Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Applies to: ✔️ udziały plików SMB Azure
Podczas uzyskiwania dostępu do danych plików przy użyciu Azure portal, portal wysyła żądania do usługi Azure Files w tle. Możesz autoryzować te żądania, używając konta Microsoft Entra (zalecane) lub klucza dostępu do konta magazynowego (mniej bezpieczne). Portal pokazuje, której metody używasz, i umożliwia przełączanie się między dwiema metodami, jeśli masz odpowiednie uprawnienia. Domyślnie portal używa metody, której już używasz do autoryzowania wszystkich udziałów plików, ale można zmienić to ustawienie dla konkretnych operacji związanych z udostępnianiem plików.
Ważne
W tym artykule wyjaśniono, jak autoryzować dostęp do danych plików w portalu Azure. Nie obejmuje ona sposobu konfigurowania uwierzytelniania opartego na tożsamościach do udziałów plików dla użytkowników końcowych. Aby dowiedzieć się więcej na temat uwierzytelniania opartego na tożsamościach dla Azure Files, zobacz Przegląd uwierzytelniania opartego na tożsamościach.
Ostrzeżenie
Uzyskiwanie dostępu do zasobu udostępnionego przy użyciu kluczy konta magazynu ma nieodłączne zagrożenia bezpieczeństwa. Zawsze uwierzytelniaj się przy użyciu usługi Microsoft Entra, jeśli to możliwe. Aby uzyskać informacje na temat ochrony kluczy i zarządzania nimi, zobacz Zarządzanie kluczami dostępu do konta magazynu.
Uprawnienia są wymagane do dostępu do danych pliku
W zależności od tego, jak chcesz autoryzować access do plików danych w Azure portal, potrzebne są określone uprawnienia. W większości przypadków te uprawnienia są uzyskiwane przez kontrolę dostępu opartą na rolach Azure (Azure RBAC).
Korzystanie z konta Microsoft Entra (zalecane)
Aby uzyskać dostęp do danych z portalu Azure przy użyciu konta Entra, oba następujące stwierdzenia muszą być prawdziwe:
- Masz przypisaną wbudowaną lub niestandardową rolę, która zapewnia access do danych plików.
- Masz przypisaną rolę Azure Resource Manager Reader w zakresie co najmniej do poziomu konta storage lub wyższego. Rola Reader przyznaje najbardziej ograniczone uprawnienia, ale inna rola Azure Resource Manager, która przyznaje dostęp do zasobów zarządzania kontami magazynu, jest również akceptowalna.
Rola Azure Resource Manager Reader umożliwia użytkownikom wyświetlanie zasobów konta storage, ale nie modyfikowanie ich. Nie zapewnia uprawnień do odczytu danych w Azure Storage, a jedynie do zasobów zarządzania kontem. Rola Reader jest niezbędna, aby użytkownicy mogli przechodzić do udziałów plików w portalu Azure.
Dwie wbudowane role mają wymagane uprawnienia do uzyskiwania dostępu do danych plikowych przy użyciu protokołu OAuth.
- Czytelnik uprzywilejowany danych plików Storage
- Magazynowanie plików - uprzywilejowany współautor danych
Aby uzyskać informacje o rolach wbudowanych, które obsługują dostęp do danych plików, zobacz Uzyskaj dostęp do udziałów plików Azure przy użyciu Microsoft Entra ID z OAuth Azure Files przez interfejs REST.
Uwaga
Rola Uprzywilejowany współautor danych plików Storage ma uprawnienia do odczytu, zapisu, usuwania i modyfikowania list ACL/NTFS na plikach i katalogach w udziałach plików Azure. Modyfikowanie list ACL/NTFS nie jest obsługiwane za pośrednictwem portalu Azure.
Role niestandardowe mogą obsługiwać różne kombinacje tych samych uprawnień udostępnianych przez wbudowane role. Aby uzyskać więcej informacji, zobacz niestandardowe role usługi Azure i Zrozumienie definicji ról dla zasobów usługi Azure.
Użyj klucza dostępu do konta magazynu (niezalecane)
Aby uzyskać dostęp do danych plików przy użyciu klucza dostępu konta magazynu, musisz mieć przypisaną rolę Azure, która obejmuje akcję Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Ta rola Azure może być wbudowaną rolą lub rolą niestandardową. Wbudowane role, które obsługują Microsoft.Storage/storageAccounts/listkeys/action, zawierają następujące elementy wymienione w kolejności od najmniejszych do największych uprawnień:
- Rola Czytnika i Dostępu do Danych
- Rola współautora konta Storage
- Rola Azure Resource Manager Contributor
- Rola właściciela w Azure Resource Manager<|vq_11499|>
Podczas próby uzyskania dostępu do danych plików w Azure portal najpierw sprawdza, czy masz rolę z Microsoft.Storage/storageAccounts/listkeys/action. Jeśli masz rolę z tą akcją, portal używa klucza konta storage do uzyskiwania dostępu do danych plików. Jeśli nie masz roli do wykonania tej akcji, portal podejmie próbę uzyskania dostępu do danych przy użyciu konta Entra.
Ważne
W przypadku blokowania konta storage przy użyciu klucza Resource Manager ReadOnly nie można wykonać operacji List Keys dla tego konta storage. Listy kluczy to operacja POST, a wszystkie operacje POST są blokowane, gdy dla konta skonfigurowana jest blokada ReadOnly. Z tego powodu, gdy zablokujesz konto przy użyciu ReadOnly blokady, musisz użyć poświadczeń Entra, aby uzyskać dostęp do danych pliku w portalu. Aby uzyskać informacje na temat uzyskiwania dostępu do danych plików w Azure portal przy użyciu Microsoft Entra ID, zobacz Użyj konta Microsoft Entra.
Uwaga
Role klasycznego administratora subskrypcji Administrator usługi i Co-Administrator obejmują odpowiednik roli Azure Resource Manager Owner. Rola Owner obejmuje wszystkie akcje, w tym akcję Microsoft.Storage/storageAccounts/listkeys/action, więc użytkownik z jedną z tych ról administracyjnych może również uzyskać dostęp do danych plików przy użyciu klucza konta magazynu. Aby uzyskać więcej informacji, zobacz role Azure, role Microsoft Entra i klasyczne role administratora subskrypcji.
Określanie sposobu autoryzacji operacji w określonym udziale plików
Możesz zmienić metodę uwierzytelniania dla poszczególnych udziałów plików. Domyślnie portal używa bieżącej metody uwierzytelniania. Aby określić bieżącą metodę uwierzytelniania, wykonaj następujące kroki.
- Przejdź do konta storage w Azure portal.
- W menu usługi w obszarze Magazyn danych wybierz pozycję Udziały plików.
- Wybierz udostępniany zasób plików.
- Wybierz przycisk Przeglądaj.
- Metoda uwierzytelniania pokazuje, czy obecnie używasz klucza dostępu konta magazynu, czy konta Entra do uwierzytelniania i autoryzacji operacji udziału plików. Jeśli obecnie uwierzytelniasz się przy użyciu klucza dostępu konta magazynu, zobaczysz Klucz Dostępu określony jako metoda uwierzytelniania, jak pokazano na poniższym obrazie. Jeśli uwierzytelniasz się przy użyciu konta Entra, zobaczysz zamiast tego określone konto użytkownika Microsoft Entra .
Uwierzytelnianie przy użyciu konta Microsoft Entra (zalecane)
Aby przełączyć się na korzystanie z konta Entra, wybierz link wyróżniony na obrazie z komunikatem Przełącz na konto użytkownika Microsoft Entra. Jeśli masz odpowiednie uprawnienia za pośrednictwem przypisanych do Ciebie ról Azure, możesz kontynuować. Jeśli jednak brakuje niezbędnych uprawnień, zostanie wyświetlony komunikat o błędzie informujący, że nie masz uprawnień do wyświetlania listy danych przy użyciu konta użytkownika z identyfikatorem Entra.
Do korzystania z konta Entra wymagane są dwa dodatkowe uprawnienia RBAC (kontrola dostępu na podstawie ról).
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
Na liście nie są wyświetlane żadne udostępnione zasoby plików, jeśli twoje konto Entra nie ma uprawnień do ich wyświetlania.
Uwierzytelnianie przy użyciu klucza dostępu do konta magazynowania (niezalecane)
Aby przełączyć się na użycie klucza dostępu do konta, wybierz link o nazwie Przełącz na klucz dostępu. Jeśli masz dostęp do klucza konta magazynowego, możesz kontynuować. Jeśli jednak nie masz klucza dostępu do konta, zostanie wyświetlony komunikat o błędzie informujący, że nie masz uprawnień do używania klucza dostępu do przeglądania danych.
Na liście nie są wyświetlane żadne udziały plików, jeśli nie masz dostępu do klucza dostępu do konta magazynowania.
Domyślna wartość autoryzacji Microsoft Entra w Azure portal
Podczas tworzenia nowego konta magazynowania można określić, że portal Azure domyślnie używa autoryzacji za pomocą Entra ID, gdy użytkownik przejdzie do danych pliku. To ustawienie można również skonfigurować dla istniejącego konta storage. To ustawienie określa tylko domyślną metodę autoryzacji. Użytkownik może zmienić to ustawienie i zdecydować o autoryzacji dostępu do danych przy użyciu klucza konta przechowywania.
Aby określić, że portal domyślnie używa autoryzacji Entra do dostępu do danych podczas tworzenia konta magazynu, wykonaj następujące kroki:
Utwórz nowe konto storage, postępując zgodnie z instrukcjami w Tworzenie konta storage.
Na karcie Advanced, w sekcji Security, zaznacz pole wyboru obok Używaj autoryzacji Microsoft Entra w portalu Azure domyślnie.
Wybierz pozycję Przegląd i utwórz aby uruchomić walidację i utworzyć konto storage.
Aby zaktualizować to ustawienie dla istniejącego konta storage, wykonaj następujące kroki:
- Przejdź do przeglądu konta storage w Azure portal.
- W obszarze Ustawienia wybierz pozycję Konfiguracja.
- Ustaw domyślnie na autoryzację Microsoft Entra w portalu Azure na Włączone.