Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
When you access file data using the Azure portal, the portal makes requests to Azure Files behind the scenes. Для авторизации таких запросов можно использовать либо учетную запись Microsoft Entra, либо ключ доступа к хранилищу. Портал указывает, какой метод используется, и позволяет выбрать любой из двух методов, если есть соответствующие разрешения.
Внимание
Accessing a file share using storage account keys carries inherent security risks, so authenticate with Microsoft Entra when possible. Сведения о защите ключей и управлении ими см. в разделе "Управление ключами доступа к учетной записи хранения".
Вы также можете указать, как авторизовать отдельную операцию совместного использования файлов в портале Azure. По умолчанию портал использует любой метод, который вы уже используете для авторизации всех общих папок, но у вас есть возможность изменить этот параметр для отдельных файловых ресурсов.
Применимо к
| Модель управления | Модель выставления счетов | Media tier | Redundancy | Малый и средний бизнес (SMB) | Сетевая файловая система (NFS) |
|---|---|---|---|---|---|
| Microsoft.Storage | Provisioned v2 | HDD (стандартный) | Local (LRS) |
|
|
| Microsoft.Storage | Provisioned v2 | HDD (стандартный) | Zone (ZRS) |
|
|
| Microsoft.Storage | Provisioned v2 | HDD (стандартный) | Джио (GRS) |
|
|
| Microsoft.Storage | Provisioned v2 | HDD (стандартный) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | Provisioned v1 | SSD (премиум) | Local (LRS) |
|
|
| Microsoft.Storage | Provisioned v1 | SSD (премиум) | Zone (ZRS) |
|
|
| Microsoft.Storage | Pay-as-you-go | HDD (стандартный) | Local (LRS) |
|
|
| Microsoft.Storage | Pay-as-you-go | HDD (стандартный) | Zone (ZRS) |
|
|
| Microsoft.Storage | Pay-as-you-go | HDD (стандартный) | Джио (GRS) |
|
|
| Microsoft.Storage | Pay-as-you-go | HDD (стандартный) | GeoZone (GZRS) |
|
|
Разрешения, необходимые для доступа к данным файла
В зависимости от способа авторизации доступа к данным файла в портал Azure вам потребуются определенные разрешения. В большинстве случаев эти разрешения предоставляются с помощью Azure управления доступом на основе ролей (Azure RBAC).
Использование учетной записи Microsoft Entra
для получения доступа к данным файлов с портала Azure с использованием учетной записи Microsoft Entra, должны быть выполнены следующие условия:
- Вы назначаете встроенную или пользовательскую роль, которая предоставляет доступ к данным файла.
- You're assigned the Azure Resource Manager Reader role, at a minimum, scoped to the level of the storage account or higher. Роль Читатель предоставляет наиболее ограниченные разрешения, однако можно использовать и другую роль Azure Resource Manager, которая предоставляет доступ к ресурсам управления учетными записями хранения.
Роль Читатель Azure Resource Manager позволяет просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в службе хранилища Azure, а только для управления ресурсами учетных записей. Роль читателя необходима, чтобы пользователи могли перейти к общим папкам в портал Azure.
Существует две новые встроенные роли, имеющие необходимые разрешения для доступа к данным файлов с помощью OAuth:
Сведения о встроенных ролях, предоставляющих доступ к файловым данным, см. в статье Access Azure file shares using Microsoft Entra ID with Azure Files OAuth over REST.
Примечание.
The Storage File Data Privileged Contributor role has permissions to read, write, delete, and modify ACLs/NTFS permissions on files/directories in Azure file shares. Изменение разрешений ACL/NTFS не поддерживается через портал Azure.
Custom roles can support different combinations of the same permissions provided by the built-in roles. Дополнительные сведения о создании пользовательских ролей Azure см. в разделе Пользовательские роли Azure и Определения ролей для ресурсов Azure.
Использование ключа доступа к учетной записи хранения
чтобы получить доступ к данным файлов с помощью ключа доступа к учетной записи хранения, вам должна быть назначена роль Azure, которая включает действие Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Эта роль Azure может быть встроенной или настраиваемой. Ниже перечислены встроенные роли с поддержкой Microsoft.Storage/storageAccounts/listkeys/action (от минимального до максимального уровня разрешений):
- The Reader and Data Access role
- The Storage Account Contributor role
- The Azure Resource Manager Contributor role
- The Azure Resource Manager Owner role
При попытке получить доступ к данным файлов в портале Azure сначала проверяется, назначена ли вам роль с правами Microsoft.Storage/storageAccounts/listkeys/action. Если вам назначена роль с этим действием, портал использует ключ учетной записи хранения для доступа к данным файла. Если вам не назначена роль для этого действия, портал пытается получить доступ к данным, используя вашу учетную запись Microsoft Entra.
