Поделиться через

Авторизация с помощью идентификатора Microsoft Entra

  • Статья

Служба хранилища Azure обеспечивает интеграцию с идентификатором Microsoft Entra ID для авторизации на основе удостоверений запросов к службам BLOB-объектов, файлов, очередей и таблиц. С помощью идентификатора Microsoft Entra можно использовать управление доступом на основе ролей (RBAC) для предоставления доступа к BLOB-объектам, файлам, очередям и ресурсам таблицы пользователям, группам или приложениям. Вы можете предоставить разрешения, которые относятся к уровню отдельного контейнера, общего доступа, очереди или таблицы.

Дополнительные сведения об интеграции идентификатора Microsoft Entra в службе хранилища Azure см. в статье Авторизация доступа к blob-объектам Azure и очередям с помощьюидентификатора Microsoft Entra.

Дополнительные сведения о преимуществах использования идентификатора Microsoft Entra в приложении см. в интеграции с платформой удостоверений Майкрософт.

Важный

Для оптимальной безопасности корпорация Майкрософт рекомендует использовать идентификатор Microsoft Entra с управляемыми удостоверениями для авторизации запросов к blob-объектам, очередям и табличным данным, когда это возможно. Авторизация с помощью идентификатора Microsoft Entra и управляемых удостоверений обеспечивает более высокую безопасность и удобство использования при авторизации общего ключа. Дополнительные сведения об управляемых удостоверениях см. в статье Что такое управляемые удостоверения для ресурсов Azure.

Для ресурсов, размещенных за пределами Azure, таких как локальные приложения, можно использовать управляемые удостоверения с помощью Azure Arc. Например, приложения, работающие на серверах с поддержкой Azure Arc, могут использовать управляемые удостоверения для подключения к службам Azure. Дополнительные сведения см. в статье Аутентификация ресурсов Azure с помощью серверов с поддержкой Azure Arc.

В сценариях, когда используются подписанные URL-адреса (SAS), корпорация Майкрософт рекомендует использовать SAS делегирования пользователей. SAS делегирования пользователей защищены учетными данными Microsoft Entra вместо ключа учетной записи. Дополнительные сведения о подписанных URL-адресах см. в статье Создание SAS делегирования пользователей.

Использование маркеров доступа OAuth для проверки подлинности

Служба хранилища Azure принимает маркеры доступа OAuth 2.0 из клиента Microsoft Entra, связанного с подпиской, содержащей учетную запись хранения. Служба хранилища Azure принимает маркеры доступа для:

  • Пользователи и группы
  • Субъекты-службы
  • Управляемые удостоверения для ресурсов Azure
  • Приложения, использующие разрешения, делегированные пользователями

Служба хранилища Azure предоставляет одну область делегирования с именем user_impersonation, которая позволяет приложениям выполнять любые действия, разрешенные пользователем.

Чтобы запросить маркеры для службы хранилища Azure, укажите значение https://storage.azure.com/ для идентификатора ресурса. Дополнительные сведения об идентификаторе ресурса см. в разделе области платформы удостоверений Майкрософт, разрешения, & согласие.

Дополнительные сведения о запросе маркеров доступа из идентификатора Microsoft Entra для пользователей и субъектов-служб см. в потоках проверки подлинности и сценариях приложений.

Дополнительные сведения о запросе маркеров доступа для ресурсов, настроенных с помощью управляемых удостоверений, см. в статье Использование управляемых удостоверений для ресурсов Azure на виртуальной машине Azure для получения маркера доступа.

Вызов операций хранения с маркерами OAuth

Чтобы вызвать операции службы BLOB-объектов, файлов, очередей и таблиц с помощью маркеров доступа OAuth, передайте маркер доступа в заголовке авторизации с помощью схемы носителя, и укажите версию службы 2017-11-09 (2022-11-02 для операций с ресурсом файловых и ресурса каталога или ресурса 2024-11-04 для операций с ресурсом FileService и ресурсом FileShare) или более поздней версии. Как показано в следующем примере:

Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate

Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!

Вызов носителя

Вызов носителя является частью протокола OAuth RFC 6750 и используется для обнаружения центра. Для анонимных запросов к службе BLOB-объектов или запросов, выполненных с недопустимым маркером носителя OAuth, сервер вернет код состояния 401 (несанкционированный) с сведениями о поставщике удостоверений и ресурсах. Сведения об использовании этих значений при проверке подлинности с помощью идентификатора Microsoft Entra см. в ссылке.

Службы BLOB-объектов и очередей службы хранилища Azure возвращают вызов носителя для версии 2019-12-12 и более поздних версий. Служба таблиц хранилища Azure возвращает вызов носителя для версии 2020-12-06 и более поздних версий. Azure Data Lake Storage 2-го поколения возвращает вызов носителя для версии 2017-11-09 и более поздних версий. Служба файлов Azure возвращает вызов носителя версии 2022-11-02 и более поздней версии.

Ответы на анонимные запросы на чтение

Если хранилище BLOB-объектов получает анонимный запрос, этот запрос будет выполнен успешно, если выполнены все следующие условия:

  • Анонимный общедоступный доступ разрешен для учетной записи хранения.
  • Контейнер настроен для предоставления анонимного общедоступного доступа.
  • Запрос предназначен для доступа на чтение.

Если любое из этих условий не соответствует действительности, запрос завершится ошибкой. Код ответа от сбоя зависит от того, был ли выполнен анонимный запрос с версией службы, поддерживающей вызов носителя. Задача носителя поддерживается с версиями служб 2019-12-12 и более поздними версиями:

  • Если анонимный запрос был выполнен с версией службы, поддерживающей вызов носителя, служба возвращает код ошибки 401 (несанкционированный).
  • Если анонимный запрос был выполнен с версией службы, которая не поддерживает вызов носителя и анонимный общедоступный доступ запрещен для учетной записи хранения, служба возвращает код ошибки 409 (конфликт).
  • Если анонимный запрос был выполнен с версией службы, которая не поддерживает вызов носителя и анонимный общедоступный доступ разрешен для учетной записи хранения, служба возвращает код ошибки 404 (не найден).

Дополнительные сведения о вызове носителя см. в вызов носителя.

Пример ответа на вызов носителя

Ниже приведен пример ответа на вызов носителя, если запрос клиента не включает маркер носителя в запрос анонимного скачивания BLOB-объектов:

Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net

Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com

<?xml version="1.0" encoding="utf-8"?>
<Error>
    <Code>NoAuthenticationInformation</Code>
    <Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>
Параметр Описание
authorization_uri URI (физическая конечная точка) сервера авторизации. Это значение также используется в качестве ключа подстановки для получения дополнительных сведений о сервере из конечной точки обнаружения. Клиент должен проверить, является ли сервер авторизации доверенным. Если ресурс защищен идентификатором Microsoft Entra, достаточно убедиться, что URL-адрес начинается с https://login.microsoftonline.com или другого имени узла, которое поддерживает идентификатор Microsoft Entra. Ресурс, зависящий от клиента, всегда должен возвращать URI авторизации для конкретного клиента.
resource_id Возвращает уникальный идентификатор ресурса. Клиентское приложение может использовать этот идентификатор в качестве значения параметра ресурса при запросе маркера доступа для ресурса. Важно для клиентского приложения проверить это значение, в противном случае вредоносные службы могут вызвать атаку с повышением привилегий. Рекомендуемая стратегия предотвращения атаки заключается в том, чтобы убедиться, что resource_id соответствует базе URL-адреса веб-API, к которому осуществляется доступ. Идентификатор ресурса службы хранилища Azure https://storage.azure.com.

Управление правами доступа с помощью RBAC

Идентификатор Microsoft Entra обрабатывает авторизацию доступа к защищенным ресурсам через RBAC. С помощью RBAC можно назначать роли пользователям, группам или субъектам-службам. Каждая роль включает набор разрешений для ресурса. После назначения роли пользователю, группе или субъекту-службе у них есть доступ к данному ресурсу. Вы можете назначить права доступа с помощью портала Azure, средств командной строки Azure и API управления Azure. Дополнительные сведения о RBAC см. в статье Начало работы с Role-Basedуправления доступом.

Для службы хранилища Azure можно предоставить доступ к данным в контейнере или очереди в учетной записи хранения. Служба хранилища Azure предлагает следующие встроенные роли RBAC для использования с идентификатором Microsoft Entra:

Дополнительные сведения о том, как определены встроенные роли для службы хранилища Azure, см. в статье Общие сведения об определениях ролей для ресурсов Azure.

Можно также определить пользовательские роли для использования с хранилищем BLOB-объектов и очередями Azure. Дополнительные сведения см. в статье Создание пользовательских ролей для Role-Based управления доступом Azure.

Разрешения для вызова операций с данными

В следующих таблицах описаны разрешения, необходимые для пользователя Microsoft Entra, группы, управляемого удостоверения или субъекта-службы для вызова определенных операций службы хранилища Azure. Чтобы клиент мог вызывать определенную операцию, убедитесь, что назначенная роль RBAC клиента предоставляет достаточные разрешения для этой операции.

Разрешения для операций службы BLOB-объектов

Операция службы BLOB-объектов Действие RBAC
списке контейнеров Microsoft.Storage/storageAccounts/blobServices/container/read (область действия учетной записи хранения или выше)
задать свойства службы BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/write
получение свойств службы BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/read
запрос предварительного большого двоичного объекта Анонимный
получение статистики службы BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/read
получение сведений об учетной записи Не поддерживается
получение ключа делегирования пользователей Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
создание контейнера Microsoft.Storage/storageAccounts/blobServices/container/write
получение свойств контейнера Microsoft.Storage/storageAccounts/blobServices/container/read
получение метаданных контейнера Microsoft.Storage/storageAccounts/blobServices/container/read
задать метаданные контейнера Microsoft.Storage/storageAccounts/blobServices/container/write
получение списка ACL контейнера Не поддерживается
задать списка ACL контейнера Не поддерживается
контейнера аренды Microsoft.Storage/storageAccounts/blobServices/container/write
Удаление контейнера Microsoft.Storage/storageAccounts/blobServices/container/delete
восстановление контейнера Microsoft.Storage/storageAccounts/blobServices/container/write
список больших двоичных объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/read
поиск БОЛЬШИХ двоичных объектов по тегам в контейнере Microsoft.Storage/storageAccounts/blobServices/container/blobs/filter/action
поместить большой двоичный объект Для создания или замены: Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
Создание большого двоичного объекта: Microsoft.Storage/storageAccounts/blobServices/container/blobs/add/action
поместить БОЛЬШОЙ двоичный объект из URL- Для создания или замены: Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
Создание большого двоичного объекта: Microsoft.Storage/storageAccounts/blobServices/container/blobs/add/action
получение большого двоичного объекта Microsoft.Storage/storageAccounts/blobServices/container/blobs/read
получение свойств BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/read
задать свойства BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
получение метаданных BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/read
Задать метаданные BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
получение тегов BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/tags/read
задать теги BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/tags/write
поиск БОЛЬШОго двоичного объекта по тегам Microsoft.Storage/storageAccounts/blobServices/container/blobs/filter/action
аренды BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
моментального снимка BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/write или
Microsoft.Storage/storageAccounts/blobServices/container/blobs/add/action
копирования BLOB-объектов Для целевого BLOB-объекта: Microsoft.Storage/storageAccounts/blobServices/container/blobs/write или Microsoft.Storage/storageAccounts/blobServices/container/blobs/add/action (при записи нового большого двоичного объекта в место назначения)
Исходный большой двоичный объект в той же учетной записи хранения: Microsoft.Storage/storageAccounts/blobServices/container/blobs/read
Для исходного большого двоичного объекта в другой учетной записи хранения: доступно как анонимный или включите допустимый маркер SAS
копирование БОЛЬШОго двоичного объекта из URL- Для целевого BLOB-объекта: Microsoft.Storage/storageAccounts/blobServices/container/blobs/write или Microsoft.Storage/storageAccounts/blobServices/container/blobs/add/action (при записи нового большого двоичного объекта в место назначения)
Исходный большой двоичный объект в той же учетной записи хранения: Microsoft.Storage/storageAccounts/blobServices/container/blobs/read
Для исходного большого двоичного объекта в другой учетной записи хранения: доступно как анонимный или включите допустимый маркер SAS
прерывание копирования BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
Удаление большого двоичного объекта Microsoft.Storage/storageAccounts/blobServices/container/blobs/delete
отмены BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/write
задать уровень BLOB-объектов Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
пакетной пакетной BLOB-объектов Родительский запрос: Microsoft.Storage/storageAccounts/blobServices/container/write
Вложенные запросы: см. разрешения для этого типа запроса.
задать политики неизменяемости Microsoft.Storage/storageAccounts/blobServices/container/blobs/immutableStorage/runAsSuperUserUser/action
Удаление политики неизменяемости Microsoft.Storage/storageAccounts/blobServices/container/blobs/immutableStorage/runAsSuperUserUser/action
задать юридическое удержание БОЛЬШОго двоичного объекта Microsoft.Storage/storageAccounts/blobServices/container/write
поместить блок Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
поместить блок из URL-адреса Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
поместить список блоков Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
получить список блоков Microsoft.Storage/storageAccounts/blobServices/container/blobs/read
содержимое БОЛЬШОго двоичного объекта Microsoft.Storage/storageAccounts/blobServices/container/blobs/read
поставить страницу Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
Поместить страницу из URL-адреса Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
получение диапазонов страниц Microsoft.Storage/storageAccounts/blobServices/container/blobs/read
добавочного копирования BLOB-объектов Для целевого BLOB-объекта: Microsoft.Storage/storageAccounts/blobServices/container/blobs/write
Для исходного BLOB-объекта: Microsoft.Storage/storageAccounts/blobServices/container/blobs/read
Для нового большого двоичного объекта: Microsoft.Storage/storageAccounts/blobServices/container/blobs/add/action
блок добавления Microsoft.Storage/storageAccounts/blobServices/container/blobs/write или Microsoft.Storage/storageAccounts/blobServices/container/blobs/add/action
блок добавления из URL-адреса Microsoft.Storage/storageAccounts/blobServices/container/blobs/write или Microsoft.Storage/storageAccounts/blobServices/container/blobs/add/action
установка срока действия большого двоичного объекта Microsoft.Storage/storageAccounts/blobServices/container/blobs/write

Разрешения для операций службы очередей

Операция службы очередей Действие RBAC
очередей списков Microsoft.Storage/storageAccounts/queueServices/queues/read (область действия учетной записи хранения или выше)
задать свойства службы очередей Microsoft.Storage/storageAccounts/queueServices/read
получение свойств службы очередей Microsoft.Storage/storageAccounts/queueServices/read
запрос очереди предварительной проверки Анонимный
получение статистики службы очередей Microsoft.Storage/storageAccounts/queueServices/read
создание очереди Microsoft.Storage/storageAccounts/queueServices/queues/write
удаление очереди Microsoft.Storage/storageAccounts/queueServices/queues/delete
получения метаданных очереди Microsoft.Storage/storageAccounts/queueServices/queues/queues/read
задать метаданные очереди Microsoft.Storage/storageAccounts/queueServices/queues/write
получение ACL очереди Недоступно через OAuth
задать ACL очереди Недоступно через OAuth
поместить сообщение Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action или Microsoft.Storage/storageAccounts/queueServices/queues/messages/write
получение сообщений Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action или (Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete и Microsoft.Storage/storageAccounts/queueServices/queues/messages/read)
просмотр сообщений Microsoft.Storage/storageAccounts/queueServices/queues/messages/read
удаление сообщения Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action или Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
очистка сообщений Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
обновление сообщения Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

Разрешения для операций службы таблиц

Операция службы таблиц Действие RBAC
задать свойства службы таблиц Microsoft.Storage/storageAccounts/tableServices/write
получение свойств службы таблиц Microsoft.Storage/storageAccounts/tableServices/read
запрос предварительной таблицы Анонимный
получение статистики службы таблиц Microsoft.Storage/storageAccounts/tableServices/read
выполнение транзакций группы сущностей Вложенные операции авторизуются отдельно
таблицы запросов Microsoft.Storage/storageAccounts/tableServices/table/read (область действия учетной записи хранения или выше)
создание таблицы Microsoft.Storage/storageAccounts/tableServices/table/write
удаление таблицы Microsoft.Storage/storageAccounts/tableServices/table/delete
получение таблицы ACL Недоступно через OAuth
задать таблицы ACL Недоступно через OAuth
сущности запросов Microsoft.Storage/storageAccounts/tableServices/table/entities/read
Вставка сущности Microsoft.Storage/storageAccounts/tableServices/tables/entities/write или Microsoft.Storage/storageAccounts/tableServices/tableServices/entities/add/action
вставка или слияние сущностей Microsoft.Storage/storageAccounts/tableServices/table/entities/write или (Microsoft.Storage/storageAccounts/tableServices/tableServices/tables/entities/add/action и Microsoft.Storage/storageAccounts/tableServices/tableServices/entities/update/action)
вставка или замена сущности Microsoft.Storage/storageAccounts/tableServices/table/entities/write или (Microsoft.Storage/storageAccounts/tableServices/tableServices/tables/entities/add/action и Microsoft.Storage/storageAccounts/tableServices/tableServices/entities/update/action)
Обновление сущности Microsoft.Storage/storageAccounts/tableServices/tableServices/tables/entities/write или Microsoft.Storage/storageAccounts/tableServices/tableServices/entities/update/action
сущности слияния Microsoft.Storage/storageAccounts/tableServices/tableServices/tables/entities/write или Microsoft.Storage/storageAccounts/tableServices/tableServices/entities/update/action
удаление сущности Microsoft.Storage/storageAccounts/tableServices/table/entities/delete

Разрешения для операций службы файлов

Операция службы файлов Действие RBAC
получение свойств службы файлов Microsoft.Storage/storageAccounts/fileServices/read
задать свойства службы файлов Microsoft.Storage/storageAccounts/fileServices/write
запрос предварительного файла Анонимный
списков общих папок Microsoft.Storage/storageAccounts/fileServices/shares/read
создание общего ресурса Microsoft.Storage/storageAccounts/fileServices/shares/write
общий ресурс моментальных снимков Microsoft.Storage/storageAccounts/fileServices/shares/write
получение свойств общего ресурса Microsoft.Storage/storageAccounts/fileServices/shares/read
задать свойства общего ресурса Microsoft.Storage/storageAccounts/fileServices/shares/write
получение метаданных общего ресурса Microsoft.Storage/storageAccounts/fileServices/shares/read
задать метаданных общего ресурса Microsoft.Storage/storageAccounts/fileServices/shares/write
удаление общего ресурса Microsoft.Storage/storageAccounts/fileServices/shares/delete
восстановление общей папки Microsoft.Storage/storageAccounts/fileServices/shares/restore/action
получить доступ к ACL Microsoft.Storage/storageAccounts/fileServices/shares/read
задать ACL общего доступа Microsoft.Storage/storageAccounts/fileServices/shares/write
получение статистики общего доступа Microsoft.Storage/storageAccounts/fileServices/shares/read
общий ресурс аренды Microsoft.Storage/storageAccounts/fileServices/shares/lease/action
создание разрешений Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
получения разрешений Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read и Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
каталогов списков и файлов Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read и Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
создание каталога Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
получение свойств каталога Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read и Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
задать свойства каталога Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action, и Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, если x-ms-file-permission или x-ms-file-permission-key включен в заголовок HTTP-запроса.
удаление каталога Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
получение метаданны х каталога Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read и Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
задания метаданных каталога Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
переименовать каталог Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
создание файла Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
получение файла Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read и Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
получения свойств файла Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read и Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
задать свойства файла Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action, и Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, если x-ms-file-permission или x-ms-file-permission-key включен в заголовок HTTP-запроса.
поместить диапазон Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
Поместить диапазон от URL- Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
диапазоны списков Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read и Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
получение метаданных файла Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read и Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
задать метаданные файла Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
удаление файла Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
копирование файла Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action, и Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, если x-ms-file-permission или x-ms-file-permission-key включен в заголовок HTTP-запроса.
файл прерывания копирования Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
дескрипторов списка Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read и Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
принудительное закрытие дескрипторов Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
файл аренды Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
переименовать файл Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write и Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

См. также