Выбор способа авторизации доступа к файловым данным на портале Azure

При доступе к данным файлов с помощью портал Azure портал запрашивает Файлы Azure за кулисами. Для таких запросов можно выполнять проверку подлинности с учетной записью Microsoft Entra или с ключом доступа к учетной записи хранилища. Портал указывает, какой метод используется, и позволяет выбрать любой из двух методов, если есть соответствующие разрешения.

Вы также можете указать, как авторизовать отдельную операцию общей папки в портал Azure. По умолчанию портал использует любой метод, который вы уже используете для авторизации всех общих папок, но у вас есть возможность изменить этот параметр для отдельных файловых ресурсов.

Разрешения, необходимые для доступа к данным файла

В зависимости от способа авторизации доступа к данным файла в портал Azure вам потребуются определенные разрешения. В большинстве случаев эти разрешения предоставляются с помощью управления доступом на основе ролей Azure (Azure RBAC).

Использование учетной записи Microsoft Entra

для получения доступа к данным файлов с портала Azure с использованием учетной записи Microsoft Entra, должны быть выполнены следующие условия:

• Вы назначаете встроенную или пользовательскую роль, которая предоставляет доступ к данным файла.
• В Диспетчере ресурсов Azure вам должна быть назначена роль читателя (как минимум на уровне учетной записи хранилища). Роль Читатель предоставляет наиболее ограниченные разрешения, однако можно использовать и другую роль Azure Resource Manager, которая предоставляет доступ к ресурсам управления учетными записями хранения.

Роль Читатель Azure Resource Manager позволяет просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в служба хранилища Azure, а только для ресурсов управления учетными записями. Роль читателя необходима, чтобы пользователи могли перейти к общим папкам в портал Azure.

Существует две новые встроенные роли, имеющие необходимые разрешения для доступа к данным файлов с помощью OAuth:

• Средство чтения с привилегированными данными файлов хранилища
• Участник привилегированных данных хранилища

Сведения о встроенных ролях, поддерживающих доступ к данным файлов, см. в статье Access Azure file shares using Microsoft Entra ID with Файлы Azure OAuth over REST.

Примечание.

Роль участника привилегированных файлов хранилища имеет разрешения на чтение, запись, удаление и изменение разрешений ACL/NTFS для файлов и каталогов в общих папках Azure. Изменение разрешений ACL/NTFS не поддерживается через портал Azure.

Пользовательские роли могут поддерживать различные комбинации тех же разрешений, которые предоставляются встроенными ролями. Дополнительные сведения о создании пользовательских ролей Azure см. в разделе Пользовательские роли Azure и Определения ролей для ресурсов Azure.

Использование ключа доступа к учетной записи хранения

чтобы получить доступ к данным файлов с помощью ключа доступа к учетной записи хранения, вам должна быть назначена роль Azure, которая включает действие Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Эта роль Azure может быть встроенной или настраиваемой. Ниже перечислены встроенные роли с поддержкой Microsoft.Storage/storageAccounts/listkeys/action (от минимального до максимального уровня разрешений):

• читатель с доступом к данным;
• участник учетной записи хранения;
• участник Azure Resource Manager;
• Владелец Azure Resource Manager.

При попытке получить доступ к данным файлов в портал Azure портал сначала проверяет, назначена ли роль с помощью Microsoft.Storage/storageAccounts/listkeys/action. Если вы назначили роль с этим действием, портал использует ключ учетной записи хранения для доступа к данным файла. Если вы не назначили роль с этим действием, портал пытается получить доступ к данным с помощью учетной записи Microsoft Entra.

Внимание

Если учетная запись хранения заблокирована с блокировкой Azure Resource Manager ReadOnly , операция "Ключи списка" не разрешена для этой учетной записи хранения. Список ключей — операция POST, и все операции POST блокируются, если для учетной записи настроена блокировка ReadOnly. По этой причине, когда учетная запись заблокирована с блокировкой ReadOnly , пользователи должны использовать учетные данные Microsoft Entra для доступа к данным файлов на портале. Сведения о доступе к данным файла в портал Azure с идентификатором Microsoft Entra см. в статье "Использование учетной записи Microsoft Entra".

Примечание.

Роли администратора классической подписки и соадминистратора включают эквивалент роли владельца Azure Resource Manager. Роль владельца включает все действия, включая Microsoft.Storage/storageAccounts/listkeys/action, поэтому пользователь с одной из этих административных ролей также может получить доступ к данным файла с ключом учетной записи хранения. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Укажите, как авторизовать операции с определенной общей папкой

Вы можете изменить метод проверки подлинности для отдельных общих папок. По умолчанию портал использует текущий метод проверки подлинности. Чтобы определить текущий метод проверки подлинности, выполните следующие действия.

1. Войдите в свою учетную запись хранения на портале Azure.
2. В меню службы в разделе хранилища данных выберите общие папки.
3. Выберите общий файловый ресурс.
4. Выберите Обзор.
5. Метод проверки подлинности указывает, используете ли вы ключ доступа к учетной записи хранения или учетную запись Microsoft Entra для проверки подлинности и авторизации операций общей папки. Если вы выполняете проверку подлинности с помощью ключа доступа к учетной записи хранения, вы увидите ключ доступа, указанный в качестве метода проверки подлинности, как показано на следующем рисунке. Если вы выполняете проверку подлинности с помощью учетной записи Microsoft Entra, вы увидите учетную запись пользователя Microsoft Entra, указанную вместо этого.

Проверка подлинности с помощью учетной записи Microsoft Entra

Чтобы переключиться на использование учетной записи Microsoft Entra, выберите ссылку, выделенную на изображении, в котором говорится, что переключитесь на учетную запись пользователя Microsoft Entra. Если в назначенных вам ролях Azure имеются соответствующие разрешения, вы сможете продолжить работу. Однако если у вас нет необходимых разрешений, появится сообщение об ошибке, которое у вас нет разрешений на перечисление данных с помощью учетной записи пользователя с идентификатором Microsoft Entra.

Для использования учетной записи Microsoft Entra требуются два дополнительных разрешения RBAC:

• Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
• Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

В списке нет общих папок, если ваша учетная запись Microsoft Entra не имеет разрешений для их просмотра.

Проверка подлинности с помощью ключа доступа к учетной записи хранения

Чтобы перейти на использование ключа доступа к учетной записи, выберите ссылку, которая говорит "Переключиться на ключ доступа". Если у вас есть доступ к ключу учетной записи хранения, вы сможете продолжить. Однако если у вас нет доступа к ключу учетной записи, появится сообщение об ошибке, которое у вас нет разрешений на использование ключа доступа для перечисления данных.

В списке нет общих папок, если у вас нет доступа к ключу доступа к учетной записи хранения.

По умолчанию авторизация Microsoft Entra в портал Azure

При создании новой учетной записи хранения можно указать, что портал Azure по умолчанию будет авторизации с идентификатором Microsoft Entra при переходе пользователя к данным файла. Этот параметр также можно настроить для существующей учетной записи хранения. Этот параметр задает только метод авторизации по умолчанию. Помните, что пользователь может переопределить этот параметр и разрешить доступ к данным с помощью ключа учетной записи хранения.

Чтобы указать, что портал будет использовать авторизацию Microsoft Entra по умолчанию для доступа к данным при создании учетной записи хранения, выполните следующие действия.

1. Создайте учетную запись хранения, следуя инструкциям в разделе Создание учетной записи хранения.

2. На вкладке "Дополнительно" в разделе "Безопасность" установите флажок "По умолчанию" для авторизации Microsoft Entra в портал Azure.

   

3. Выберите "Проверка и создание", чтобы выполнить проверку и создать учетную запись хранения.

Чтобы изменить этот параметр для существующей учетной записи хранения, выполните следующие действия.

1. Перейдите к обзору учетной записи хранения в портал Azure.
2. В разделе Параметры выберите пункт Конфигурация.
3. Установите для параметра "По умолчанию авторизация Microsoft Entra" в портал Azure значение "Включено".

См. также

• Доступ к общим папкам Azure с помощью идентификатора Microsoft Entra с Файлы Azure OAuth по протоколу REST
• Авторизация доступа к данным в службе хранилища Azure