esemény
márc. 31. 23 - ápr. 2. 23
A legnagyobb Fabric-, Power BI- és SQL-tanulási esemény. Március 31. – Április 2. A FABINSIDER kóddal 400 dollárt takaríthat meg.
Regisztráljon még maAdja meg, hogyan engedélyezi a fájladatokhoz való hozzáférést a Microsoft Azure Portalon
Amikor az Azure Portalon fér hozzá a fájladatokhoz, a portál kéréseket küld az Azure Filesnak a színfalak mögött. Az Azure Storage-nak küldött ezen kérelmek a Microsoft Entra-fiókkal vagy a tárfiók hozzáférési kulcsával engedélyezhetők. A portál jelzi, hogy Ön melyik módszert használja, és lehetővé teszi a kettő közötti váltást, ha rendelkezik a megfelelő engedélyekkel.
Fontos
Ha tárfiókkulcsokkal fér hozzá egy fájlmegosztáshoz, azzal járó biztonsági kockázatokkal jár, ezért ha lehetséges, hitelesítse magát a Microsoft Entra-nal. A kulcsok védelméről és kezeléséről további információt a tárfiók hozzáférési kulcsainak kezelése című témakörben talál.
Azt is megadhatja, hogyan engedélyezheti az egyes fájlmegosztási műveleteket az Azure Portalon. Alapértelmezés szerint a portál bármelyik módszert használja az összes fájlmegosztás engedélyezéséhez, de ön módosíthatja ezt a beállítást az egyes fájlmegosztások esetében.
Attól függően, hogy hogyan szeretné engedélyezni a fájladatokhoz való hozzáférést az Azure Portalon, meghatározott engedélyekre lesz szüksége. A legtöbb esetben ezeket az engedélyeket az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC) biztosítja.
A fájladatoknak az Azure portálról a Microsoft Entra-fiókjával való eléréséhez mindkét következő állításnak igaznak kell lennie:
- Egy beépített vagy egyéni szerepkör van hozzárendelve, amely hozzáférést biztosít a fájladatokhoz.
- Az Azure Resource Manager-olvasó szerepkör legalább a tárfiók szintjére vagy annál magasabbra van korlátozva. Az Olvasó szerepkör biztosítja a leginkább korlátozott engedélyeket, de más olyan Azure Resource Manager-szerepkörök is elfogadhatók, amelyek hozzáférést biztosítanak a tárfiók felügyeleti erőforrásaihoz.
Az Azure Resource Manager-olvasó szerepkör lehetővé teszi a felhasználók számára a tárfiók erőforrásainak megtekintését, de nem módosíthatják őket. Nem biztosít olvasási engedélyeket az Azure Storage-adatokhoz, csak a fiókkezelési erőforrásokhoz. Az Olvasó szerepkörre azért van szükség, hogy a felhasználók az Azure Portalon navigáljanak a fájlmegosztásokra.
Két új beépített szerepkör van, amelyek rendelkeznek a szükséges engedélyekkel a fájladatok OAuth-beli eléréséhez:
A fájladatokhoz való hozzáférést támogató beépített szerepkörökkel kapcsolatos információkért lásd: Azure-fájlmegosztások elérése Microsoft Entra-azonosítóval és Azure Files OAuth over REST-en keresztül.
Megjegyzés
A Tárfájladatok kiemelt közreműködői szerepköre rendelkezik olvasási, írási, törlési és módosítási engedélyekkel az Azure-fájlmegosztásokban lévő fájlokra/könyvtárakra vonatkozó ACL/NTFS-engedélyekre. Az ACL-ek/NTFS-engedélyek módosítása nem támogatott az Azure Portalon.
Az egyéni szerepkörök támogathatják a beépített szerepkörök által biztosított engedélyek különböző kombinációit. Az Egyéni Azure-szerepkörök létrehozásáról további információt az Azure-ra vonatkozó egyéni szerepkörök és az Azure-erőforrások szerepkördefinícióinak ismertetése című témakörben talál.
A fájladatoknak a tárfiók hozzáférési kulcsával való eléréséhez rendelkeznie kell egy Önhöz rendelt Azure-szerepkörrel, amely tartalmazza a Microsoft.Storage/storageAccounts/listkeys/action Azure RBAC-műveletet. Ez az Azure-szerepkör lehet beépített vagy egyéni szerepkör. A Microsoft.Storage/storageAccounts/listkeys/action címet támogató beépített szerepkörök közé tartoznak a következők, a legkisebbtől a legnagyobb engedélyekig terjedő sorrendben:
- Az Olvasó és az Adatelérés szerepkör
- A Storage Account Contributor szerepkör
- Az Azure Resource Manager Hozzájáruló szerepkör
- Az Azure Resource Manager Tulajdonos szerepköre
Amikor megpróbál hozzáférni a fájladatokhoz az Azure Portalon, a portál először ellenőrzi, hogy hozzárendelték-e Önhöz a Microsoft.Storage/storageAccounts/listkeys/action szerepkört. Ha ezzel a művelettel szerepkörhöz lett rendelve, akkor a portál a tárfiókkulcsot használja a fájladatok eléréséhez. Ha még nem rendelt hozzá szerepkört ezzel a művelettel, akkor a portál megkísérli elérni az adatokat a Microsoft Entra-fiókjával.
Fontos
Ha egy tárfiókot egy Azure Resource Manager ReadOnly-zárolással zárol, a Listakulcsok művelet nem engedélyezett az adott tárfiókhoz. A listakulcsok egy POST művelet, és minden POST-művelet le lesz tiltva, ha a fiókhoz olvasási zárolás van konfigurálva. Ezért ha a fiók olvasási zárolással van zárolva, a felhasználóknak Microsoft Entra hitelesítő adatokkal kell hozzáférni a portálon található fájladatokhoz. A fájladatok Microsoft Entra-azonosítóval való eléréséről az Azure Portalon a Microsoft Entra-fiók használata című témakörben olvashat.
