Wybieranie sposobu autoryzacji dostępu do danych plików w witrynie Azure Portal

Podczas uzyskiwania dostępu do danych plików przy użyciu witryny Azure Portal portal wysyła żądania do usługi Azure Files w tle. Te żądania można autoryzować przy użyciu konta Microsoft Entra lub klucza dostępu do konta magazynu. Portal wskazuje, której metody używasz, i umożliwia przełączanie się między nimi, jeśli masz odpowiednie uprawnienia.

Możesz również określić, jak autoryzować pojedynczą operację udziału plików w witrynie Azure Portal. Domyślnie portal używa dowolnej metody, której już używasz do autoryzowania wszystkich udziałów plików, ale istnieje możliwość zmiany tego ustawienia dla poszczególnych udziałów plików.

Uprawnienia wymagane do uzyskiwania dostępu do danych plików

W zależności od tego, jak chcesz autoryzować dostęp do danych plików w witrynie Azure Portal, musisz mieć określone uprawnienia. W większości przypadków te uprawnienia są udostępniane za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure.

Korzystanie z konta Microsoft Entra

Aby uzyskać dostęp do danych plików z witryny Azure Portal przy użyciu konta microsoft Entra, oba następujące instrukcje muszą mieć wartość true:

• Masz przypisaną wbudowaną lub niestandardową rolę, która zapewnia dostęp do danych plików.
• Przypisano rolę Czytelnik usługi Azure Resource Manager w zakresie co najmniej do poziomu konta magazynu lub wyższego. Rola Czytelnik przyznaje najbardziej ograniczone uprawnienia, ale inna rola Azure Resource Manager, która przyznaje dostęp do zasobów zarządzania kontami magazynu, jest również akceptowalna.

Rola Czytelnik usługi Azure Resource Manager umożliwia użytkownikom wyświetlanie zasobów konta magazynu, ale nie ich modyfikowanie. Nie zapewnia uprawnień do odczytu danych w usłudze Azure Storage, ale tylko do zasobów zarządzania kontami. Rola Czytelnik jest niezbędna, aby użytkownicy mogli przechodzić do udziałów plików w witrynie Azure Portal.

Istnieją dwie nowe wbudowane role, które mają wymagane uprawnienia dostępu do danych plików za pomocą protokołu OAuth:

• Czytelnik uprzywilejowany danych plików magazynu
• Współautor uprzywilejowany danych plików magazynu

Aby uzyskać informacje na temat wbudowanych ról, które obsługują dostęp do danych plików, zobacz Uzyskiwanie dostępu do udziałów plików platformy Azure przy użyciu identyfikatora Entra firmy Microsoft za pomocą protokołu OAuth usługi Azure Files za pośrednictwem interfejsu REST.

Uwaga

Rola współautora danych plików magazynu ma uprawnienia do odczytu, zapisu, usuwania i modyfikowania list ACL/NTFS w plikach/katalogach w udziałach plików platformy Azure. Modyfikowanie list ACL/NTFS nie jest obsługiwane za pośrednictwem witryny Azure Portal.

Role niestandardowe mogą obsługiwać różne kombinacje tych samych uprawnień udostępnianych przez wbudowane role. Aby uzyskać więcej informacji na temat tworzenia ról niestandardowych platformy Azure, zobacz Role niestandardowe platformy Azure i Omówienie definicji ról dla zasobów platformy Azure.

Używanie klucza dostępu do konta magazynu

Aby uzyskać dostęp do danych plików przy użyciu klucza dostępu do konta magazynu, musisz mieć przypisaną rolę platformy Azure obejmującą akcję RBAC platformy Azure Microsoft.Storage/storageAccounts/listkeys/action. Ta rola platformy Azure może być wbudowaną rolą lub rolą niestandardową. Wbudowane role, które obsługują funkcję Microsoft.Storage/storageAccounts/listkeys/action , obejmują następujące elementy wymienione w kolejności od najmniej do największych uprawnień:

• Rola Czytelnik i Dostęp do danych
• Rola Współautor konta magazynu
• Rola Współautor usługi Azure Resource Manager
• Rola właściciela usługi Azure Resource Manager

Podczas próby uzyskania dostępu do danych plików w witrynie Azure Portal portal najpierw sprawdza, czy przypisano ci rolę za pomocą polecenia Microsoft.Storage/storageAccounts/listkeys/action. Jeśli przypisano rolę za pomocą tej akcji, portal używa klucza konta magazynu do uzyskiwania dostępu do danych plików. Jeśli nie przypisano ci roli z tą akcją, portal próbuje uzyskać dostęp do danych przy użyciu konta Microsoft Entra.

Ważne

Gdy konto magazynu jest zablokowane za pomocą blokady readOnly usługi Azure Resource Manager, operacja Klucze listy nie jest dozwolona dla tego konta magazynu. Klucze listy to operacja POST, a wszystkie operacje POST są blokowane, gdy dla konta skonfigurowano blokadę ReadOnly . Z tego powodu, gdy konto jest zablokowane za pomocą blokady ReadOnly , użytkownicy muszą używać poświadczeń firmy Microsoft Entra w celu uzyskania dostępu do danych plików w portalu. Aby uzyskać informacje na temat uzyskiwania dostępu do danych plików w witrynie Azure Portal przy użyciu identyfikatora Entra firmy Microsoft, zobacz Use your Microsoft Entra account (Korzystanie z konta Microsoft Entra).

Uwaga

Role klasycznego administratora subskrypcji Service Administracja istrator i Współ-Administracja istrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel obejmuje wszystkie akcje, w tym Microsoft.Storage/storageAccounts/listkeys/action, dzięki czemu użytkownik z jedną z tych ról administracyjnych może również uzyskiwać dostęp do danych plików przy użyciu klucza konta magazynu. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.

Określanie sposobu autoryzacji operacji w określonym udziale plików

Możesz zmienić metodę uwierzytelniania dla poszczególnych udziałów plików. Domyślnie portal używa bieżącej metody uwierzytelniania. Aby określić bieżącą metodę uwierzytelniania, wykonaj następujące kroki.

1. Przejdź do konta magazynu w witrynie Azure Portal i wybierz pozycję Udziały plików magazynu>danych w obszarze nawigacji po lewej stronie.
2. Wybierz udział plików.
3. Wybierz przycisk Przeglądaj.
4. Metoda uwierzytelniania wskazuje, czy obecnie używasz klucza dostępu konta magazynu, czy konta Microsoft Entra do uwierzytelniania i autoryzacji operacji udziału plików. Jeśli obecnie uwierzytelniasz się przy użyciu klucza dostępu do konta magazynu, zobaczysz klucz dostępu określony jako metoda uwierzytelniania, jak pokazano na poniższej ilustracji. Jeśli uwierzytelniasz się przy użyciu konta Microsoft Entra, zobaczysz zamiast tego określone konto użytkownika Microsoft Entra.

Uwierzytelnianie przy użyciu konta Microsoft Entra

Aby przełączyć się na korzystanie z konta Microsoft Entra, wybierz link wyróżniony na obrazie z komunikatem Przełącz na konto użytkownika Microsoft Entra. Jeśli masz odpowiednie uprawnienia za pośrednictwem przypisanych do Ciebie ról platformy Azure, możesz kontynuować. Jeśli jednak nie masz niezbędnych uprawnień, zobaczysz komunikat o błędzie, że nie masz uprawnień do wyświetlania listy danych przy użyciu konta użytkownika z identyfikatorem Microsoft Entra.

Do korzystania z konta Microsoft Entra wymagane są dwa dodatkowe uprawnienia RBAC:

• Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
• Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Na liście nie będą wyświetlane żadne udziały plików, jeśli twoje konto Microsoft Entra nie ma uprawnień do ich wyświetlania.

Uwierzytelnianie przy użyciu klucza dostępu konta magazynu

Aby przełączyć się na używanie klucza dostępu do konta, wybierz link z komunikatem Przełącz do klucza dostępu. Jeśli masz dostęp do klucza konta magazynu, możesz kontynuować. Jeśli jednak nie masz dostępu do klucza konta, zobaczysz komunikat o błędzie, że nie masz uprawnień do używania klucza dostępu do wyświetlania listy danych.

Na liście nie są wyświetlane żadne udziały plików, jeśli nie masz dostępu do klucza dostępu do konta magazynu.

Domyślna wartość autoryzacji microsoft Entra w witrynie Azure Portal

Podczas tworzenia nowego konta magazynu można określić, że w witrynie Azure Portal będzie domyślnie autoryzacja z identyfikatorem Microsoft Entra ID, gdy użytkownik przejdzie do danych plików. To ustawienie można również skonfigurować dla istniejącego konta magazynu. To ustawienie określa tylko domyślną metodę autoryzacji. Należy pamiętać, że użytkownik może zastąpić to ustawienie i wybrać autoryzowanie dostępu do danych przy użyciu klucza konta magazynu.

Aby określić, że portal będzie domyślnie używać autoryzacji firmy Microsoft Entra do uzyskiwania dostępu do danych podczas tworzenia konta magazynu, wykonaj następujące kroki:

1. Utwórz nowe konto magazynu, postępując zgodnie z instrukcjami w temacie Tworzenie konta magazynu.

2. Na karcie Zaawansowane w sekcji Zabezpieczenia zaznacz pole wyboru obok pozycji Domyślne do autoryzacji Microsoft Entra w witrynie Azure Portal.

   

3. Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację i utworzyć konto magazynu.

Aby zaktualizować to ustawienie dla istniejącego konta magazynu, wykonaj następujące kroki:

1. Przejdź do przeglądu konta magazynu w witrynie Azure Portal.
2. W obszarze Ustawienia wybierz pozycję Konfiguracja.
3. Ustaw wartość Domyślna na wartość Autoryzacja entra firmy Microsoft w witrynie Azure Portal na wartość Włączone.

Zobacz też

• Uzyskiwanie dostępu do udziałów plików platformy Azure przy użyciu identyfikatora Entra firmy Microsoft za pomocą protokołu OAuth usługi Azure Files za pośrednictwem interfejsu REST
• Autoryzacja dostępu do danych w usłudze Azure Storage