Autorizar com a ID do Microsoft Entra
O Armazenamento do Azure fornece integração com microsoft entra ID para autorização baseada em identidade de solicitações para os serviços blob, arquivo, fila e tabela. Com a ID do Microsoft Entra, você pode usar o RBAC (controle de acesso baseado em função) para conceder acesso aos recursos de blob, arquivo, fila e tabela a usuários, grupos ou aplicativos. Você pode conceder permissões com escopo para o nível de um contêiner individual, compartilhamento, fila ou tabela.
Para saber mais sobre a integração do Microsoft Entra ID no Armazenamento do Azure, consulte Autorizar o acesso a blobs e filas do Azure usando a ID do Microsoft Entra.
Para obter mais informações sobre as vantagens de usar a ID do Microsoft Entra em seu aplicativo, consulte Integração com a plataforma de identidade da Microsoft.
Importante
Para obter a segurança ideal, a Microsoft recomenda usar a ID do Microsoft Entra com identidades gerenciadas para autorizar solicitações contra dados de blob, fila e tabela, sempre que possível. A autorização com a ID do Microsoft Entra e identidades gerenciadas fornece segurança superior e facilidade de uso sobre a autorização de Chave Compartilhada. Para saber mais sobre identidades gerenciadas, consulte O que são identidades gerenciadas para recursos do Azure.
Para recursos hospedados fora do Azure, como aplicativos locais, você pode usar identidades gerenciadas por meio do Azure Arc. Por exemplo, aplicativos em execução em servidores habilitados para Azure Arc podem usar identidades gerenciadas para se conectar aos serviços do Azure. Para saber mais, consulte Autenticar em recursos do Azure com servidores habilitados para Azure Arc.
Para cenários em que as SAS (assinaturas de acesso compartilhado) são usadas, a Microsoft recomenda usar uma SAS de delegação de usuário. Uma SAS de delegação de usuário é protegida com as credenciais do Microsoft Entra em vez da chave da conta. Para saber mais sobre assinaturas de acesso compartilhado, consulte Criar uma SAS de delegação de usuário.
Usar tokens de acesso OAuth para autenticação
O Armazenamento do Azure aceita tokens de acesso do OAuth 2.0 do locatário do Microsoft Entra associado à assinatura que contém a conta de armazenamento. O Armazenamento do Azure aceita tokens de acesso para:
- Usuários e grupos
- Entidades de serviço
- Identidades gerenciadas para recursos do Azure
- Aplicativos usando permissões delegadas por usuários
O Armazenamento do Azure expõe um único escopo de delegação chamado user_impersonation que permite que os aplicativos executem qualquer ação permitida pelo usuário.
Para solicitar tokens para o Armazenamento do Azure, especifique o valor https://storage.azure.com/ para a ID do recurso. Para obter mais informações sobre a ID do recurso, consulte escopos, permissões & ede consentimento da plataforma de identidade da Microsoft.
Para obter mais informações sobre como solicitar tokens de acesso da ID do Microsoft Entra para usuários e entidades de serviço, consulte fluxos de autenticação e cenários de aplicativo.
Para obter mais informações sobre como solicitar tokens de acesso para recursos configurados com identidades gerenciadas, consulte Como usar identidades gerenciadas para recursos do Azure em uma VM do Azure para adquirir um token de acesso.
Chamar operações de armazenamento com tokens OAuth
Para chamar operações de serviço blob, arquivo, fila e tabela usando tokens de acesso OAuth, passe o token de acesso no cabeçalho de Autorização
Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate
Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!
Desafio do portador
O desafio do portador faz parte do protocolo OAuth RFC 6750 e é usado para descoberta de autoridade. Para solicitações anônimas para o serviço Blob ou para solicitações feitas com um token de portador OAuth inválido, o servidor retornará o código de status 401 (Não autorizado) com informações do provedor de identidade e do recurso. Consulte link para saber como usar esses valores durante a autenticação com a ID do Microsoft Entra.
Os serviços de Blob e Fila do Armazenamento do Azure retornam um desafio de portador para a versão 2019-12-12 e mais recente. O serviço Tabela de Armazenamento do Azure retorna um desafio de portador para a versão 2020-12-06 e mais recente. O Azure Data Lake Storage Gen2 retorna um desafio de portador para a versão 2017-11-09 e mais recente. O serviço arquivo do Azure retorna um desafio de portador da versão 2022-11-02 e mais recente.
Respostas a solicitações de leitura anônimas
Quando o Armazenamento de Blobs receber uma solicitação anônima, essa solicitação terá êxito se todas as seguintes condições forem verdadeiras:
- O acesso público anônimo é permitido para a conta de armazenamento.
- O contêiner é configurado para permitir acesso público anônimo.
- A solicitação é para acesso de leitura.
Se qualquer uma dessas condições não for verdadeira, a solicitação falhará. O código de resposta sobre a falha depende se a solicitação anônima foi feita com uma versão do serviço que dá suporte ao desafio de portador. O desafio de portador tem suporte com as versões de serviço 2019-12-12 e mais recentes:
- Se a solicitação anônima foi feita com uma versão de serviço que dá suporte ao desafio de portador, o serviço retorna o código de erro 401 (Não autorizado).
- Se a solicitação anônima foi feita com uma versão de serviço que não dá suporte ao desafio do portador e o acesso público anônimo não é permitido para a conta de armazenamento, o serviço retorna o código de erro 409 (Conflito).
- Se a solicitação anônima foi feita com uma versão de serviço que não dá suporte ao desafio de portador e o acesso público anônimo é permitido para a conta de armazenamento, o serviço retorna o código de erro 404 (Não encontrado).
Para obter mais informações sobre o desafio do portador, consulte desafio portador.
Exemplo de resposta ao desafio do portador
Veja a seguir um exemplo de resposta de desafio de portador quando a solicitação do cliente não inclui o token de portador na solicitação de blob de download anônimo:
Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net
Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com
<?xml version="1.0" encoding="utf-8"?>
<Error>
<Code>NoAuthenticationInformation</Code>
<Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>
| Parâmetro | Descrição |
|---|---|
| authorization_uri | O URI (ponto de extremidade físico) do servidor de autorização. Esse valor também é usado como uma chave de pesquisa para obter mais informações sobre o servidor de um ponto de extremidade de descoberta. O cliente deve validar se o servidor de autorização é confiável. Quando o recurso é protegido pela ID do Microsoft Entra, é suficiente verificar se a URL começa com https://login.microsoftonline.com ou outro nome de host compatível com a ID do Microsoft Entra. Um recurso específico do locatário sempre deve retornar um URI de autorização específico do locatário. |
| resource_id | Retorna o identificador exclusivo do recurso. O aplicativo cliente pode usar esse identificador como o valor do parâmetro de recurso quando solicita um token de acesso para o recurso. É importante que o aplicativo cliente verifique esse valor, caso contrário, um serviço mal-intencionado poderá induzir um ataque de elevação de privilégios. A estratégia recomendada para evitar um ataque é verificar se o resource_id corresponde à base da URL da API Web que está sendo acessada. A ID do recurso de Armazenamento do Azure é https://storage.azure.com. |
Gerenciar direitos de acesso com RBAC
A ID do Microsoft Entra manipula a autorização de acesso a recursos protegidos por meio do RBAC. Usando o RBAC, você pode atribuir funções a usuários, grupos ou entidades de serviço. Cada função abrange um conjunto de permissões para um recurso. Depois que a função é atribuída ao usuário, grupo ou entidade de serviço, ela tem acesso a esse recurso. Você pode atribuir direitos de acesso usando o portal do Azure, as ferramentas de linha de comando do Azure e as APIs de Gerenciamento do Azure. Para obter mais informações sobre o RBAC, consulte Introdução aode Controle de Acesso Role-Based.
Para o Armazenamento do Azure, você pode conceder acesso aos dados em um contêiner ou fila na conta de armazenamento. O Armazenamento do Azure oferece estas funções RBAC internas para uso com a ID do Microsoft Entra:
- proprietário de dados de blob de armazenamento
- do Colaborador de Dados de Blobs de Armazenamento
- de Leitor de Dados de Blobs de Armazenamento
- de Delegador de Blobs de Armazenamento
- Colaborador de dados da fila de armazenamento
- leitor de dados da fila de armazenamento
- processador de mensagens de dados da fila de armazenamento
- Remetente de Mensagens de Dados da Fila de Armazenamento
- leitor de dados da tabela de armazenamento
- Colaborador de dados da tabela de armazenamento
- Colaborador privilegiado de dados de arquivo de armazenamento
- leitor privilegiado de dados de arquivo de armazenamento
Para obter mais informações sobre como as funções internas são definidas para o Armazenamento do Azure, consulte Noções básicas sobre definições de função para recursos do Azure.
Você também pode definir funções personalizadas para uso com o Armazenamento de Blobs e filas do Azure. Para obter mais informações, consulte Criar funções personalizadas parade Controle de Acesso do Azure Role-Based.
Permissões para chamar operações de dados
As tabelas a seguir descrevem as permissões necessárias para um usuário, grupo, identidade gerenciada ou entidade de serviço do Microsoft Entra chamar operações específicas do Armazenamento do Azure. Para permitir que um cliente chame uma operação específica, verifique se a função RBAC atribuída pelo cliente oferece permissões suficientes para essa operação.
Permissões para operações de serviço blob
| Operação de serviço blob | Ação RBAC |
|---|---|
| listar contêineres | Microsoft.Storage/storageAccounts/blobServices/containers/read (com escopo para a conta de armazenamento ou acima) |
| definir propriedades do serviço blob | Microsoft.Storage/storageAccounts/blobServices/write |
| obter propriedades do serviço blob | Microsoft.Storage/storageAccounts/blobServices/read |
| solicitação de blob de pré-vôo | Anônimo |
| obter estatísticas do serviço blob | Microsoft.Storage/storageAccounts/blobServices/read |
| obter informações da conta | Sem suporte |
| obter de chave de delegação de usuário | Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action |
| criar de contêiner | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| obter propriedades de contêiner | Microsoft.Storage/storageAccounts/blobServices/containers/read |
| obter de metadados de contêiner | Microsoft.Storage/storageAccounts/blobServices/containers/read |
| definir de metadados de contêiner | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| obter de ACL do contêiner | Sem suporte |
| definir de ACL do contêiner | Sem suporte |
| de contêiner de concessão |
Microsoft.Storage/storageAccounts/blobServices/containers/write |
| excluir de contêiner | Microsoft.Storage/storageAccounts/blobServices/containers/delete |
| restaurar de contêiner | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| listar blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| localizar blobs por marcas em de contêiner | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| colocar o blob | Para criar ou substituir: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Para criar um novo blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Colocar Blob do de URL | Para criar ou substituir: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Para criar um novo blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| obter de Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| obter propriedades de blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| definir propriedades de blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| obter de metadados de blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| definir de metadados de blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| obter marcas de blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
| definir marcas de blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| Localizar Blob por Marcas | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| de Blob de Concessão de |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| de Blob de Instantâneos | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write ou Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| copiar de Blob | Para blob de destino: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write ou Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (ao gravar um novo blob no destino) Para blob de origem na mesma conta de armazenamento: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Para o blob de origem em uma conta de armazenamento diferente: disponível como anônimo ou inclua um token SAS válido |
| Copiar Blob de de URL | Para blob de destino: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write ou Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (ao gravar um novo blob no destino) Para blob de origem na mesma conta de armazenamento: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Para o blob de origem em uma conta de armazenamento diferente: disponível como anônimo ou inclua um token SAS válido |
| anular de blob de cópia | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| excluir de Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| de Blob undelete | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| definir de camada de blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| do Lote de Blobs |
Solicitação pai: Microsoft.Storage/storageAccounts/blobServices/containers/write Subprojetas: consulte as permissões para esse tipo de solicitação. |
| Definir de Política de Imutabilidade | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
| Excluir de Política de Imutabilidade | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
| definir de retenção legal de blob | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| colocar de bloco | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| colocar bloco de de URL | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Colocar lista de blocos | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| obter de lista de blocos | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| conteúdo de blob de consulta | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| colocar de página | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Colocar Página do de URL | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| obter intervalos de páginas | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| de Blob de Cópia Incremental | Para blob de destino: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Para blob de origem: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Para novo blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| do Bloco de Acréscimo |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write ou Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Bloco de Acréscimo do de URL | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write ou Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Definir de Expiração de Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
Permissões para operações de serviço fila
| Operação de serviço fila | Ação RBAC |
|---|---|
| listar filas | Microsoft.Storage/storageAccounts/queueServices/queues/read (com escopo para a conta de armazenamento ou acima) |
| definir propriedades de serviço de fila | Microsoft.Storage/storageAccounts/queueServices/read |
| obter propriedades do serviço fila | Microsoft.Storage/storageAccounts/queueServices/read |
| de solicitação de fila de pré-vôo | Anônimo |
| obter estatísticas de serviço de fila | Microsoft.Storage/storageAccounts/queueServices/read |
| criar de fila | Microsoft.Storage/storageAccounts/queueServices/queues/write |
| excluir de fila | Microsoft.Storage/storageAccounts/queueServices/queues/delete |
| obter de metadados de fila | Microsoft.Storage/storageAccounts/queueServices/queues/read |
| definir de metadados de fila | Microsoft.Storage/storageAccounts/queueServices/queues/write |
| obter de ACL da fila | Não disponível via OAuth |
| definir acl de fila | Não disponível via OAuth |
