Autoryzowanie za pomocą Tożsamość Microsoft Entra
Usługa Azure Storage zapewnia integrację z Tożsamość Microsoft Entra na potrzeby autoryzacji opartej na tożsamościach żądań do usług obiektów blob, plików, kolejek i tabel. Za pomocą Tożsamość Microsoft Entra można użyć kontroli dostępu opartej na rolach (RBAC) w celu udzielenia dostępu do zasobów obiektów blob, plików, kolejek i tabel użytkownikom, grupom lub aplikacjom. Możesz udzielić uprawnień, które są ograniczone do poziomu pojedynczego kontenera, udziału, kolejki lub tabeli.
Aby dowiedzieć się więcej na temat integracji Tożsamość Microsoft Entra w usłudze Azure Storage, zobacz Autoryzowanie dostępu do obiektów blob i kolejek platformy Azure przy użyciu Tożsamość Microsoft Entra.
Aby uzyskać więcej informacji na temat zalet używania Tożsamość Microsoft Entra w aplikacji, zobacz Integrowanie z Platforma tożsamości Microsoft.
Porada
Autoryzowanie dostępu do danych obiektów blob, plików, kolejek i tabel przy użyciu Tożsamość Microsoft Entra zapewnia doskonałe zabezpieczenia i łatwość użycia w innych opcjach autoryzacji. Jeśli używasz Tożsamość Microsoft Entra do autoryzowania żądań wysyłanych z aplikacji, nie musisz przechowywać klucza dostępu do konta przy użyciu kodu, tak jak w przypadku autoryzacji klucza współużytkowanego. Chociaż nadal możesz używać autoryzacji klucza współdzielonego z aplikacjami obiektów blob, plików, kolejek i tabel, firma Microsoft zaleca przejście do Tożsamość Microsoft Entra tam, gdzie to możliwe. Aby uzyskać więcej informacji na temat integracji Tożsamość Microsoft Entra w usłudze Azure Storage, zobacz Autoryzowanie dostępu do obiektów blob i kolejek platformy Azure przy użyciu Tożsamość Microsoft Entra.
Używanie tokenów dostępu OAuth do uwierzytelniania
Usługa Azure Storage akceptuje tokeny dostępu OAuth 2.0 z dzierżawy Microsoft Entra skojarzonej z subskrypcją zawierającą konto magazynu. Usługa Azure Storage akceptuje tokeny dostępu dla:
- Użytkownicy i grupy
- Jednostki usługi
- Tożsamości zarządzane dla zasobów platformy Azure
- Aplikacje korzystające z uprawnień delegowanych przez użytkowników
Usługa Azure Storage uwidacznia pojedynczy zakres delegowania o nazwie user_impersonation , który umożliwia aplikacjom podejmowanie jakichkolwiek działań dozwolonych przez użytkownika.
Aby zażądać tokenów dla usługi Azure Storage, określ wartość https://storage.azure.com/ identyfikatora zasobu. Aby uzyskać więcej informacji na temat identyfikatora zasobu, zobacz Platforma tożsamości Microsoft zakresy, uprawnienia & zgody.
Aby uzyskać więcej informacji na temat żądania tokenów dostępu z Tożsamość Microsoft Entra dla użytkowników i jednostek usługi, zobacz Przepływy uwierzytelniania i scenariusze aplikacji.
Aby uzyskać więcej informacji na temat żądania tokenów dostępu dla zasobów skonfigurowanych przy użyciu tożsamości zarządzanych, zobacz Jak używać tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej platformy Azure w celu uzyskania tokenu dostępu.
Wywoływanie operacji magazynu przy użyciu tokenów OAuth
Aby wywołać operacje usługi Blob, File, Queue i Table przy użyciu tokenów dostępu OAuth, przekaż token dostępu w nagłówku Autoryzacja przy użyciu schematu elementu nośnego i określ wersję usługi 2017-11-09 (2022-11-02 dla usługi plików) lub nowszą, jak pokazano w poniższym przykładzie:
Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate
Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!
Wyzwanie elementu nośnego
Wyzwanie elementu nośnego jest częścią protokołu OAuth RFC 6750 i jest używane do odnajdywania urzędu. W przypadku żądań anonimowych do usługi Blob Service lub żądań wysyłanych przy użyciu nieprawidłowego tokenu elementu nośnego OAuth serwer zwróci kod stanu 401 (Brak autoryzacji) z dostawcą tożsamości i informacjami o zasobie. Skorzystaj z linku, aby dowiedzieć się, jak używać tych wartości podczas uwierzytelniania za pomocą Tożsamość Microsoft Entra.
Usługi Azure Storage Blob i Queue zwracają wyzwanie elementu nośnego dla wersji 2019-12-12 i nowszych. Usługa Azure Storage Table Service zwraca wyzwanie elementu nośnego dla wersji 2020-12-06 i nowszych. Azure Data Lake Storage Gen2 zwraca wyzwanie elementu nośnego dla wersji 2017-11-09 i nowszych. Usługa Azure File zwraca wyzwanie elementu nośnego z wersji 2022-11-02 i nowszych.
Odpowiedzi na anonimowe żądania odczytu
Gdy usługa Blob Storage otrzyma żądanie anonimowe, żądanie to powiedzie się, jeśli spełnione są wszystkie następujące warunki:
- Anonimowy dostęp publiczny jest dozwolony dla konta magazynu.
- Kontener jest skonfigurowany do zezwalania na anonimowy dostęp publiczny.
- Żądanie dotyczy dostępu do odczytu.
Jeśli którykolwiek z tych warunków nie jest spełniony, żądanie zakończy się niepowodzeniem. Kod odpowiedzi na błąd zależy od tego, czy anonimowe żądanie zostało wykonane z wersją usługi, która obsługuje wyzwanie elementu nośnego. Wyzwanie elementu nośnego jest obsługiwane w wersjach usługi 2019-12-12 i nowszych:
- Jeśli anonimowe żądanie zostało wykonane z wersją usługi, która obsługuje wyzwanie elementu nośnego, usługa zwraca kod błędu 401 (Brak autoryzacji).
- Jeśli anonimowe żądanie zostało wykonane z wersją usługi, która nie obsługuje wyzwania elementu nośnego, a anonimowy dostęp publiczny jest niedozwolony dla konta magazynu, usługa zwraca kod błędu 409 (Konflikt).
- Jeśli anonimowe żądanie zostało wykonane z wersją usługi, która nie obsługuje żądania elementu nośnego, a anonimowy dostęp publiczny jest dozwolony dla konta magazynu, usługa zwraca kod błędu 404 (Nie znaleziono).
Aby uzyskać więcej informacji na temat wyzwania niedźwiedzia, zobacz Wyzwanie Bearer.
Przykładowa odpowiedź na wyzwanie elementu nośnego
Poniżej przedstawiono przykład odpowiedzi na żądanie żądania elementu nośnego, gdy żądanie klienta nie zawiera tokenu elementu nośnego w anonimowym żądaniu pobierania obiektu blob:
Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net
Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com
<?xml version="1.0" encoding="utf-8"?>
<Error>
<Code>NoAuthenticationInformation</Code>
<Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>
| Parametr | Opis |
|---|---|
| authorization_uri | Identyfikator URI (fizyczny punkt końcowy) serwera autoryzacji. Ta wartość jest również używana jako klucz odnośnika, aby uzyskać więcej informacji o serwerze z punktu końcowego odnajdywania. Klient musi sprawdzić, czy serwer autoryzacji jest zaufany. Gdy zasób jest chroniony przez Tożsamość Microsoft Entra, wystarczy sprawdzić, czy adres URL zaczyna się od https://login.microsoftonline.com lub innej nazwy hosta obsługiwanej przez Tożsamość Microsoft Entra. Zasób specyficzny dla dzierżawy powinien zawsze zwracać identyfikator URI autoryzacji specyficzny dla dzierżawy. |
| resource_id | Zwraca unikatowy identyfikator zasobu. Aplikacja kliencka może użyć tego identyfikatora jako wartości parametru zasobu, gdy żąda tokenu dostępu dla zasobu. Aplikacja kliencka musi zweryfikować tę wartość. W przeciwnym razie złośliwa usługa może wywołać atak z podwyższonym poziomem uprawnień. Zalecaną strategią zapobiegania atakowi jest sprawdzenie, czy resource_id jest zgodna z bazą internetowego adresu URL interfejsu API, do którego uzyskuje się dostęp. Identyfikator zasobu usługi Azure Storage to https://storage.azure.com. |
Zarządzanie uprawnieniami dostępu przy użyciu kontroli dostępu opartej na rolach
Tożsamość Microsoft Entra obsługuje autoryzację dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu opartej na rolach. Przy użyciu kontroli dostępu opartej na rolach można przypisywać role do użytkowników, grup lub jednostek usługi. Każda rola obejmuje zestaw uprawnień dla zasobu. Po przypisaniu roli do użytkownika, grupy lub jednostki usługi mają dostęp do tego zasobu. Prawa dostępu można przypisywać przy użyciu Azure Portal, narzędzi wiersza polecenia platformy Azure i interfejsów API usługi Azure Management. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach, zobacz Wprowadzenie do Role-Based Access Control.
