Выбор и настройка подходящего метода для доступа к службе "Файлы Azure"

Завершено

При доступе к данным файлов с помощью портала Azure , портал выполняет запросы к файлам Azure в фоновом режиме. Эти запросы можно авторизовать с помощью учетной записи Microsoft Entra или ключа доступа к учетной записи хранения. Портал указывает, какой метод вы используете, и позволяет переключаться между двумя, если у вас есть соответствующие разрешения. Корпорация Майкрософт рекомендует использовать проверку подлинности идентификатора Microsoft Entra, если это возможно для повышения безопасности и централизованного управления удостоверениями.

Вы также можете указать, как авторизовать отдельную файловую операцию совместного доступа на портале Azure. По умолчанию портал использует любой метод, который вы уже используете для авторизации всех общих папок, но у вас есть возможность изменить этот параметр для отдельных файловых ресурсов.

Разрешения, необходимые для доступа к данным файла

В зависимости от способа авторизации доступа к данным файлов на портале Azure потребуются определенные разрешения. В большинстве случаев эти разрешения предоставляются с помощью управления доступом на основе ролей Azure (Azure RBAC).

Использование учетной записи Microsoft Entra

Чтобы получить доступ к данным файлов на портале Azure с помощью учетной записи Microsoft Entra, оба из следующих утверждений должны выполняться:

  • Вы назначаете встроенную или пользовательскую роль, которая предоставляет доступ к данным файла.
  • Вам назначена роль Читателя в Azure Resource Manager, как минимум на уровне учетной записи хранения или выше. Роль чтения предоставляет самые ограниченные разрешения, но другая роль Azure Resource Manager, которая предоставляет доступ к ресурсам управления учетными записями хранения, также приемлема.

Роль читателя Azure Resource Manager позволяет пользователям просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в службе хранилища Azure, а только для ресурсов управления учетными записями. Роль читателя необходима, чтобы пользователи могли перейти к общим папкам на портале Azure.

Azure предоставляет встроенные роли, имеющие необходимые разрешения для доступа к данным файлов с помощью OAuth (проверка подлинности Идентификатора Microsoft Entra):

Роль привилегированного участника для данных файлов хранилища обладает полномочиями на чтение, запись, удаление и изменение разрешений ACL/NTFS для файлов и каталогов в файловых хранилищах Azure. Обратите внимание, что изменение разрешений ACL/NTFS в настоящее время не поддерживается через портал Azure и должно выполняться с помощью других средств, таких как PowerShell или Azure CLI.

Пользовательские роли могут поддерживать различные сочетания одинаковых разрешений, предоставляемых встроенными ролями. Дополнительные сведения о создании пользовательских ролей Azure см. в Azure custom roles и Понимание определений ролей для ресурсов Azure.

Использование ключа доступа к учетной записи хранения

Чтобы получить доступ к данным файла с ключом доступа к учетной записи хранения, вам должна быть назначена роль Azure, которая включает действие Azure RBAC Microsoft.Storage/storageAccounts/listkeys/action. Эта роль Azure может быть встроенной или пользовательской.

Замечание

Использование ключей доступа к учетной записи хранения обеспечивает полный доступ к учетной записи хранения и следует избегать, когда это возможно. Проверка подлинности идентификатора Microsoft Entra обеспечивает более детализированный контроль доступа и лучше соответствует принципам безопасности нулевого доверия.

Встроенные роли, поддерживающие Microsoft.Storage/storageAccounts/listkeys/action, включают следующие и перечислены в порядке от наименьших к наибольшим прав:

При попытке получить доступ к данным файлов в портале Azure сначала проверяется, назначена ли вам роль с Microsoft.Storage/storageAccounts/listkeys/action. Если вам назначена роль, включающая это действие, портал использует ключ учетной записи хранения для доступа к данным файла. