Microsoft Entra IDで承認する

[アーティクル]
03/19/2024

Azure Storage は、BLOB、ファイル、キュー、およびテーブルサービスへの要求の ID ベースの承認のためのMicrosoft Entra IDとの統合を提供します。 Microsoft Entra IDでは、ロールベースのアクセス制御 (RBAC) を使用して、BLOB、ファイル、キュー、テーブルのリソースへのアクセスをユーザー、グループ、またはアプリケーションに付与できます。個々のコンテナー、共有、キュー、またはテーブルのレベルをスコープとするアクセス許可を付与できます。

Azure Storage でのMicrosoft Entra ID統合の詳細については、「Microsoft Entra IDを使用して Azure BLOB とキューへのアクセスを承認する」を参照してください。

アプリケーションでMicrosoft Entra IDを使用する利点の詳細については、「Microsoft ID プラットフォームとの統合」を参照してください。

ヒント

Microsoft Entra IDを使用して BLOB、ファイル、キュー、テーブルのデータへのアクセスを承認すると、他の承認オプションよりも優れたセキュリティと使いやすさが提供されます。 Microsoft Entra IDを使用してアプリケーションからの要求を承認する場合、共有キーの承認と同様に、アカウントアクセスキーをコードに格納する必要がなくなります。 BLOB、ファイル、キュー、テーブルの各アプリケーションで共有キーの承認を引き続き使用できますが、可能な場合はMicrosoft Entra IDに移行することをお勧めします。 Azure Storage でのMicrosoft Entra ID統合の詳細については、「Microsoft Entra IDを使用して Azure BLOB とキューへのアクセスを承認する」を参照してください。

認証に OAuth アクセストークンを使用する

Azure Storage は、ストレージアカウントを含むサブスクリプションに関連付けられているMicrosoft Entra テナントから OAuth 2.0 アクセストークンを受け入れます。 Azure Storage では、次のアクセストークンを受け入れます。

ユーザーとグループ
サービスプリンシパル
Azure リソースのマネージド ID
ユーザーによって委任されたアクセス許可を使用するアプリケーション

Azure Storage は、という名前 user_impersonation の 1 つの委任スコープを公開します。このスコープを使用すると、アプリケーションはユーザーが許可するアクションを実行できます。

Azure Storage のトークンを要求するには、リソース ID の値 https://storage.azure.com/ を指定します。リソース ID の詳細については、「Microsoft ID プラットフォームスコープ、アクセス許可、& 同意」を参照してください。

ユーザーとサービスプリンシパルのMicrosoft Entra IDからアクセストークンを要求する方法の詳細については、「認証フローとアプリケーションのシナリオ」を参照してください。

マネージド ID で構成されたリソースのアクセストークンの要求の詳細については、「 Azure VM 上の Azure リソースのマネージド ID を使用してアクセストークンを取得する方法」を参照してください。

OAuth トークンを使用してストレージ操作を呼び出す

OAuth アクセストークンを使用して BLOB、ファイル、キュー、およびテーブルサービス操作を呼び出すには、Bearer スキームを使用して Authorization ヘッダーにアクセストークンを渡し、次の例に示すように、サービスバージョン 2017-11-09 (2022-11-02 for File service) 以上を指定します。

Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate

Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!

ベアラーチャレンジ

ベアラーチャレンジは OAuth プロトコル RFC 6750 の一部であり、機関の検出に使用されます。 BLOB サービスへの匿名要求の場合、または無効な OAuth ベアラートークンを使用して行われた要求の場合、サーバーは ID プロバイダーとリソース情報を含む状態コード 401 (Unauthorized) を返します。 Microsoft Entra IDでの認証時にこれらの値を使用する方法については、リンクを参照してください。

Azure Storage BLOB サービスと Queue サービスは、バージョン 2019-12-12 以降のベアラーチャレンジを返します。 Azure Storage Table Service は、バージョン 2020-12-06 以降のベアラーチャレンジを返します。 Azure Data Lake Storage Gen2は、バージョン 2017-11-09 以降のベアラーチャレンジを返します。 Azure File サービスは、バージョン 2022-11-02 以降からベアラーチャレンジを返します。

匿名読み取り要求への応答

Blob Storage で匿名要求を受信したときにその要求が成功するのは、以下のすべての条件が満たされる場合です。

そのストレージアカウントで匿名パブリックアクセスが許可されている。
匿名パブリックアクセスを許可するようにコンテナーが構成されている。
要求は読み取りアクセス用である。

これらの条件のいずれかが満たされない場合、要求は失敗します。失敗時の応答コードは、ベアラーチャレンジをサポートするバージョンのサービスを使用して匿名要求が行われたかどうかによって異なります。ベアラーチャレンジは、サービスバージョン 2019-12-12 以降でサポートされています。

ベアラーチャレンジをサポートするサービスバージョンで匿名要求が行われた場合は、サービスからエラーコード 401 (未承認) が返されます。
ベアラーチャレンジをサポートしていないサービスバージョンで匿名要求が行われ、ストレージアカウントで匿名パブリックアクセスが許可されていない場合は、サービスからエラーコード 409 (競合) が返されます。
ベアラーチャレンジをサポートしていないサービスバージョンで匿名要求が行われ、ストレージアカウントで匿名パブリックアクセスが許可されている場合は、サービスからエラーコード 404 (見つかりません) が返されます。

ベアラーチャレンジの詳細については、「ベアラーチャレンジ」を参照してください。

ベアラーチャレンジに対する応答のサンプル

クライアント要求に匿名ダウンロード BLOB 要求にベアラートークンが含まれていない場合のベアラーチャレンジ応答の例を次に示します。

Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net

Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com

<?xml version="1.0" encoding="utf-8"?>
<Error>
    <Code>NoAuthenticationInformation</Code>
    <Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>

パラメーター説明

authorization_uri 承認サーバーの URI (物理エンドポイント)。この値は、探索エンドポイントからサーバーの詳細を取得するための、ルックアップキーとしても使用します。クライアントは、承認サーバーが信頼されていることを検証する必要があります。リソースがMicrosoft Entra IDで保護されている場合は、URL がで始まるか、Microsoft Entra IDがサポートするその他のホスト名でhttps://login.microsoftonline.com始まるかどうかを確認するだけで十分です。テナント固有のリソースは、テナント固有の承認 URI を常に返すはずです。

resource_id リソースの一意の識別子を返します。クライアントアプリケーションは、リソースのアクセストークンを要求するときに、この識別子をリソースパラメーターの値として使用できます。クライアントアプリケーションでこの値を確認することが重要です。そうしないと、悪意のあるサービスが特権昇格攻撃を誘発できる可能性があります。攻撃を防ぐための推奨される戦略は、resource_idがアクセスされる Web API URL のベースと一致することを確認することです。 Azure Storage リソース ID はです https://storage.azure.com。

パラメーター	説明
authorization_uri	承認サーバーの URI (物理エンドポイント)。この値は、探索エンドポイントからサーバーの詳細を取得するための、ルックアップキーとしても使用します。クライアントは、承認サーバーが信頼されていることを検証する必要があります。リソースがMicrosoft Entra IDで保護されている場合は、URL がで始まるか、Microsoft Entra IDがサポートするその他のホスト名でhttps://login.microsoftonline.com始まるかどうかを確認するだけで十分です。テナント固有のリソースは、テナント固有の承認 URI を常に返すはずです。
resource_id	リソースの一意の識別子を返します。クライアントアプリケーションは、リソースのアクセストークンを要求するときに、この識別子をリソースパラメーターの値として使用できます。クライアントアプリケーションでこの値を確認することが重要です。そうしないと、悪意のあるサービスが特権昇格攻撃を誘発できる可能性があります。攻撃を防ぐための推奨される戦略は、resource_idがアクセスされる Web API URL のベースと一致することを確認することです。 Azure Storage リソース ID はです `https://storage.azure.com`。

RBAC を使用したアクセス権の管理

Microsoft Entra ID RBAC を使用して、セキュリティで保護されたリソースへのアクセスの承認を処理します。 RBAC を使用して、ユーザー、グループ、またはサービスプリンシパルにロールを割り当てることができます。各ロールには、リソースに対する一連のアクセス許可が含まれます。ロールがユーザー、グループ、またはサービスプリンシパルに割り当てられると、そのリソースにアクセスできます。アクセス権は、Azure portal、Azure コマンドラインツール、Azure Management API を使用して割り当てることができます。 RBAC の詳細については、「Role-Based Access Control の概要」を参照してください。

Azure Storage の場合は、ストレージアカウント内のコンテナーまたはキュー内のデータへのアクセス権を付与できます。 Azure Storage には、次の組み込みの RBAC ロールが用意されており、Microsoft Entra IDで使用できます。

Azure Storage に対して組み込みロールを定義する方法の詳細については、「Azure リソースのロール定義について」を参照してください。

BLOB ストレージと Azure キューで使用するカスタムロールを定義することもできます。詳細については、Azure のロールベースのアクセス制御のためのカスタムロールを作成する方法に関するページを参照してください。

データ操作呼び出しのアクセス許可

次の表では、Microsoft Entraユーザー、グループ、またはサービスプリンシパルが特定の Azure Storage 操作を呼び出すために必要なアクセス許可について説明します。クライアントが特定の操作を呼び出せるようにするには、クライアントの割り当て済み RBAC ロールで、その操作に十分なアクセス許可が提供されることを確認します。

BLOB サービス操作のアクセス許可

Blob service の操作	RBAC アクション
コンテナーの一覧表示	Microsoft.Storage/storageAccounts/blobServices/containers/read (ストレージアカウント以上のスコープ)
BLOB サービスのプロパティを設定する	Microsoft.Storage/storageAccounts/blobServices/write
BLOB サービスのプロパティを取得する	Microsoft.Storage/storageAccounts/blobServices/read
プレフライト BLOB 要求	Anonymous
BLOB サービスの統計を取得する	Microsoft.Storage/storageAccounts/blobServices/read
アカウント情報を取得する	サポートされていません
ユーザー委任キーを取得する	Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
コンテナーの作成	Microsoft.Storage/storageAccounts/blobServices/containers/write
コンテナーのプロパティの取得	Microsoft.Storage/storageAccounts/blobServices/containers/read
Get Container Metadata	Microsoft.Storage/storageAccounts/blobServices/containers/read
コンテナーメタデータを設定する	Microsoft.Storage/storageAccounts/blobServices/containers/write
コンテナー ACL の取得	サポートされていません
コンテナー ACL の設定	サポートされていません
Lease Container	Microsoft.Storage/storageAccounts/blobServices/containers/write
Delete Container	Microsoft.Storage/storageAccounts/blobServices/containers/delete
コンテナーを復元する	Microsoft.Storage/storageAccounts/blobServices/containers/write
BLOB を一覧表示する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
コンテナーでタグ別に BLOB を検索する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Put Blob	作成または置換の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 新しい BLOB を作成するには: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
URL から BLOB を配置する	作成または置換の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 新しい BLOB を作成するには: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Get Blob	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Get Blob Properties	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Set Blob Properties	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Get Blob Metadata	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Set Blob Metadata	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
BLOB タグの取得	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
BLOB タグの設定	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
タグで BLOB を検索する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
Lease Blob	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Snapshot Blob	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write or Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Copy Blob	宛先 BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write または Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (新しい BLOB を宛先に書き込む場合) 同じストレージアカウント内のソース BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read 別のストレージアカウント内のソース BLOB の場合: 匿名として使用するか、有効な SAS トークンを含めます
Copy Blob from URL	宛先 BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write または Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (新しい BLOB を宛先に書き込む場合) 同じストレージアカウント内のソース BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read 別のストレージアカウント内のソース BLOB の場合: 匿名として使用するか、有効な SAS トークンを含めます
BLOB のコピーを中止する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Delete Blob	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
BLOB の削除の取り消し	Microsoft.Storage/storageAccounts/blobServices/containers/write
BLOB 層の設定	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Blob Batch	親要求: Microsoft.Storage/storageAccounts/blobServices/containers/write サブ要求: その要求の種類に対するアクセス許可を参照してください。
不変ポリシーを設定する	Microsoft.Storage/storageAccounts/blobServices/containers/write
不変ポリシーの削除	Microsoft.Storage/storageAccounts/blobServices/containers/write
BLOB 訴訟ホールドの設定	Microsoft.Storage/storageAccounts/blobServices/containers/write
Put Block	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Put Block from URL	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Put Block List	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Get Block List	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
BLOB コンテンツのクエリ	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Put Page	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Put Page from URL	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Get Page Ranges	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Incremental Copy Blob	宛先 BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write ソース BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read 新しい BLOB の場合: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Append Block	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write または Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
Append Block from URL	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write または Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
BLOB の有効期限を設定する	Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write

Queue サービス操作のアクセス許可

キューサービス操作	RBAC アクション
キューの一覧表示	Microsoft.Storage/storageAccounts/queueServices/queues/read (ストレージアカウント以上のスコープ)
キューサービスのプロパティを設定する	Microsoft.Storage/storageAccounts/queueServices/read
キューサービスのプロパティを取得する	Microsoft.Storage/storageAccounts/queueServices/read
プレフライトキュー要求	Anonymous
Get Queue Service Stats	Microsoft.Storage/storageAccounts/queueServices/read
キューの作成	Microsoft.Storage/storageAccounts/queueServices/queues/write
キューの削除	Microsoft.Storage/storageAccounts/queueServices/queues/delete
Get Queue Metadata	Microsoft.Storage/storageAccounts/queueServices/queues/read
キューメタデータの設定	Microsoft.Storage/storageAccounts/queueServices/queues/write
Get Queue ACL	OAuth 経由では使用できません
Set Queue ACL	OAuth 経由では使用できません
Put Message	Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action または Microsoft.Storage/storageAccounts/queueServices/queues/messages/write
メッセージの取得	Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action または (Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete および Microsoft.Storage/storageAccounts/queueServices/queues/messages/read)
Peek Messages	Microsoft.Storage/storageAccounts/queueServices/queues/messages/read
メッセージの削除	Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action または Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
メッセージのクリア	Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
メッセージの更新	Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

Table Service 操作のアクセス許可

テーブルサービス操作	RBAC アクション
Table Service のプロパティを設定する	Microsoft.Storage/storageAccounts/tableServices/write
テーブルサービスのプロパティを取得する	Microsoft.Storage/storageAccounts/tableServices/read
プレフライトテーブル要求	Anonymous
「Get Table Service Stats」(Table Service の統計情報を取得する)	Microsoft.Storage/storageAccounts/tableServices/read
Performing Entity Group Transactions (エンティティグループトランザクションの実行)	サブ操作は個別に承認します
クエリテーブル	Microsoft.Storage/storageAccounts/tableServices/tables/read (ストレージアカウント以上のスコープ)
CREATE TABLE	Microsoft.Storage/storageAccounts/tableServices/tables/write
テーブルの削除	Microsoft.Storage/storageAccounts/tableServices/tables/delete
Get Table ACL	OAuth 経由では使用できません
Set Table ACL	OAuth 経由では使用できません
エンティティのクエリ	Microsoft.Storage/storageAccounts/tableServices/tables/entities/read
エンティティの挿入	Microsoft.Storage/storageAccounts/tableServices/tables/entities/write または Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action
エンティティの挿入またはマージ	Microsoft.Storage/storageAccounts/tableServices/tables/entities/write or (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action および Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action)
エンティティの挿入または置換	Microsoft.Storage/storageAccounts/tableServices/tables/entities/write or (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action および Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action)
エンティティの更新	Microsoft.Storage/storageAccounts/tableServices/tables/entities/write または Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action
エンティティの統合	Microsoft.Storage/storageAccounts/tableServices/tables/entities/write または Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action
エンティティの削除	Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete

ファイルサービス操作のアクセス許可

ファイルサービス操作	RBAC アクション
ファイルサービスのプロパティを取得する	OAuth 経由では使用できません
Set File Service Properties	OAuth 経由では使用できません
Preflight File Request	Anonymous
共有の一覧表示	OAuth 経由では使用できません
共有を作成する	OAuth 経由では使用できません
スナップショット共有 (Snapshot Share)	OAuth 経由では使用できません
共有プロパティを取得する	OAuth 経由では使用できません
共有のプロパティの設定	OAuth 経由では使用できません
共有メタデータの取得	OAuth 経由では使用できません
メタデータの共有を設定する	OAuth 経由では使用できません
共有の削除	OAuth 経由では使用できません
共有の復元	OAuth 経由では使用できません
Get Share ACL	OAuth 経由では使用できません
共有 ACL の設定	OAuth 経由では使用できません
共有の統計の取得	OAuth 経由では使用できません
リース共有	OAuth 経由では使用できません
アクセス許可の作成	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action と Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
アクセス許可の取得	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ディレクトリとファイルの一覧表示	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ディレクトリの作成	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ディレクトリプロパティの取得	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ディレクトリプロパティの設定	x-ms-file-permission または x-ms-file-permission-key が HTTP 要求ヘッダーに含まれている場合、Microsoft.Storage/storageAccounts/fileServices/fileServices/writeFileBackupSemantics/action および Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action。
ディレクトリの削除	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ディレクトリメタデータの設定	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ディレクトリのメタデータの設定	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ディレクトリの名前を変更する	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ファイルを作成する	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
Get File	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ファイルプロパティの取得	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ファイルプロパティの設定	x-ms-file-permission または x-ms-file-permission-key が HTTP 要求ヘッダーに含まれている場合、Microsoft.Storage/storageAccounts/fileServices/fileServices/writeFileBackupSemantics/action および Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action。
Put Range	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
URL から範囲を配置する	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
範囲の一覧表示	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ファイルメタデータの取得	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
Set File Metadata	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ファイルの削除	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ファイルのコピー	x-ms-file-permission または x-ms-file-permission-key が HTTP 要求ヘッダーに含まれている場合、Microsoft.Storage/storageAccounts/fileServices/fileServices/writeFileBackupSemantics/action および Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action。
Abort Copy File	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
リストハンドル	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read と Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ハンドルを強制的に閉じる	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
リースファイル	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
ファイル名の変更	Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write および Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

こちらもご覧ください

Azure Storage への要求を承認する