Memilih cara mengotorisasi akses untuk data antrean pada portal Microsoft Azure

  • Artikel

Saat Anda mengakses data file menggunakan portal Azure, portal membuat permintaan ke Azure Files di belakang layar. Permintaan ini dapat diotorisasi menggunakan akun Microsoft Entra Anda atau kunci akses akun penyimpanan. Portal menunjukkan metode mana yang Anda gunakan, dan memungkinkan Anda beralih di antara keduanya jika Anda memiliki izin yang sesuai.

Anda juga dapat menentukan cara mengotorisasi operasi berbagi file individual di portal Azure. Secara default, portal menggunakan metode apa pun yang sudah Anda gunakan untuk mengotorisasi semua berbagi file, tetapi Anda memiliki opsi untuk mengubah pengaturan ini untuk berbagi file individual.

Izin yang diperlukan untuk mengakses data file

Bergantung pada cara Anda ingin mengotorisasi akses ke data file di portal Azure, Anda memerlukan izin tertentu. Dalam kebanyakan kasus, izin ini disediakan melalui kontrol akses berbasis peran Azure (Azure RBAC).

Menggunakan akun Microsoft Entra Anda

Untuk mengakses data file dari portal Azure menggunakan akun Microsoft Entra Anda, kedua pernyataan berikut harus benar:

  • Anda diberi peran bawaan atau kustom yang menyediakan akses ke data file.
  • Anda diberi peran Pembaca Azure Resource Manager, minimal, tercakup ke tingkat akun penyimpanan atau yang lebih tinggi. Peran Pembaca memberi izin yang paling terbatas, tetapi peran Azure Resource Manager lain yang memberi akses ke sumber daya manajemen akun penyimpanan juga dapat diterima.

Peran Pembaca Azure Resource Manager memungkinkan pengguna untuk menampilkan sumber daya akun penyimpanan, tapi tidak untuk mengubahnya. Ini tidak menyediakan izin baca untuk data di Azure Storage, tetapi hanya untuk sumber daya manajemen akun. Peran Pembaca diperlukan agar pengguna dapat menavigasi ke berbagi file di portal Azure.

Ada dua peran bawaan baru yang memiliki izin yang diperlukan untuk mengakses data file dengan OAuth:

Untuk informasi tentang peran bawaan yang mendukung akses ke data file, lihat Mengakses berbagi file Azure menggunakan ID Microsoft Entra dengan Azure Files OAuth melalui REST.

Catatan

Peran Storage File Data Privileged Contributor memiliki izin untuk membaca, menulis, menghapus, dan memodifikasi izin ACL/NTFS pada file/direktori di berbagi file Azure. Mengubah izin ACL/NTFS tidak didukung melalui portal Azure.

Peran kustom dapat mendukung kombinasi yang berbeda dari izin yang sama yang disediakan oleh peran bawaan. Untuk informasi selengkapnya tentang membuat peran kustom Azure, lihat Peran kustom Azure dan Pahami definisi peran untuk sumber daya Azure.

Menggunakan kunci akses akun penyimpanan

Untuk mengakses data file dengan kunci akses akun penyimpanan, Anda harus memiliki peran Azure yang ditetapkan untuk Anda yang menyertakan tindakan Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Peran Azure ini mungkin peran bawaan atau peran kustom. Peran bawaan yang mendukung Microsoft.Storage/storageAccounts/listkeys/action mencakup yang berikut ini, tercantum secara berurutan dari izin paling sedikit hingga yang terbesar:

Saat Anda mencoba mengakses data file di portal Azure, portal terlebih dahulu memeriksa apakah Anda telah diberi peran dengan Microsoft.Storage/storageAccounts/listkeys/action. Jika Anda telah diberi peran dengan tindakan ini, portal menggunakan kunci akun penyimpanan untuk mengakses data file. Jika Anda belum diberi peran dengan tindakan ini, portal mencoba mengakses data menggunakan akun Microsoft Entra Anda.

Penting

Saat akun penyimpanan dikunci dengan kunci ReadOnly Azure Resource Manager, operasi Kunci Daftar tidak diizinkan untuk akun penyimpanan tersebut. Daftar Kunci adalah operasi POST, dan semua operasi POST dicegah ketika kunci Baca Saja dikonfigurasi untuk akun tersebut. Untuk alasan ini, ketika akun dikunci dengan kunci ReadOnly , pengguna harus menggunakan kredensial Microsoft Entra untuk mengakses data file di portal. Untuk informasi tentang mengakses data file di portal Azure dengan ID Microsoft Entra, lihat Menggunakan akun Microsoft Entra Anda.

Catatan

Peran administrator langganan klasik Administrator Layanan dan Administrator Bersama menyertakan peran Pemilik Azure Resource Manager yang setara. Peran Pemilik mencakup semua tindakan, termasuk Microsoft.Storage/storageAccounts/listkeys/action, sehingga pengguna dengan salah satu peran administratif ini juga dapat mengakses data file dengan kunci akun penyimpanan. Untuk informasi selengkapnya, lihat Peran Azure, peran Microsoft Entra, dan peran administrator langganan klasik.

Tentukan cara mengotorisasi operasi pada berbagi file tertentu

Anda dapat mengubah metode autentikasi untuk berbagi file individual. Secara default, portal menggunakan metode autentikasi saat ini. Untuk menentukan metode autentikasi saat ini, ikuti langkah-langkah ini.

  1. Navigasi ke akun penyimpanan Anda di portal Azure dan pilih Berbagi file penyimpanan data>dari navigasi kiri.
  2. Pilih berbagi file.
  3. Pilih Telusur.
  4. Metode Autentikasi menunjukkan apakah Anda saat ini menggunakan kunci akses akun penyimpanan atau akun Microsoft Entra Anda untuk mengautentikasi dan mengotorisasi operasi berbagi file. Jika saat ini Anda mengautentikasi menggunakan kunci akses akun penyimpanan, Anda akan melihat Kunci Akses yang ditentukan sebagai metode autentikasi, seperti pada gambar berikut. Jika Mengautentikasi menggunakan akun Microsoft Entra, Anda akan melihat akun pengguna Microsoft Entra yang ditentukan sebagai gantinya.

Screenshot showing the authentication method set to access key.

Mengautentikasi dengan akun Microsoft Entra Anda

Untuk beralih menggunakan akun Microsoft Entra Anda, pilih tautan yang disorot dalam gambar yang bertuliskan Beralih ke akun pengguna Microsoft Entra. Jika Anda memiliki izin yang sesuai melalui peran Azure yang ditetapkan untuk Anda, Anda akan dapat melanjutkan. Namun, jika Anda tidak memiliki izin yang diperlukan, Anda akan melihat pesan kesalahan bahwa Anda tidak memiliki izin untuk mencantumkan data menggunakan akun pengguna Anda dengan ID Microsoft Entra.

Dua izin RBAC tambahan diperlukan untuk menggunakan akun Microsoft Entra Anda:

  • Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
  • Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Tidak ada berbagi file yang akan muncul dalam daftar jika akun Microsoft Entra Anda tidak memiliki izin untuk melihatnya.

Mengautentikasi dengan kunci akses akun penyimpanan

Untuk beralih menggunakan kunci akses akun, pilih tautan yang bertuliskan Beralih ke kunci akses. Jika Anda memiliki akses ke kunci akun penyimpanan, maka Anda akan dapat melanjutkan. Namun, jika Anda tidak memiliki akses ke kunci akun, Anda akan melihat pesan kesalahan bahwa Anda tidak memiliki izin untuk menggunakan kunci akses untuk mencantumkan data.

Tidak ada berbagi file yang muncul dalam daftar jika Anda tidak memiliki akses ke kunci akses akun penyimpanan.

Default ke otorisasi Microsoft Entra di portal Azure

Saat membuat akun penyimpanan baru, Anda dapat menentukan bahwa portal Azure akan default ke otorisasi dengan ID Microsoft Entra saat pengguna menavigasi ke data file. Anda juga dapat mengonfigurasi pengaturan ini untuk akun penyimpanan yang ada. Pengaturan ini hanya menentukan metode otorisasi default. Perlu diingat bahwa pengguna dapat mengambil alih pengaturan ini dan memilih untuk mengotorisasi akses data dengan kunci akun penyimpanan.

Untuk menentukan bahwa portal akan menggunakan otorisasi Microsoft Entra secara default untuk akses data saat Anda membuat akun penyimpanan, ikuti langkah-langkah berikut:

  1. Buat akun penyimpanan baru, dengan mengikuti instruksi di Membuat akun penyimpanan.

  2. Pada tab Tingkat Lanjut, di bagian Keamanan, centang kotak di samping Default ke otorisasi Microsoft Entra di portal Azure.

    Screenshot showing how to configure default Microsoft Entra authorization in Azure portal for new account.

  3. Pilih Tinjau + buat untuk menjalankan validasi dan membuat akun penyimpanan.

Guna memperbarui pengaturan ini untuk akun penyimpanan yang ada, ikuti langkah-langkah berikut:

  1. Navigasikan ke gambaran umum akun penyimpanan di portal Azure.
  2. Di bawah Pengaturan, pilih Konfigurasi.
  3. Atur Default ke otorisasi Microsoft Entra di portal Azure ke Diaktifkan.

Baca juga