Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ общие папки SMB
При доступе к данным файлов с помощью Azure portal портал отправляет запросы к службе Azure Files в фоновом режиме. Эти запросы можно авторизовать с помощью учетной записи Microsoft Entra (предпочтительной) или ключа доступа учетной записи хранилища (менее безопасно).
На портале показано, какой метод вы используете и позволяет переключаться между двумя методами, если у вас есть соответствующие разрешения. По умолчанию портал использует любой метод, который вы уже используете для авторизации всех общих папок. Этот параметр можно изменить для отдельных операций файлового общего доступа.
В этой статье объясняется, как разрешить доступ к данным файла в портале Azure. Он не охватывает настройку аутентификации на основе учетных записей для общих папок. Дополнительные сведения о проверке подлинности на основе удостоверений см. в статье Обзор проверки подлинности на основе удостоверений в Azure Files.
Предупреждение
Доступ к файловому ресурсу с помощью ключей учетной записи хранилища имеет встроенные риски безопасности. Всегда проходить проверку подлинности с помощью Microsoft Entra по возможности. Для получения информации о защите и управлении вашими ключами смотрите статью Управление ключами доступа к учетной записи хранилища.
Получение разрешений на доступ к данным файла
В зависимости от того, как вы хотите авторизовать доступ к файловым данным в портале Azure, требуются определенные разрешения. В большинстве случаев эти разрешения можно получить с помощью контроля доступа на основе ролей Azure (Azure RBAC).
Использование учетной записи Microsoft Entra (рекомендуется)
Чтобы получить доступ к данным файлов в портале Azure с помощью учетной записи Entra, оба из следующих утверждений должны быть истинными:
- Вам назначена либо встроенная, либо пользовательская роль, которая предоставляет доступ к данным файлов.
- Вам назначена роль Azure Resource Manager Reader, как минимум на уровне учетной записи хранилища или выше. Роль чтения предоставляет самые ограниченные разрешения, но другая роль Azure Resource Manager, которая предоставляет доступ к ресурсам управления учетными записями хранения, также приемлема.
Роль читателя Azure Resource Manager позволяет пользователям просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в Azure Storage, а только для ресурсов управления учетными записями. Роль читателя необходима, чтобы пользователи могли перейти к общим папкам на портале Azure.
Две встроенные роли имеют необходимые разрешения для доступа к файловым данным с помощью OAuth.
- Привилегированный читатель данных файлов хранилища
- Участник с привилегиями для данных файлов хранилища
Сведения о встроенных ролях, поддерживающих доступ к файловым данным, см. в разделе Доступ к общим папкам Azure с использованием Microsoft Entra ID и Azure Files OAuth через REST.
Примечание.
Роль привилегированного участника хранения файлов предоставляет разрешения на чтение, запись, удаление и изменение разрешений ACL/NTFS для файлов и каталогов в файловых ресурсах Azure. Изменение разрешений ACL/NTFS не поддерживается с помощью Azure portal.
Пользовательские роли могут поддерживать различные комбинации тех же самых разрешений, предоставляемых встроенными ролями. Более подробную информацию см. в разделах Настраиваемые роли Azure и Понимание определений ролей для ресурсов Azure.
Используйте ключ доступа для учетной записи хранилища (не рекомендуется)
Чтобы получить доступ к данным файлов с помощью ключа доступа к учетной записи хранения, необходимо, чтобы вам была назначена роль Azure, включающая действие Microsoft.Storage/storageAccounts/listkeys/action в Azure RBAC. Эта роль Azure может быть создана или настраивается.
Следующие встроенные роли поддерживают Microsoft.Storage/storageAccounts/listkeys/action. Они перечислены в порядке от наименьших к наибольшим правам.
- Роль чтения и доступа к данным
- Роль участника учетной записи хранения
- Роль участника Azure Resource Manager
- Роль владельца Azure Resource Manager
Когда вы пытаетесь получить доступ к данным файлов на портале Azure, портал сначала проверяет, есть ли у вас роль Microsoft.Storage/storageAccounts/listkeys/action. Если у вас есть роль с этим действием, портал использует ключ учетной записи хранилища для доступа к данным файла. Если у вас нет роли для этого действия, портал пытается получить доступ к данным с помощью вашей учетной записи Entra.
Внимание
При блокировке учетной записи хранения с помощью блокировки Resource Manager ReadOnly невозможно выполнить операцию listKeys для этой учетной записи хранения. Операция listKeys — это POST операция, и все POST операции предотвращаются при ReadOnly настройке блокировки для учетной записи.
По этой причине при блокировке учетной записи с помощью блокировки ReadOnly необходимо использовать учетные данные Entra для доступа к данным файлов на портале. Сведения о доступе к данным файлов в Azure portal с помощью Microsoft Entra ID см. в разделе Use your Microsoft Entra account.
Роли администратора классической подписки "администратор службы" и "соадминистратор" включают в себя эквивалент роли владельца Azure Resource Manager. Роль владельца включает все действия, включая Microsoft.Storage/storageAccounts/listkeys/action действие. Пользователь с одной из этих административных ролей также может получить доступ к данным файла с помощью ключа учетной записи хранения. Подробнее см. в разделе роли Azure, роли Microsoft Entra и роли администратора классической подписки.
Укажите, как авторизовать операции с определенной общей папкой
Вы можете изменить метод проверки подлинности для отдельных общих папок. По умолчанию портал использует текущий метод проверки подлинности. Чтобы определить текущий метод проверки подлинности, выполните следующие действия.
Войдите в свою учетную запись хранения на портале Azure.
В меню службы в разделе хранилища данных выберите общие папки.
Выберите общую папку.
Нажмите кнопку "Обзор".
Метод проверки подлинности показывает, используете ли вы ключ доступа к учетной записи хранения или учетную запись Entra для проверки подлинности и авторизации операций с общим доступом к файлам.
Если вы выполняете проверку подлинности с помощью ключа доступа к учетной записи хранения, ключ доступа указывается в качестве метода проверки подлинности, как показано на следующем рисунке. Если вы выполняете проверку подлинности, используя свою учетную запись Entra, вместо этого указывается учетная запись пользователя Microsoft Entra.
Проверка подлинности с помощью учетной записи Microsoft Entra (рекомендуется)
Чтобы переключиться на использование учетной записи Entra, выберите ссылку, выделенную на изображении с надписью Переключиться на учетную запись пользователя Microsoft Entra. Если у вас есть соответствующие разрешения с помощью ролей Azure, назначенных вам, можно продолжить. Если у вас отсутствуют необходимые разрешения, в сообщении об ошибке указано, что у вас нет разрешений для списания данных с помощью вашей учетной записи пользователя с Entra ID.
Для использования учетной записи Entra требуются два дополнительных разрешения RBAC:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
В списке нет общих файлов, если учетная запись Entra не имеет разрешений для их просмотра.
Проверка подлинности с помощью ключа доступа к учетной записи хранилища (не рекомендуется)
Чтобы перейти на использование ключа доступа к учетной записи, выберите ссылку, которая говорит "Переключиться на ключ доступа". Если у вас есть доступ к ключу учетной записи хранения, можно продолжить. Если у вас нет доступа к ключу учетной записи, сообщение об ошибке говорит, что у вас нет разрешений на использование ключа доступа для перечисления данных.
В списке не отображаются общие папки, если у вас нет ключа доступа к учетной записи хранилища.
По умолчанию использовать авторизацию Microsoft Entra в портале Azure.
При создании новой учетной записи хранения можно указать, что портал Azure по умолчанию использует авторизацию с идентификатором Entra, когда пользователь обращается к данным файла. Этот параметр также можно настроить для существующей учетной записи storage. Этот параметр задает только метод авторизации по умолчанию. Пользователь может переопределить этот параметр и авторизовать доступ к данным с помощью ключа учетной записи хранилища.
Чтобы указать, что портал использует авторизацию Entra по умолчанию для доступа к данным при создании учетной записи хранилища, выполните следующие действия.
Создайте новую учетную запись хранения, следуя инструкциям в статье "Создание учетной записи хранения Azure".
На вкладке "Дополнительно" в разделе "Безопасность " установите флажок " По умолчанию" для авторизации Microsoft Entra на портале Azure .
Выберите Review + create, чтобы выполнить проверку и создать учетную запись storage.
Чтобы обновить этот параметр для существующей учетной записи storage, выполните следующие действия.
На портале Azure перейдите к обзору учетной записи хранилища.
В разделе Параметры выберите пункт Конфигурация.
Установите авторизацию Microsoft Entra по умолчанию в портале Azure в состояние Включено.