Назначение разрешений на уровне общего доступа для файлов Azure

Статья
2024-10-22

Когда вы включите источник Active Directory (AD) в своей учетной записи хранения, вам нужно будет настроить разрешения на уровне общего доступа, чтобы получить доступ к своему файловому хранилищу. Существует два способа назначения разрешений на уровне общего ресурса. Их можно назначить определенным пользователям/группам Microsoft Entra, и их можно назначить всем аутентифицированным идентичностям в качестве разрешения по умолчанию на уровне общего доступа.

Внимание

Полный административный контроль над файловым ресурсом, включая возможность стать владельцем файла, требует использования ключа учетной записи хранения. Полный административный контроль не поддерживается при аутентификации на основе идентификации.

Применяется к

Тип общей папки	малый и средний бизнес	Сетевая файловая система
Стандартные общие папки (GPv2), LRS/ZRS
Стандартные общие папки (GPv2), GRS/GZRS
Премиальные файловые ресурсы (FileStorage), LRS/ZRS

Разрешения на уровне общего доступа в общих папках Azure настраиваются для пользователей, групп или субъектов-служб Microsoft Entra, а разрешения на уровне каталога и файлов применяются с помощью списков управления доступом Windows (ACL). Необходимо назначить разрешения на уровне совместного доступа для удостоверения Microsoft Entra, которое представляет пользователя, группу или служебный принципал, которым должен быть предоставлен доступ. Проверка подлинности и авторизация для учетных записей, которые существуют только в Microsoft Entra ID, таких как управляемые учетные записи Azure (MSIs), не поддерживаются.

Большинство пользователей должны назначать разрешения на уровне общего доступа определенным пользователям или группам Microsoft Entra, а затем использовать списки управления доступом Windows для детального управления доступом на уровне каталогов и файлов. Это самая строгая и безопасная конфигурация.

Существует три сценария, в которых мы вместо этого рекомендуем использовать разрешение на уровне доступа по умолчанию, чтобы предоставить читателю, участнику, повышенному участнику, привилегированному участнику или привилегированному читателю доступ ко всем проверенным удостоверениям.

Если вы не можете синхронизировать локальные доменные службы AD DS с Microsoft Entra ID, вы можете использовать разрешение общего уровня по умолчанию. Назначение разрешения на уровне общего ресурса по умолчанию позволяет обойти требование синхронизации, так как вам не нужно указывать разрешение для удостоверений в идентификаторе Microsoft Entra. Затем можно использовать Windows ACL для детализированного применения разрешений к файлам и каталогам.
- Удостоверения, привязанные к AD, но не синхронизированы с идентификатором Microsoft Entra, также могут использовать разрешение уровня общего доступа по умолчанию. Это может включать автономные управляемые учетные записи служб (sMSA), групповые управляемые учетные записи служб (gMSA) и учетные записи компьютеров.
Локальные службы AD DS, которые вы используете, синхронизируются с другим идентификатором Microsoft Entra, чем тот, в котором развертывается общая папка.
- Это обычно происходит при управлении мультитенантными средами. Использование разрешения на уровне общего ресурса по умолчанию позволяет обойти требование гибридной идентификации Microsoft Entra ID. Вы по-прежнему можете использовать Windows ACL для файлов и каталогов, чтобы обеспечить детализированное применение разрешений.
Вы предпочитаете применять проверку подлинности только с помощью списков управления доступом Windows на уровне файлов и каталогов.

Роли Azure RBAC для файлов Azure

Существует пять встроенных ролей управления доступом на основе ролей (RBAC) для Файлов Azure, некоторые из которых позволяют предоставлять разрешения на уровне доступа к общим ресурсам пользователям и группам. Если вы используете Обозреватель хранилища Azure, вам также потребуется роль Чтение и доступ к данным для чтения и доступа к общему ресурсу Azure.

Примечание.

Поскольку учетные записи компьютеров не имеют идентичности в Microsoft Entra ID, для них нельзя настроить Azure RBAC. Однако учетные записи компьютеров могут получить доступ к общей папке с помощью разрешения уровня общего доступа по умолчанию.

Встроенная роль Azure RBAC	Description
Читатель доступа к файлам данных хранилища через общую папку SMB	Разрешает доступ на чтение файлов и каталогов в общих папках Azure. Эта роль аналогична ACL общей папки для чтения на файловых серверах Windows.
Участник SMB-доступа к данным хранилища	Разрешает доступ на чтение, запись и удаление файлов и каталогов в общих папках Azure.
Участник с повышенными правами для общих данных SMB-ресурса файлового хранилища	Разрешает доступ на чтение, запись, удаление и изменение списков управления доступом для файлов и каталогов в общих папках Azure. Эта роль аналогична ACL общей папки для изменения данных на файловых серверах Windows.
Участник с привилегиями на доступ к данным файла хранилища	Разрешает чтение, запись, удаление и изменение списков управления доступом в общих папках Azure путем переопределения существующих списков управления доступом.
Чтение привилегированных данных файлов из хранилища	Позволяет доступ на чтение в файловых ресурсах Azure, переопределяя существующие ACL.

Если вы планируете использовать конкретного пользователя или группу Microsoft Entra для доступа к ресурсам общей папки Azure, это удостоверение должно быть гибридным, существующим как в локальных AD DS, так и в Microsoft Entra ID. Например, предположим, что у вас есть пользователь в AD как [email protected], и вы синхронизировали его с идентификатором в Microsoft Entra ID как [email protected] с помощью Microsoft Entra Connect Sync или облачной синхронизации Microsoft Entra Connect. Чтобы этот пользователь мог получить доступ к Azure Files, необходимо назначить разрешения на уровне общего ресурса [email protected]. Та же концепция применяется к группам и субъектам-службам.

Внимание

Назначайте разрешения, явно указывая действия и операции с данными, а не используя подстановочный знак (*). Если определение пользовательской роли для действия с данными содержит подстановочный знак, все пользователи и объекты, назначенные этой роли, получают доступ ко всем возможным действиям с данными. Это означает, что всем таким идентификаторам автоматически будет предоставлен доступ к любому новому действию с данными, добавленному на платформу. Дополнительные доступ и разрешения, предоставляемые через новые действия или действия с данными, могут быть нежелательными для клиентов, использующих подстановочные знаки.

Чтобы разрешения на уровне общего доступа работали, необходимо выполнить следующие действия:

Если источником AD является AD DS или Microsoft Entra Kerberos, необходимо синхронизировать пользователей и группы из локального AD с идентификатором Microsoft Entra Entra ID с помощью локального приложения Microsoft Entra Connect Sync или облачной синхронизации Microsoft Entra Connect, упрощенного агента, который можно установить из Центра администрирования Microsoft Entra.
Добавьте синхронизированные группы AD в роль RBAC, чтобы они могли получить доступ к учетной записи хранения.

Совет

Необязательно: клиенты, которые хотят перенести разрешения уровня общего доступа сервера SMB на разрешения RBAC, могут использовать командлет PowerShell Move-OnPremSharePermissionsToAzureFileShare для переноса разрешений на каталоги и файлы из локальной среды в Azure. Этот cmdlet оценивает группы определённой локальной файловой папки, а затем записывает соответствующих пользователей и группы на файловую папку Azure с помощью трёх ролей RBAC. Вы предоставляете сведения о локальной общей папке и файловом ресурсе Azure при вызове командлета.

Вы можете использовать портал Azure, Azure PowerShell или Azure CLI для назначения встроенных ролей удостоверению Microsoft Entra пользователя для предоставления разрешений на уровне общего доступа.

Внимание

Разрешения на уровне доступа к общим ресурсам вступят в силу в течение трех часов после завершения. Не забудьте дождаться синхронизации разрешений перед подключением к общей папке с помощью учетных данных.

Чтобы назначить роль Azure удостоверению Microsoft Entra, используя портал Azure, выполните следующие действия.

В портал Azure перейдите в общую папку или создайте общую папку SMB.
Выберите Управление доступом (IAM).
Выберите Добавить назначение роли
В колонке Добавление назначения роли выберите соответствующую встроенную роль из списка Роль.
Оставьте Назначьте доступ на значение по умолчанию: пользователь, группа или учетная запись службы Microsoft Entra. Выберите целевую учетную запись Microsoft Entra по имени или адресу электронной почты. Выбранное удостоверение Microsoft Entra должно быть гибридным удостоверением и не может быть единственным облачным удостоверением. Это означает, что то же удостоверение также представлено в AD DS.
Нажмите кнопку Сохранить, чтобы завершить операцию назначения ролей.

В следующем примере PowerShell показано, как назначить роль Azure для учетной записи Microsoft Entra, используя имя входа. Дополнительные сведения о назначении ролей Azure с помощью PowerShell см. в разделе Добавление и удаление назначений ролей Azure с помощью модуля Azure PowerShell.

Перед запуском следующего примера сценария замените значения заполнителей, включая скобки, своими значениями.

#Get the name of the custom role
$FileShareContributorRole = Get-AzRoleDefinition "<role-name>" #Use one of the built-in roles: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor
#Constrain the scope to the target file share
$scope = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"
#Assign the custom role to the target identity with the specified scope.
New-AzRoleAssignment -SignInName <user-principal-name> -RoleDefinitionName $FileShareContributorRole.Name -Scope $scope

Следующая команда CLI назначает роль Azure удостоверению Microsoft Entra на основе имени входа. Дополнительные сведения о назначении ролей Azure с помощью Azure CLI см. в разделе Добавление и удаление назначений ролей Azure с помощью Azure CLI.

Перед запуском следующего примера сценария не забудьте заменить значения заполнителей, включая скобки, на свои значения.

#Assign the built-in role to the target identity: Storage File Data SMB Share Reader, Storage File Data SMB Share Contributor, Storage File Data SMB Share Elevated Contributor, Storage File Data Privileged Contributor, Storage File Data Privileged Reader
az role assignment create --role "<role-name>" --assignee <user-principal-name> --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/fileServices/default/fileshares/<share-name>"

Вместо настройки разрешений на уровне общего ресурса для пользователей или групп Microsoft Entra, вы можете добавить разрешение на уровне общего доступа по умолчанию для вашей учетной записи хранения. Разрешения на уровне общей папки по умолчанию, назначенные вашей учетной записи хранения, применяются ко всем общим папкам, содержащимся в учетной записи хранения.

Если задано разрешение уровня доступа к общей ресурсу по умолчанию, все аутентифицированные пользователи и группы будут иметь одно и то же разрешение. Прошедшие проверку подлинности пользователи или группы идентифицируются, поскольку удостоверение может пройти проверку подлинности в локальных AD DS, с которыми связана учетная запись хранения. Разрешение уровня общего доступа по умолчанию имеет значение None при инициализации, что означает, что доступ к файлам или каталогам в общей папке Azure не разрешен.

Чтобы настроить разрешения на уровне общего ресурса по умолчанию для учетной записи хранения, выполните следующие действия, используя портал Azure.

В портале Azure перейдите в учетную запись хранения, содержащую ваши файловые ресурсы, и выберите Хранилище данных > Файловые ресурсы.
Перед назначением разрешений на уровне общего ресурса необходимо включить источник Active Directory (AD) в учетной записи хранения. Если вы уже сделали это, выберите Active Directory и перейдите к следующему шагу. В противном случае выберите Active Directory: Не настроено, выберите Настроить в нужном источнике AD и включите источник AD.
После включения источника AD шаг 2. Настройка разрешений на уровне общего ресурса будет доступна для настройки. Выберите "Включить разрешения" для всех пользователей и групп, прошедших проверку подлинности.
Выберите соответствующую роль, чтобы она использовалась в качестве разрешения по умолчанию для общего ресурса из выпадающего списка.
Выберите Сохранить.

Вы можете использовать следующий скрипт для настройки разрешений на уровне общего доступа по умолчанию в учетной записи хранения. Разрешение на уровне общего доступа по умолчанию можно включить только в учетных записях хранения, которые связаны со службой каталогов для аутентификации с помощью Azure Files.

Перед выполнением следующего скрипта убедитесь, что используется модуль Az.Storage версии 3.7.0 или более поздней. Мы рекомендуем обновить до последней версии.

$defaultPermission = "None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

$account = Set-AzStorageAccount -ResourceGroupName "<resource-group-name-here>" -AccountName "<storage-account-name-here>" -DefaultSharePermission $defaultPermission

$account.AzureFilesIdentityBasedAuth

Для настройки разрешений на уровне общего доступа по умолчанию в учетной записи хранения можно использовать следующий скрипт. Разрешение уровня общего доступа по умолчанию можно включить только в учетных записях хранения, связанных со службой каталогов для проверки подлинности Azure Files.

Перед выполнением следующего скрипта убедитесь, что используется Azure CLI версии 2.24.1 или более поздней.

# Declare variables
storageAccountName="YourStorageAccountName"
resourceGroupName="YourResourceGroupName"
defaultPermission="None|StorageFileDataSmbShareContributor|StorageFileDataSmbShareReader|StorageFileDataSmbShareElevatedContributor" # Set the default permission of your choice

az storage account update --name $storageAccountName --resource-group $resourceGroupName --default-share-permission $defaultPermission

Что происходит при использовании обеих конфигураций

Вы также можете назначить разрешения всем пользователям Microsoft Entra, прошедшим проверку подлинности, и конкретным пользователям или группам Microsoft Entra. С этой конфигурацией определённый пользователь или группа будет иметь более высокий уровень разрешений из разрешений на уровне общего доступа или назначенного уровня RBAC. Иными словами, предположим, что вы предоставили пользователю роль читателя SMB данных файлов хранилища на целевой файловый ресурс. Вы также предоставили разрешение уровня доступа по умолчанию Повышенный участник для общего доступа SMB данных файлов хранилища всем аутентифицированным пользователям. В этой конфигурации у конкретного пользователя будет уровень доступа Повышенный участник для SMB-ресурсов хранения файлов к общей папке. Разрешения более высокого уровня всегда имеют приоритет.

Следующий шаг

Теперь, когда вы назначили разрешения на уровне общего ресурса, можно настроить разрешения на уровне каталога и файлов. Помните, что разрешения на уровне общего доступа могут занять до трех часов, чтобы ввести в силу.

Поделиться через

Назначение разрешений на уровне файлового ресурса для файловых ресурсов Azure

Применяется к

Выбор способа назначения разрешений на уровне общего ресурса

Роли Azure RBAC для файлов Azure

Разрешения на уровне общего доступа для определенных пользователей или групп Microsoft Entra

Разрешения на уровне общей папки для всех удостоверений, прошедших проверку подлинности

Что происходит при использовании обеих конфигураций

Следующий шаг

Обратная связь

Дополнительные ресурсы