Внимание
Если доступ к аккаунту хранения запрещен с помощью блокировки Azure Resource Manager ReadOnly, операция "Получить ключи" не разрешена для этого аккаунта хранения. Список ключей — операция POST, и все операции POST блокируются, если для учетной записи настроена блокировка ReadOnly. По этой причине, когда учетная запись заблокирована с блокировкой ReadOnly , пользователи должны использовать учетные данные Microsoft Entra для доступа к данным файлов на портале. Сведения о доступе к данным файла в портал Azure с идентификатором Microsoft Entra см. в статье "Использование учетной записи Microsoft Entra".
Примечание.
Классические роли администраторов подписки Администратор сервиса и Соадминистратор включают эквивалент роли Владелец в Azure Resource Manager. Роль владельца включает все действия, включая Microsoft.Storage/storageAccounts/listkeys/action, поэтому пользователь с одной из этих административных ролей также может получить доступ к данным файла с ключом учетной записи хранения. Дополнительные сведения см. в статье о ролях Azure, ролях Microsoft Entra и классических ролях администратора подписки.
Укажите, как авторизовать операции с определенной общей папкой
Вы можете изменить метод проверки подлинности для отдельных общих папок. По умолчанию портал использует текущий метод проверки подлинности. Чтобы определить текущий метод проверки подлинности, выполните следующие действия.
- Войдите в свою учетную запись хранения на портале Azure.
- В меню службы в разделе хранилища данных выберите общие папки.
- Select a file share.
- Select Browse.
- The Authentication method indicates whether you're currently using the storage account access key or your Microsoft Entra account to authenticate and authorize file share operations. Если вы выполняете проверку подлинности с помощью ключа доступа к учетной записи хранения, вы увидите ключ доступа, указанный в качестве метода проверки подлинности, как показано на следующем рисунке. Если вы выполняете проверку подлинности с помощью учетной записи Microsoft Entra, вы увидите учетную запись пользователя Microsoft Entra, указанную вместо этого.
Проверка подлинности с помощью учетной записи Microsoft Entra
Чтобы переключиться на использование учетной записи Microsoft Entra, выберите ссылку, выделенную на изображении, в котором говорится, что переключитесь на учетную запись пользователя Microsoft Entra. Если в назначенных вам ролях Azure имеются соответствующие разрешения, вы сможете продолжить работу. Однако если у вас нет необходимых разрешений, появится сообщение об ошибке, которое у вас нет разрешений на перечисление данных с помощью учетной записи пользователя с идентификатором Microsoft Entra.
Для использования учетной записи Microsoft Entra требуются два дополнительных разрешения RBAC:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
В списке нет общих папок, если ваша учетная запись Microsoft Entra не имеет разрешений для их просмотра.
Проверка подлинности с помощью ключа доступа к учетной записи хранения
Чтобы перейти на использование ключа доступа к учетной записи, выберите ссылку, которая говорит "Переключиться на ключ доступа". Если у вас есть доступ к ключу учетной записи хранения, вы сможете продолжить. Однако если у вас нет доступа к ключу учетной записи, появится сообщение об ошибке, которое у вас нет разрешений на использование ключа доступа для перечисления данных.
В списке не отображаются файловые ресурсы, если у вас нет доступа к ключу доступа к учетной записи хранения.
Default to Microsoft Entra authorization in the Azure portal
При создании новой учетной записи хранения можно указать, что портал Azure будет по умолчанию использовать авторизацию с использованием Microsoft Entra ID при переходе пользователя к данным файла. Этот параметр также можно настроить для существующей учетной записи хранения. Этот параметр задает только метод авторизации по умолчанию. Помните, что пользователь может переопределить этот параметр и разрешить доступ к данным с помощью ключа учетной записи хранения.
Чтобы указать, что портал будет использовать авторизацию Microsoft Entra по умолчанию для доступа к данным при создании учетной записи хранения, выполните следующие действия.
Создайте учетную запись хранения, следуя инструкциям в разделе Создание учетной записи хранения.
На вкладке "Дополнительно" в разделе "Безопасность" установите флажок "По умолчанию" для авторизации Microsoft Entra в портал Azure.
Выберите "Проверка и создание", чтобы выполнить проверку и создать учетную запись хранения.
Чтобы изменить этот параметр для существующей учетной записи хранения, выполните следующие действия.
- Navigate to the storage account overview in the Azure portal.
- В разделе Параметры выберите пункт Конфигурация.
- Установите для параметра "По умолчанию авторизация Microsoft Entra" в Azure Portal значение Включено.