W przypadku usługi Azure Storage można udzielić dostępu do danych w kontenerze lub kolejce na koncie magazynu. Usługa Azure Storage oferuje następujące wbudowane role RBAC do użycia z Tożsamość Microsoft Entra:
- Właściciel danych obiektu blob usługi Storage
- Współautor danych obiektu blob usługi Storage
- Czytelnik danych obiektu blob usługi Storage
- Storage Blob Delegator
- Współautor danych kolejki usługi Storage
- Czytelnik danych kolejki usługi Storage
- Procesor komunikatów dotyczących kolejki usługi Storage
- Nadawca komunikatów o danych kolejki usługi Storage
- Czytnik danych tabeli usługi Storage
- Współautor tabeli danych usługi Storage
Aby uzyskać więcej informacji na temat sposobu definiowania wbudowanych ról dla usługi Azure Storage, zobacz Omówienie definicji ról dla zasobów platformy Azure.
Można również zdefiniować role niestandardowe do użycia z usługami Blob Storage i Azure Queues. Aby uzyskać więcej informacji, zobacz Tworzenie ról niestandardowych dla usługi Azure Role-Based Access Control.
Uprawnienia do wywoływania operacji na danych
W poniższych tabelach opisano uprawnienia niezbędne do Microsoft Entra użytkownika, grupy lub jednostki usługi w celu wywołania określonych operacji usługi Azure Storage. Aby umożliwić klientowi wywołanie określonej operacji, upewnij się, że przypisana rola RBAC klienta oferuje wystarczające uprawnienia dla tej operacji.
Uprawnienia do operacji usługi Blob Service
| Operacja usługi Blob Service | Akcja RBAC |
|---|---|
| Wyświetlanie listy kontenerów | Microsoft.Storage/storageAccounts/blobServices/containers/read (w zakresie konta magazynu lub powyżej) |
| Ustawianie właściwości usługi Blob Service | Microsoft.Storage/storageAccounts/blobServices/write |
| Pobieranie właściwości usługi Blob Service | Microsoft.Storage/storageAccounts/blobServices/read |
| Wstępne żądanie obiektu blob | Anonimowe |
| Pobieranie statystyk usługi Blob Service | Microsoft.Storage/storageAccounts/blobServices/read |
| Pobieranie informacji o koncie | Nieobsługiwane |
| Uzyskiwanie klucza delegowania użytkownika | Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action |
| Tworzenie kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Pobieranie właściwości kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/read |
| Pobieranie metadanych kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/read |
| Ustawianie metadanych kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Uzyskiwanie listy ACL kontenerów | Nieobsługiwane |
| Ustawianie listy ACL kontenerów | Nieobsługiwane |
| Kontener dzierżawy | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Usuwanie kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/delete |
| Przywracanie kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Wyświetlanie listy obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Znajdowanie obiektów blob według tagów w kontenerze | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| Wstawianie obiektu blob | Aby utworzyć lub zastąpić: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Aby utworzyć nowy obiekt blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Umieść obiekt blob z adresu URL | Aby utworzyć lub zastąpić: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Aby utworzyć nowy obiekt blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Uzyskiwanie obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Pobieranie właściwości obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Ustawianie właściwości obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Pobieranie metadanych obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Ustawianie metadanych obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Pobieranie tagów obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
| Ustawianie tagów obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| Znajdowanie obiektu blob według tagów | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| Dzierżawienie obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Wykonywanie migawki obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Kopiowanie obiektu blob | W przypadku docelowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (podczas zapisywania nowego obiektu blob w miejscu docelowym) W przypadku źródłowego obiektu blob na tym samym koncie magazynu: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read W przypadku źródłowego obiektu blob na innym koncie magazynu: dostępne jako anonimowe lub zawierają prawidłowy token SAS |
| Kopiowanie obiektu blob z adresu URL | W przypadku docelowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (podczas zapisywania nowego obiektu blob w miejscu docelowym) W przypadku źródłowego obiektu blob na tym samym koncie magazynu: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read W przypadku źródłowego obiektu blob na innym koncie magazynu: dostępne jako anonimowe lub zawierają prawidłowy token SAS |
| Przerwanie kopiowania obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Usuwanie obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| Cofanie usunięcia obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Ustawianie warstwy obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Blob Batch | Żądanie nadrzędne: Microsoft.Storage/storageAccounts/blobServices/containers/write Żądania podrzędne: zobacz uprawnienia dla tego typu żądania. |
| Ustawianie zasad niezmienności | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Usuwanie zasad niezmienności | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Ustawianie blokady prawnej obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Umieść blok | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Umieść blok z adresu URL | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Wdrażanie listy zablokowanych | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Pobieranie listy bloków | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Zawartość obiektu blob kwerendy | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Umieść stronę | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Umieść stronę z adresu URL | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Pobieranie zakresów stron | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Przyrostowe kopiowanie obiektu blob | W przypadku docelowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write W przypadku źródłowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read W przypadku nowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Blok dołączania | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Dołączanie bloku z adresu URL | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Ustawianie wygaśnięcia obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
Uprawnienia do operacji usługi kolejki
| Operacja usługi kolejkowania | Akcja RBAC |
|---|---|
| Wyświetlanie listy kolejek | Microsoft.Storage/storageAccounts/queueServices/queues/read (w zakresie konta magazynu lub powyżej) |
| Ustawianie właściwości usługi kolejki | Microsoft.Storage/storageAccounts/queueServices/read |
| Pobieranie właściwości usługi kolejki | Microsoft.Storage/storageAccounts/queueServices/read |
| Żądanie kolejki wstępnej | Anonimowe |
| Pobieranie statystyk usługi kolejki | Microsoft.Storage/storageAccounts/queueServices/read |
| Tworzenie kolejki | Microsoft.Storage/storageAccounts/queueServices/queues/write |
| Usuwanie kolejki | Microsoft.Storage/storageAccounts/queueServices/queues/delete |
| Pobieranie metadanych kolejki | Microsoft.Storage/storageAccounts/queueServices/queues/read |
| Ustawianie metadanych kolejki | Microsoft.Storage/storageAccounts/queueServices/queues/write |
| Uzyskiwanie listy ACL kolejek | Niedostępne za pośrednictwem protokołu OAuth |
| Ustawianie listy ACL kolejek | Niedostępne za pośrednictwem protokołu OAuth |
| Umieść wiadomość | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action lub Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| Pobieranie komunikatów | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action lub (Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete i Microsoft.Storage/storageAccounts/queueServices/queues/messages/read) |
| komunikaty Podgląd | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| Usuń wiadomość | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action lub Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| Wyczyść komunikaty | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| Aktualizacja wiadomości | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
Uprawnienia do operacji usługi Table Service
| Operacja usługi Table Service | Akcja RBAC |
|---|---|
| Ustawianie właściwości usługi Table Service | Microsoft.Storage/storageAccounts/tableServices/write |
| Pobieranie właściwości usługi Table Service | Microsoft.Storage/storageAccounts/tableServices/read |
| Wstępne żądanie tabeli | Anonimowe |
| Pobieranie statystyk usługi Table Service | Microsoft.Storage/storageAccounts/tableServices/read |
| Performing Entity Group Transactions (Wykonywanie transakcji w grupach jednostek) | Operacja podrzędna autoryzuje się oddzielnie |
| Tabele zapytań | Microsoft.Storage/storageAccounts/tableServices/tables/read (w zakresie konta magazynu lub powyżej) |
| Create Table | Microsoft.Storage/storageAccounts/tableServices/tables/write |
