlegen der Unveränderbarkeitsrichtlinie | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
| "Unveränderbarkeitsrichtlinie löschen" | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
| Festlegen des zulässigen Blob-Speichers | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Block- | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Blockieren von URL- | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Blockliste | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Blocklisten- abrufen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| von Blobinhalten für Abfragen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Seite | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Seite aus URL- | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Abrufen von Seitenbereichen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Inkrementelle Kopie blob- | Für Ziel-BLOB: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Für Quell-BLOB: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Für neues Blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Anfügeblock- | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write oder Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Anfügeblock von URL- | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write oder Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Blob-Ablauf festlegen | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
Berechtigungen für Warteschlangendienstvorgänge
| Warteschlangendienstvorgang | RBAC-Aktion |
|---|---|
| Listenwarteschlangen | Microsoft.Storage/storageAccounts/queueServices/queueServices/read (Bereich für das Speicherkonto oder höher) |
| Festlegen von Warteschlangendiensteigenschaften | Microsoft.Storage/storageAccounts/queueServices/read |
| Abrufen von Warteschlangendiensteigenschaften | Microsoft.Storage/storageAccounts/queueServices/read |
| Preflight-Warteschlangenanforderung | Anonym |
| Abrufen von Warteschlangendienststatistiken | Microsoft.Storage/storageAccounts/queueServices/read |
| Warteschlange erstellen | Microsoft.Storage/storageAccounts/queueServices/queueServices/queues/write |
| Warteschlange löschen | Microsoft.Storage/storageAccounts/queueServices/queueServices/queues/delete |
| Abrufen von Warteschlangenmetadaten | Microsoft.Storage/storageAccounts/queueServices/queueServices/queues/read |
| Festlegen von Warteschlangenmetadaten | Microsoft.Storage/storageAccounts/queueServices/queueServices/queues/write |
| Abrufen von ACL- der Warteschlange | Nicht über OAuth verfügbar |
| Festlegen von ACL- der Warteschlange | Nicht über OAuth verfügbar |
| Nachricht | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action oder Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| Abrufen von Nachrichten | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action or (Microsoft.Storage/storageAccounts/queueServices/queueServices/messages/delete and Microsoft.Storage/storageAccounts/queueServices/queues/messages/read) |
| Vorschaunachrichten | Microsoft.Storage/storageAccounts/queueServices/queueServices/queues/messages/read |
| Nachricht löschen | Microsoft.Storage/storageAccounts/queueServices/queueServices/queues/messages/process/action oder Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| Nachrichten löschen | Microsoft.Storage/storageAccounts/queueServices/queueServices/queues/messages/delete |
| Nachricht aktualisieren | Microsoft.Storage/storageAccounts/queueServices/queueServices/queues/messages/write |
Berechtigungen für Tabellendienstvorgänge
| Tabellendienstvorgang | RBAC-Aktion |
|---|---|
| Festlegen von Tabellendiensteigenschaften | Microsoft.Storage/storageAccounts/tableServices/write |
| Abrufen von Tabellendiensteigenschaften | Microsoft.Storage/storageAccounts/tableServices/read |
| Preflight Table Request | Anonym |
| Get Table Service Stats | Microsoft.Storage/storageAccounts/tableServices/read |
| Ausführen von Entitätsgruppentransaktionen | Sub-Operation autorisiert separat |
| Abfragetabellen | Microsoft.Storage/storageAccounts/tableServices/tables/read (Bereich für das Speicherkonto oder höher) |
| Tabelle erstellen | Microsoft.Storage/storageAccounts/tableServices/tables/write |
| Tabelle löschen | Microsoft.Storage/storageAccounts/tableServices/tables/delete |
| Tabellen-ACL- abrufen | Nicht über OAuth verfügbar |
| Tabellen-ACL- festlegen | Nicht über OAuth verfügbar |
| Abfrageentitäten | Microsoft.Storage/storageAccounts/tableServices/tables/entities/read |
| Entität einfügen | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write oder Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action |
| Entität einfügen oder zusammenführen | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write or (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action und Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action) |
| Entität einfügen oder ersetzen | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write or (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action und Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action) |
| Update Entity | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write oder Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action |
| Entitäts- zusammenführen | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write oder Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action |
| Entität löschen | Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete |
Berechtigungen für Dateidienstvorgänge
| Dateidienstvorgang | RBAC-Aktion |
|---|---|
| Abrufen von Dateidiensteigenschaften | Microsoft.Storage/storageAccounts/fileServices/read |
| Festlegen von Dateidiensteigenschaften | Microsoft.Storage/storageAccounts/fileServices/write |
| Preflight File Request | Anonym |
| Listenfreigaben | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| Share- erstellen | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| Momentaufnahmefreigabe- | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| Abrufen von Freigabeeigenschaften | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| Festlegen von Freigabeeigenschaften | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| Abrufen von Freigabemetadaten | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| Festlegen von Freigabemetadaten | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| Freigeben löschen | Microsoft.Storage/storageAccounts/fileServices/shares/delete |
| Wiederherstellen | Microsoft.Storage/storageAccounts/fileServices/shares/restore/action |
| Share ACL- abrufen | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| Festlegen der ACL-freigabe- | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| Abrufen von Freigabestatistiken | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| Lease share | Microsoft.Storage/storageAccounts/fileServices/shares/lease/action |
| Berechtigung erstellen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Get Permission | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read und Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Listenverzeichnisse und Dateien | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read und Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Verzeichnis- erstellen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Verzeichniseigenschaften abrufen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read und Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Festlegen von Verzeichniseigenschaften | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action, and Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action if x-ms-ms-file-permission or x-ms-file-permission-key is included in HTTP request header. |
| Verzeichnis löschen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Verzeichnismetadaten abrufen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read und Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Festlegen von Verzeichnismetadaten | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Verzeichnis umbenennen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Datei- erstellen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Datei abrufen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read und Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Abrufen von Dateieigenschaften | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read und Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Festlegen von Dateieigenschaften | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action, and Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action if x-ms-ms-file-permission or x-ms-file-permission-key is included in HTTP request header. |
| Bereich | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Bereich aus URL- | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Listenbereiche | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read und Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Abrufen von Dateimetadaten | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read und Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Festlegen von Dateimetadaten | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Datei löschen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Datei kopieren | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action, and Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action if x-ms-ms-file-permission or x-ms-file-permission-key is included in HTTP request header. |
| Datei abbrechen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| -Listenhandles | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read und Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Erzwingen von Ziehpunkten | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Leasedatei | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Datei umbenennen | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write und Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |