Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения: ✔️ общие папки SMB
Независимо от того, какой источник удостоверения вы используете для аутентификации на основе удостоверений в вашей учетной записи хранения, необходимо настроить авторизацию и управление доступом. Файлы Azure применяют авторизацию для доступа пользователей на уровне общего ресурса, на уровне каталога и на уровне файла.
Вы можете назначить разрешения на уровне общего доступа пользователям или группам Microsoft Entra, управляемым с помощью Azure RBAC. С помощью Azure RBAC учетные данные, используемые для доступа к файлам, должны быть доступны или синхронизированы с идентификатором Microsoft Entra. Встроенные роли Azure, такие как средство чтения общих файловых данных хранилища SMB, можно назначать пользователям или группам в идентификаторе Microsoft Entra, чтобы предоставить доступ к общей папке.
На уровне каталогов и файлов Служба файлов Azure поддерживает сохранение, наследование и применение списков управления доступом Windows. При копировании данных по SMB между существующей общей папкой и общими папками Azure можно сохранить списки управления доступом Windows. Если вы планируете применить авторизацию или нет, вы можете использовать файлы Azure для резервного копирования списков управления доступом вместе с данными.
Настройка разрешений на уровне общего доступа
После включения источника удостоверений в учетной записи хранения необходимо выполнить одну из следующих задач, чтобы получить доступ к файловому хранилищу:
- Задайте разрешение уровня общего доступа по умолчанию , которое применяется ко всем прошедшим проверку подлинности пользователям и группам.
- Назначение встроенных ролей Azure RBAC пользователям и группам.
- Настройте пользовательские роли для идентификаторов Entra и делегируйте права доступа к файловым ресурсам в учетной записи хранения.
Назначенное разрешение уровня общего ресурса предоставляет удостоверению доступ только к общей папке и ни к чему другому, даже не к корневому каталогу. Вам по-прежнему необходимо отдельно настроить разрешения на уровне каталога и файлов.
Дополнительные сведения см. в разделе "Назначение разрешений на уровне общего ресурса".
Примечание.
Нельзя назначать разрешения на уровне общего доступа учетным записям компьютеров с помощью Azure RBAC, так как учетные записи компьютеров не могут синхронизироваться с идентификацией в Microsoft Entra ID. Если вы хотите разрешить учетной записи компьютера доступ к общим папкам Azure с помощью проверки подлинности на основе удостоверений, используйте разрешение на уровне общего ресурса по умолчанию или попробуйте использовать учетную запись входа в службу.
Настройка разрешений на уровне каталога и файлов
Файлы Azure применяют стандартные списки управления доступом Windows как на уровне каталога, так и на уровне файлов, включая корневой каталог. Вы можете настроить разрешения уровня каталога или файлов для SMB и REST.
Дополнительные сведения см. в разделе "Настройка разрешений на уровне каталога и файлов".
Сохранение каталогов и ACL файлов при импорте данных в Azure Files
Файлы Azure поддерживают сохранение списков контроля доступа на уровне каталога или файла при копировании данных в файловые хранилища Azure. Списки управления доступом можно копировать в каталоге или файле в файловые хранилища Azure с помощью службы "Синхронизация файлов Azure" или обычных инструментов перемещения файлов. Например, можно использовать robocopy с флагом /copy:s для копирования данных и списков управления доступом в общую папку Azure. Списки управления доступом сохраняются по умолчанию, поэтому для сохранения списков управления доступом не требуется включить проверку подлинности на основе удостоверений в учетной записи хранения.