| colocar mensagem | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action ou Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| obter mensagens | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action ou (Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete e Microsoft.Storage/storageAccounts/queueServices/queues/messages/read) |
| espiar mensagens | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| excluir mensagem | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action ou Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| limpar mensagens | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| atualizar de mensagem | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
Permissões para operações de serviço tabela
| Operação de serviço de tabela | Ação RBAC |
|---|---|
| definir propriedades de serviço de tabela | Microsoft.Storage/storageAccounts/tableServices/write |
| obter propriedades de serviço de tabela | Microsoft.Storage/storageAccounts/tableServices/read |
| de solicitação de tabela de pré-vôo | Anônimo |
| obter estatísticas de serviço de tabela | Microsoft.Storage/storageAccounts/tableServices/read |
| executando transações de grupo de entidade | A sub-operação autoriza separadamente |
| tabelas de consulta | Microsoft.Storage/storageAccounts/tableServices/tables/read (com escopo para a conta de armazenamento ou acima) |
| criar de tabela | Microsoft.Storage/storageAccounts/tableServices/tables/write |
| excluir de tabela | Microsoft.Storage/storageAccounts/tableServices/tables/delete |
| obter de ACL da tabela | Não disponível via OAuth |
| definir de ACL da tabela | Não disponível via OAuth |
| entidades de consulta | Microsoft.Storage/storageAccounts/tableServices/tables/entities/read |
| inserir entidade | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write ou Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action |
| inserir ou mesclar entidade | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write ou (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action e Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action) |
| inserir ou substituir entidade | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write ou (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action e Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action) |
| Atualizar Entidade | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write ou Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action |
| de Entidade de Mesclagem | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write ou Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action |
| excluir de entidade | Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete |
Permissões para operações de serviço de arquivo
| Operação de serviço de arquivo | Ação RBAC |
|---|---|
| obter propriedades do serviço de arquivo | Microsoft.Storage/storageAccounts/fileServices/read |
| definir propriedades do serviço de arquivo | Microsoft.Storage/storageAccounts/fileServices/write |
| de solicitação de arquivo de pré-vôo | Anônimo |
| listar compartilhamentos | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| criar de compartilhamento | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| de Compartilhamento de Instantâneos | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| obter propriedades de compartilhamento | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| definir propriedades de compartilhamento | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| obter de metadados de compartilhamento | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| definir de metadados de compartilhamento | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| excluir de compartilhamento | Microsoft.Storage/storageAccounts/fileServices/shares/delete |
| restaurar de compartilhamento | Microsoft.Storage/storageAccounts/fileServices/shares/restore/action |
| obter de ACL de compartilhamento | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| definir de ACL de compartilhamento | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| obter estatísticas de compartilhamento | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| de compartilhamento de concessão | Microsoft.Storage/storageAccounts/fileServices/shares/lease/action |
| criar de permissão | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| obter permissão | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read e Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| listar diretórios e arquivos | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read e Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| criar de diretório | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| obter propriedades de diretório | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read e Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| definir propriedades de diretório | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action, e Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action se x-ms-file-permission ou x-ms-file-permission-key for incluído no cabeçalho de solicitação HTTP. |
| excluir de diretório | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| obter de metadados de diretório | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read e Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| definir de metadados de diretório | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| renomear de diretório | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| criar de arquivo | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| obter de arquivo | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read e Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| obter propriedades de arquivo | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read e Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| definir propriedades de arquivo | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action, e Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action se x-ms-file-permission ou x-ms-file-permission-key for incluído no cabeçalho de solicitação HTTP. |
| colocar intervalo | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| colocar intervalo de de URL | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| intervalos de lista | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read e Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| obter de metadados de arquivo | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read e Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| definir de metadados de arquivo | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| excluir de arquivo | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| copiar de arquivo | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action, e Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action se x-ms-file-permission ou x-ms-file-permission-key for incluído no cabeçalho de solicitação HTTP. |
| anular de arquivo de cópia | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| identificadores de lista de | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read e Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| forçar o fechamento de identificadores | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| de arquivo de concessão | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| renomear de arquivo | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write e Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |