Поделиться через

Выбор способа авторизации доступа к файловым данным на портале Azure

При доступе к данным файлов с помощью портала Azure , портал выполняет запросы к файлам Azure в фоновом режиме. Для авторизации таких запросов можно использовать либо учетную запись Microsoft Entra, либо ключ доступа к хранилищу. Портал указывает, какой метод используется, и позволяет выбрать любой из двух методов, если есть соответствующие разрешения.

Внимание

Доступ к файловому ресурсу с использованием ключей учетной записи хранилища несет в себе встроенные риски безопасности, поэтому всегда проходите проверку подлинности с Microsoft Entra, когда это возможно. Сведения о защите ключей и управлении ими см. в разделе "Управление ключами доступа к учетной записи хранения".

Вы также можете указать, как авторизовать отдельную операцию совместного использования файлов в портале Azure. По умолчанию портал использует любой метод, который вы уже используете для авторизации всех общих папок, но у вас есть возможность изменить этот параметр для отдельных файловых ресурсов.

Применимо к

Модель управления Модель выставления счетов Уровень медиа Избыточность Малый и средний бизнес (SMB) Сетевая файловая система (NFS)
Microsoft.Storage Настроенная версия 2 HDD (стандартный) Локальное (LRS) Да Нет
Microsoft.Storage Настроенная версия 2 HDD (стандартный) Зона (ZRS) Да Нет
Microsoft.Storage Настроенная версия 2 HDD (стандартный) Джио (GRS) Да Нет
Microsoft.Storage Настроенная версия 2 HDD (стандартный) GeoZone (GZRS) Да Нет
Microsoft.Storage Настроенная версия v1 SSD (премиум) Локальное (LRS) Да Нет
Microsoft.Storage Настроенная версия v1 SSD (премиум) Зона (ZRS) Да Нет
Microsoft.Storage Оплата по мере использования HDD (стандартный) Локальное (LRS) Да Нет
Microsoft.Storage Оплата по мере использования HDD (стандартный) Зона (ZRS) Да Нет
Microsoft.Storage Оплата по мере использования HDD (стандартный) Джио (GRS) Да Нет
Microsoft.Storage Оплата по мере использования HDD (стандартный) GeoZone (GZRS) Да Нет

Разрешения, необходимые для доступа к данным файла

В зависимости от способа авторизации доступа к данным файла в портал Azure вам потребуются определенные разрешения. В большинстве случаев эти разрешения предоставляются с помощью Azure управления доступом на основе ролей (Azure RBAC).

для получения доступа к данным файлов с портала Azure с использованием учетной записи Microsoft Entra, должны быть выполнены следующие условия:

  • Вы назначаете встроенную или пользовательскую роль, которая предоставляет доступ к данным файла.
  • В Диспетчере ресурсов Azure вам должна быть назначена роль читателя (как минимум на уровне учетной записи хранилища). Роль Читатель предоставляет наиболее ограниченные разрешения, однако можно использовать и другую роль Azure Resource Manager, которая предоставляет доступ к ресурсам управления учетными записями хранения.

Роль Читатель Azure Resource Manager позволяет просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в службе хранилища Azure, а только для управления ресурсами учетных записей. Роль читателя необходима, чтобы пользователи могли перейти к общим папкам в портал Azure.

Существует две новые встроенные роли, имеющие необходимые разрешения для доступа к данным файлов с помощью OAuth:

Сведения о встроенных ролях, предоставляющих доступ к файловым данным, см. в статье Access Azure file shares using Microsoft Entra ID with Azure Files OAuth over REST.

Примечание.

Роль Привилегированный участник данных файлов хранилища имеет разрешения на чтение, запись, удаление и изменение разрешений ACL/NTFS для файлов и каталогов в файловых ресурсах Azure. Изменение разрешений ACL/NTFS не поддерживается через портал Azure.

Пользовательские роли могут поддерживать различные сочетания одинаковых разрешений, предоставляемых встроенными ролями. Дополнительные сведения о создании пользовательских ролей Azure см. в разделе Пользовательские роли Azure и Определения ролей для ресурсов Azure.

чтобы получить доступ к данным файлов с помощью ключа доступа к учетной записи хранения, вам должна быть назначена роль Azure, которая включает действие Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Эта роль Azure может быть встроенной или настраиваемой. Ниже перечислены встроенные роли с поддержкой Microsoft.Storage/storageAccounts/listkeys/action (от минимального до максимального уровня разрешений):

При попытке получить доступ к данным файлов в портале Azure сначала проверяется, назначена ли вам роль с правами Microsoft.Storage/storageAccounts/listkeys/action. Если вам назначена роль с этим действием, портал использует ключ учетной записи хранения для доступа к данным файла. Если вам не назначена роль для этого действия, портал пытается получить доступ к данным, используя вашу учетную запись Microsoft Entra.