| Usuń tabelę | Microsoft.Storage/storageAccounts/tableServices/tables/delete |
| Uzyskiwanie listy ACL tabel | Niedostępne za pośrednictwem protokołu OAuth |
| Ustawianie listy ACL tabel | Niedostępne za pośrednictwem protokołu OAuth |
| Wykonywanie zapytań o jednostki | Microsoft.Storage/storageAccounts/tableServices/tables/entities/read |
| Wstaw jednostkę | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action |
| Wstawianie lub scalanie jednostki | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action i Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action) |
| Wstawianie lub zastępowanie jednostki | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action i Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action) |
| Aktualizowanie jednostki | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action |
| Scal jednostkę | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action |
| Usuwanie jednostki | Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete |
Uprawnienia do operacji usługi plików
| Operacja usługi plików | Akcja RBAC |
|---|---|
| Pobieranie właściwości usługi plików | Niedostępne za pośrednictwem protokołu OAuth |
| Ustawianie właściwości usługi plików | Niedostępne za pośrednictwem protokołu OAuth |
| Żądanie pliku wstępnego | Anonimowe |
| Wyświetlanie listy udziałów | Niedostępne za pośrednictwem protokołu OAuth |
| Tworzenie udziału | Niedostępne za pośrednictwem protokołu OAuth |
| Udział migawek | Niedostępne za pośrednictwem protokołu OAuth |
| Pobieranie właściwości udziału | Niedostępne za pośrednictwem protokołu OAuth |
| Ustawianie właściwości udziału | Niedostępne za pośrednictwem protokołu OAuth |
| Pobieranie metadanych udziału | Niedostępne za pośrednictwem protokołu OAuth |
| Ustawianie metadanych udziału | Niedostępne za pośrednictwem protokołu OAuth |
| Usuń udział | Niedostępne za pośrednictwem protokołu OAuth |
| Przywracanie udziału | Niedostępne za pośrednictwem protokołu OAuth |
| Uzyskiwanie listy ACL udziału | Niedostępne za pośrednictwem protokołu OAuth |
| Ustawianie listy ACL udziałów | Niedostępne za pośrednictwem protokołu OAuth |
| Uzyskiwanie statystyk udziału | Niedostępne za pośrednictwem protokołu OAuth |
| Udział dzierżawy | Niedostępne za pośrednictwem protokołu OAuth |
| Utwórz uprawnienie | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Uzyskiwanie uprawnień | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Katalogi listy i pliki | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Utwórz katalog | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Pobieranie właściwości katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Ustawianie właściwości katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action oraz Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, jeśli x-ms-file-permission-key lub x-ms-file-permission-key znajduje się w nagłówku żądania HTTP. |
| Usuń katalog | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Pobieranie metadanych katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Ustawianie metadanych katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Zmień nazwę katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Tworzenie pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Pobieranie pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Pobieranie właściwości pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Ustawianie właściwości pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action oraz Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, jeśli x-ms-file-permission-key lub x-ms-file-permission-key znajduje się w nagłówku żądania HTTP. |
| Umieść zakres | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Umieszczanie zakresu z adresu URL | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Zakresy listy | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Pobieranie metadanych pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Ustawianie metadanych pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Usuwanie pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Kopiowanie pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action oraz Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, jeśli x-ms-file-permission-key lub x-ms-file-permission-key znajduje się w nagłówku żądania HTTP. |
| Przerwanie kopiowania pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Dojścia listy | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| Wymuś zamknięcie uchwytów | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Plik dzierżawy | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| Zmiana nazwy pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |