Pilih cara mengotorisasi akses ke data file di Azure portal

Berlaku untuk: ✔️ berbagi file Azure SMB

Saat Anda mengakses data file dengan menggunakan Azure portal, portal membuat permintaan ke layanan Azure Files secara tersembunyi. Anda dapat mengotorisasi permintaan ini dengan menggunakan akun Microsoft Entra Anda (disarankan) atau kunci akses akun penyimpanan (kurang aman). Portal menunjukkan metode mana yang Anda gunakan dan memungkinkan Anda beralih di antara dua metode jika Anda memiliki izin yang sesuai. Secara default, portal menggunakan metode apa pun yang sudah Anda gunakan untuk mengotorisasi semua berbagi file, tetapi Anda dapat mengubah pengaturan ini untuk operasi berbagi file individual.

Penting

Artikel ini menjelaskan cara mengotorisasi akses ke data file di Portal Azure. Ini tidak mencakup cara menyiapkan autentikasi berbasis identitas untuk berbagi berkas kepada pengguna akhir. Untuk mempelajari tentang autentikasi berbasis identitas, lihat Gambaran umum autentikasi berbasis identitas Azure Files.

Peringatan

Mengakses berbagi file dengan menggunakan kunci akun storage memiliki risiko keamanan yang melekat. Selalu autentikasi dengan menggunakan Microsoft Entra jika memungkinkan. Untuk informasi tentang cara melindungi dan mengelola kunci Anda, lihat Mengelola kunci akses akun penyimpanan.

Izin yang diperlukan untuk mengakses data file

Bergantung pada bagaimana Anda ingin mengotorisasi akses ke data file di portal Azure, Anda memerlukan izin tertentu. Dalam kebanyakan kasus, Anda dapatkan izin ini melalui kontrol akses berbasis peran Azure (Azure RBAC).

Gunakan akun Microsoft Entra Anda (disarankan)

Untuk mengakses data file dari Azure portal dengan menggunakan akun Entra Anda, kedua pernyataan berikut semua harus terpenuhi:

• Anda diberi peran bawaan atau kustom yang menyediakan access ke data file.
• Anda diberi peran Azure Resource Manager Reader, minimal, dicakup ke tingkat akun penyimpanan atau lebih tinggi. Peran Reader memberikan izin yang paling terbatas, tetapi peran Azure Resource Manager lain yang memberikan akses ke sumber daya untuk pengelolaan akun penyimpanan juga dapat diterima.

Peran Azure Resource Manager Reader memungkinkan pengguna untuk melihat sumber daya akun storage, tetapi tidak mengubahnya. Ini tidak menyediakan izin baca untuk data di Azure Storage, tetapi hanya untuk sumber daya manajemen akun. Peran Reader diperlukan agar pengguna dapat menavigasi ke berbagi file di Azure portal.

Dua peran bawaan memiliki izin yang diperlukan untuk access data file dengan menggunakan OAuth:

• Storage File Data Privileged Reader
• Kontributor Data File dengan Hak Istimewa Penyimpanan

Untuk informasi tentang peran bawaan yang mendukung akses ke data file, lihat cara mengakses berbagi file Azure menggunakan Microsoft Entra ID dengan Azure Files OAuth melalui REST.

Catatan

Peran Storage File Data Privileged Contributor memiliki izin untuk membaca, menulis, menghapus, dan memodifikasi izin ACL/NTFS pada file dan direktori dalam berbagi file Azure. Mengubah izin ACL/NTFS tidak didukung melalui Azure portal.

Peran kustom dapat mendukung kombinasi yang berbeda dari izin yang sama yang disediakan oleh peran bawaan. Untuk informasi selengkapnya, lihat peran kustom Azure dan Pahami definisi peran untuk sumber daya Azure.

Gunakan kunci akses akun penyimpanan (tidak disarankan)

Untuk mengakses data file dengan menggunakan kunci akses akun penyimpanan, Anda harus memiliki peran Azure yang mencakup tindakan Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Peran Azure ini dapat menjadi peran bawaan atau peran kustom. Peran bawaan yang mendukung Microsoft. Storage/storageAccounts/listkeys/action menyertakan yang berikut ini, tercantum secara berurutan dari izin paling sedikit hingga yang terbesar:

• Peran Reader dan Data Access
• Peran Kontributor Akun Storage
• Azure Resource Manager, peran Contributor
• Peran Pemilik pada Azure Resource Manager

Saat Anda mencoba access data file di Azure portal, portal terlebih dahulu memeriksa apakah Anda memiliki peran dengan Microsoft.Storage/storageAccounts/listkeys/action. Jika Anda memiliki peran dengan tindakan ini, portal menggunakan kunci akun storage untuk mengakses data file. Jika Anda tidak memiliki peran terkait tindakan ini, portal akan mencoba mengakses data dengan menggunakan akun Entra Anda.