Внимание

Если доступ к аккаунту хранения запрещен с помощью блокировки Azure Resource Manager ReadOnly, операция "Получить ключи" не разрешена для этого аккаунта хранения. Список ключей — операция POST, и все операции POST блокируются, если для учетной записи настроена блокировка ReadOnly. По этой причине, когда учетная запись заблокирована с блокировкой ReadOnly , пользователи должны использовать учетные данные Microsoft Entra для доступа к данным файлов на портале. Сведения о доступе к данным файла в портал Azure с идентификатором Microsoft Entra см. в статье "Использование учетной записи Microsoft Entra".

Примечание.

Классические роли администраторов подписки Администратор сервиса и Соадминистратор включают эквивалент роли Владелец в Azure Resource Manager. Роль владельца включает все действия, включая Microsoft.Storage/storageAccounts/listkeys/action, поэтому пользователь с одной из этих административных ролей также может получить доступ к данным файла с ключом учетной записи хранения. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.

Укажите, как авторизовать операции с определенной общей папкой

Вы можете изменить метод проверки подлинности для отдельных общих папок. По умолчанию портал использует текущий метод проверки подлинности. Чтобы определить текущий метод проверки подлинности, выполните следующие действия.

  1. Войдите в свою учетную запись хранения на портале Azure.
  2. В меню службы в разделе хранилища данных выберите общие папки.
  3. Выберите общую папку.
  4. Нажмите кнопку "Обзор".
  5. Метод проверки подлинности указывает, используете ли вы ключ доступа к учетной записи хранения или учетную запись Microsoft Entra для проверки подлинности и авторизации операций общей папки. Если вы выполняете проверку подлинности с помощью ключа доступа к учетной записи хранения, вы увидите ключ доступа, указанный в качестве метода проверки подлинности, как показано на следующем рисунке. Если вы выполняете проверку подлинности с помощью учетной записи Microsoft Entra, вы увидите учетную запись пользователя Microsoft Entra, указанную вместо этого.

Снимок экрана: метод проверки подлинности, заданный для ключа доступа.

Чтобы переключиться на использование учетной записи Microsoft Entra, выберите ссылку, выделенную на изображении, в котором говорится, что переключитесь на учетную запись пользователя Microsoft Entra. Если в назначенных вам ролях Azure имеются соответствующие разрешения, вы сможете продолжить работу. Однако если у вас нет необходимых разрешений, появится сообщение об ошибке, которое у вас нет разрешений на перечисление данных с помощью учетной записи пользователя с идентификатором Microsoft Entra.

Для использования учетной записи Microsoft Entra требуются два дополнительных разрешения RBAC:

  • Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
  • Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

В списке нет общих папок, если ваша учетная запись Microsoft Entra не имеет разрешений для их просмотра.

Чтобы перейти на использование ключа доступа к учетной записи, выберите ссылку, которая говорит "Переключиться на ключ доступа". Если у вас есть доступ к ключу учетной записи хранения, вы сможете продолжить. Однако если у вас нет доступа к ключу учетной записи, появится сообщение об ошибке, которое у вас нет разрешений на использование ключа доступа для перечисления данных.

В списке не отображаются файловые ресурсы, если у вас нет доступа к ключу доступа к учетной записи хранения.

По умолчанию использовать авторизацию Microsoft Entra в портале Azure

При создании новой учетной записи хранения можно указать, что портал Azure будет по умолчанию использовать авторизацию с использованием Microsoft Entra ID при переходе пользователя к данным файла. Этот параметр также можно настроить для существующей учетной записи хранения. Этот параметр задает только метод авторизации по умолчанию. Помните, что пользователь может переопределить этот параметр и разрешить доступ к данным с помощью ключа учетной записи хранения.

Чтобы указать, что портал будет использовать авторизацию Microsoft Entra по умолчанию для доступа к данным при создании учетной записи хранения, выполните следующие действия.

  1. Создайте учетную запись хранения, следуя инструкциям в разделе Создание учетной записи хранения.

  2. На вкладке "Дополнительно" в разделе "Безопасность" установите флажок "По умолчанию" для авторизации Microsoft Entra в портал Azure.

    Снимок экрана: настройка авторизации Microsoft Entra по умолчанию в портал Azure для новой учетной записи.

  3. Выберите "Проверка и создание", чтобы выполнить проверку и создать учетную запись хранения.

Чтобы изменить этот параметр для существующей учетной записи хранения, выполните следующие действия.

  1. Перейдите к обзору учетной записи хранения на портале Azure.
  2. В разделе Параметры выберите пункт Конфигурация.
  3. Установите для параметра "По умолчанию авторизация Microsoft Entra" в Azure Portal значение Включено.

См. также