Megjegyzés
A klasszikus előfizetés-rendszergazdai szerepkörök közé tartozik a Szolgáltatásadminisztrátor és a Társadminisztrátor , amely az Azure Resource Manager tulajdonosi szerepkörével egyenértékű. A tulajdonosi szerepkör minden műveletet tartalmaz, beleértve a Microsoft.Storage/StorageAccounts/listkeys/action műveletet is, így az ilyen rendszergazdai szerepkörökkel rendelkező felhasználók a tárfiók kulccsal is hozzáférhetnek a fájladatokhoz. További információ: Azure-szerepkörök, Microsoft Entra-szerepkörök és klasszikus előfizetés-rendszergazdai szerepkörök.
Az egyes fájlmegosztások hitelesítési módszerét módosíthatja. Alapértelmezés szerint a portál az aktuális hitelesítési módszert használja. Az aktuális hitelesítési módszer meghatározásához kövesse az alábbi lépéseket.
- Navigáljon az Azure portálon a címen a tárolófiókjához.
- A szolgáltatásmenü Adattár területén válassza a Fájlmegosztások lehetőséget.
- Válasszon ki egy fájlmegosztást.
- Válassza a Tallózás lehetőséget.
- A hitelesítési módszer azt jelzi, hogy jelenleg a tárfiók hozzáférési kulcsát vagy a Microsoft Entra-fiókját használja-e a fájlmegosztási műveletek hitelesítéséhez és engedélyezéséhez. Ha jelenleg a tárfiók hozzáférési kulcsával hitelesít, a hitelesítési módszerként megadott hozzáférési kulcs jelenik meg, ahogyan az alábbi képen is látható. Ha a Microsoft Entra-fiókjával hitelesíti a hitelesítést, ehelyett a Microsoft Entra felhasználói fiókját fogja látni.
Ha a Microsoft Entra-fiók használatára szeretne váltani, válassza a képen a Switch to Microsoft Entra felhasználói fiókra mutató hivatkozást. Ha rendelkezik a megfelelő engedélyekkel az Önhöz rendelt Azure-szerepkörökön keresztül, folytathatja a műveletet. Ha azonban nem rendelkezik a szükséges engedélyekkel, hibaüzenet jelenik meg, amely szerint nincs engedélye az adatok Microsoft Entra-azonosítóval való listázására a felhasználói fiókjával.
A Microsoft Entra-fiók használatához két további RBAC-engedély szükséges:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
Nem jelennek meg fájlmegosztások a listában, ha a Microsoft Entra-fiókja nem rendelkezik a megtekintéshez szükséges engedélyekkel.
A fiók hozzáférési kulcsának használatára való váltáshoz válassza a Kapcsoló a hozzáférési kulcshoz parancsra mutató hivatkozást . Ha rendelkezik hozzáféréssel a tárfiókkulcshoz, folytathatja a műveletet. Ha azonban nem fér hozzá a fiókkulcshoz, hibaüzenet jelenik meg, amely szerint nincs engedélye arra, hogy a hozzáférési kulcs használatával listázhassa az adatokat.
Nem jelennek meg fájlmegosztások a listában, ha nincs hozzáférése a tárfiók hozzáférési kulcsához.
Új tárfiók létrehozásakor megadhatja, hogy az Azure Portal alapértelmezés szerint a Microsoft Entra-azonosítóval legyen engedélyezve, amikor egy felhasználó fájladatokhoz navigál. Ezt a beállítást egy meglévő tárfiókhoz is konfigurálhatja. Ez a beállítás csak az alapértelmezett engedélyezési módszert adja meg. Ne feledje, hogy a felhasználók felülbírálhatják ezt a beállítást, és dönthetnek úgy, hogy engedélyezik az adathozzáférést a tárfiók kulccsal.
Ha meg szeretné adni, hogy a portál alapértelmezés szerint a Microsoft Entra-hitelesítést használja-e az adathozzáféréshez tárfiók létrehozásakor, kövesse az alábbi lépéseket:
Hozzon létre egy új tárfiókot a Tárfiók létrehozása című témakör utasításait követve.
A Speciális lap Biztonság szakaszában jelölje be a Microsoft Entra-engedélyezés alapértelmezett beállítása melletti jelölőnégyzetet az Azure Portalon.
Az ellenőrzés futtatásához és a tárfiók létrehozásához válassza a Véleményezés + létrehozás lehetőséget .
Meglévő tárfiók beállításának frissítéséhez kövesse az alábbi lépéseket:
- Nyissa meg a tárfiókok áttekintését az Azure Portalon.
- A Beállítások területen válassza a Konfiguráció elemet.
- Állítsa be az Alapértelmezett beállítást a Microsoft Entra-engedélyezésre az Azure Portalon engedélyezve értékre.
További források
Oktatás
Modul
Az Azure Storage-fiók biztonságossá tétele - Training
Megtudhatja, hogyan védi meg az Azure Storage többrétegű biztonsága az adatokat hozzáférési kulcsokkal, biztonságos hálózatokkal és az Advanced Threat Protection monitorozásával.
Tanúsítvány
Microsoft Certified: Identitás- és hozzáférés-rendszergazdai társítás - Certifications
A Microsoft Entra ID funkcióinak bemutatása az identitásmegoldások modernizálásához, hibrid megoldások implementálásához és az identitásszabályozás implementálásához.