Penting

Saat Anda mengunci akun storage dengan menggunakan kunci Resource Manager ReadOnly, Anda tidak dapat melakukan operasi List Keys untuk akun storage tersebut. Daftar Kunci adalah operasi POST, dan semua operasi POST dicegah ketika kunci Baca Saja dikonfigurasi untuk akun tersebut. Untuk alasan ini, saat Anda mengunci akun dengan menggunakan kunci ReadOnly, Anda harus menggunakan kredensial Entra untuk access data file di portal. Untuk informasi tentang mengakses data file di Azure portal dengan menggunakan Microsoft Entra ID, lihat Gunakan akun Microsoft Entra Anda.

Catatan

Peran administrator langganan klasik Service Administrator dan Co-Administrator menyertakan peran Azure Resource Manager Owner yang setara. Peran Owner mencakup semua tindakan, termasuk Microsoft. Storage/storageAccounts/listkeys/action action, sehingga pengguna dengan salah satu peran administratif ini juga dapat access data file dengan menggunakan kunci akun storage. Untuk informasi selengkapnya, lihat peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik.

Tentukan cara mengotorisasi operasi pada berbagi file tertentu

Anda dapat mengubah metode autentikasi untuk berbagi file individual. Secara default, portal menggunakan metode autentikasi saat ini. Untuk menentukan metode autentikasi saat ini, ikuti langkah-langkah ini.

1. Buka akun storage Anda di Azure portal.
2. Di menu layanan, di bawah Data storage, pilih Berkas Bersama.
3. Pilih berbagi berkas.
4. Pilih Telusur.
5. Metode Authentication menunjukkan apakah Anda saat ini menggunakan kunci access akun storage atau akun Entra Anda untuk mengautentikasi dan mengotorisasi operasi berbagi file. Jika saat ini Anda mengautentikasi dengan menggunakan kunci akses akun penyimpanan, Anda akan melihat Kunci Akses ditentukan sebagai metode autentikasi, seperti pada gambar berikut. Jika Anda mengautentikasi dengan menggunakan akun Entra, Anda akan melihat akun pengguna Microsoft Entra yang ditentukan sebagai gantinya.

Mengautentikasi dengan menggunakan akun Microsoft Entra Anda (disarankan)

Untuk beralih menggunakan akun Entra Anda, pilih tautan yang disorot dalam gambar yang bertuliskan Beralih ke akun pengguna Microsoft Entra. Jika Anda memiliki izin yang sesuai melalui peran Azure yang ditetapkan untuk Anda, Anda dapat melanjutkan. Namun, jika Anda tidak memiliki izin yang diperlukan, Anda akan melihat pesan kesalahan bahwa Anda tidak memiliki izin untuk mencantumkan data dengan menggunakan akun pengguna Anda dengan ID Entra.

Dua izin RBAC tambahan diperlukan untuk menggunakan akun Entra Anda:

• Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
• Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Tidak ada file sharing yang muncul dalam daftar jika akun Entra Anda tidak diberi izin untuk melihatnya.

Autentikasi dengan menggunakan kunci akses akun penyimpanan (tidak disarankan)

Untuk beralih menggunakan kunci akses akun, pilih tautan yang bertuliskan Switch ke kunci akses. Jika Anda memiliki akses ke kunci akun penyimpanan, Anda dapat meneruskan. Namun, jika Anda tidak memiliki access ke kunci akun, Anda akan melihat pesan kesalahan bahwa Anda tidak memiliki izin untuk menggunakan kunci access untuk mencantumkan data.

Tidak ada berbagi file yang muncul dalam daftar jika Anda tidak memiliki akses ke kunci akses akun penyimpanan.

Atur default ke otorisasi Microsoft Entra di portal Azure

Saat membuat akun storage baru, Anda dapat menentukan bahwa portal Azure secara default menggunakan otorisasi dengan ID Entra saat pengguna mengakses data file. Anda juga dapat mengonfigurasi pengaturan ini untuk akun storage yang ada. Pengaturan ini hanya menentukan metode otorisasi default. Pengguna dapat mengambil alih pengaturan ini dan memilih untuk mengotorisasi data access dengan menggunakan kunci akun storage.

Untuk menentukan bahwa portal menggunakan otorisasi Entra secara default untuk data access saat Anda membuat akun storage, ikuti langkah-langkah berikut:

1. Buat akun storage baru, dengan mengikuti instruksi di Buat akun storage.

2. Pada tab Advanced, di bagian Keamanan, centang kotak di samping Gunakan otorisasi default Microsoft Entra di Portal Azure.

   Screenshot menunjukkan cara mengonfigurasi otorisasi Microsoft Entra default di Azure Portal untuk akun baru.

3. Pilih Review + create untuk menjalankan validasi dan membuat akun storage.

Untuk memperbarui pengaturan ini untuk akun storage yang sudah ada, ikuti langkah-langkah berikut:

1. Buka gambaran umum akun storage di Azure portal.
2. Di bawah Pengaturan, pilih Konfigurasi.
3. Atur Default ke otorisasi Microsoft Entra pada portal Azure ke Diaktifkan.

Lihat juga

• Access Azure berbagi file menggunakan Microsoft Entra ID dengan Azure Files OAuth melalui REST
• Otorisasi akses ke data pada Azure Storage