Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ файловые хранилища SMB Azure
Независимо от того, какой источник выберете для идентификационной аутентификации в вашей учетной записи хранения, необходимо настроить авторизацию и управление доступом. Azure Files обеспечивают авторизацию доступа к пользователям как на уровне общего ресурса, так и на уровнях каталога и файла.
Вы можете назначить разрешения на уровне общего доступа пользователям или группам Microsoft Entra, управляемым с помощью Azure RBAC. При использовании Azure RBAC учетные данные, используемые для доступа к файлам, должны быть доступны или синхронизированы с идентификатором Microsoft Entra. Встроенные роли Azure, такие как Storage File Data SMB Share Reader, можно назначать пользователям или группам в Microsoft Entra ID, чтобы предоставить доступ к общему ресурсу.
На уровне каталога и файла Файлы Azure поддерживают сохранение, наследование и применение списков управления доступом Windows. Вы можете сохранить списки управления доступом Windows при копировании данных по SMB между существующей общей папкой и общими папками Azure. Если вы планируете применить авторизацию или нет, вы можете использовать общие папки Azure для резервного копирования списков управления доступом вместе с данными.
Настройка разрешений на уровне общего доступа
После включения источника идентификации для учетной записи хранилища необходимо выполнить одно из следующих действий, чтобы получить доступ к файловому хранилищу:
- Установка разрешения на уровне общего доступа по умолчанию , которое применяется ко всем прошедшим проверку подлинности пользователям и группам
- Назначение встроенных ролей Azure RBAC пользователям и группам или
- Настройте пользовательские роли для удостоверений Microsoft Entra и назначьте права доступа к общим папкам в учетной записи хранения.
Назначенное разрешение на уровне общего ресурса позволяет предоставленному удостоверению получить доступ только к общей папке, больше никуда, не к корневому каталогу. Вам по-прежнему необходимо отдельно настроить разрешения на уровне каталога и файлов.
Дополнительные сведения см. в разделе "Назначение разрешений на уровне общего ресурса".
Примечание.
Нельзя назначать разрешения уровня общего доступа учетным записям компьютеров с помощью Azure RBAC, так как учетные записи компьютеров не могут быть синхронизированы с учетной записью в Microsoft Entra ID. Если вы хотите разрешить учетной записи компьютера доступ к общим папкам Azure с помощью проверки подлинности на основе удостоверений, используйте разрешение на уровне общего доступа по умолчанию или попробуйте использовать учетную запись входа в службу.
Настройка разрешений на уровне каталога и файлов
Файловые ресурсы Azure применяют стандартные списки управления доступом (ACL) Windows на уровне как каталога, так и файлов, включая корневой каталог. Настройка разрешений на уровне каталога или файлов поддерживается как для SMB, так и для REST.
Дополнительные сведения см. в разделе "Настройка разрешений на уровне каталога и файлов".
Сохранение каталогов и ACL файлов при импорте данных в Azure Files
Файлы Azure поддерживают сохранение списков управления доступом (ACL) на уровне директорий или файлов при копировании данных в файловые ресурсы Azure. Списки ACL можно скопировать из каталога или файла на общие папки Azure с помощью Azure File Sync или общих инструментов перемещения файлов. Например, можно использовать robocopy с флагом /copy:s для копирования данных, а также списков управления доступом в общую папку Azure. Списки управления доступом сохраняются по умолчанию, поэтому для сохранения списков управления доступом не требуется включить проверку подлинности на основе удостоверений в учетной записи хранения.
Следующий шаг
Дополнительные сведения можно найти здесь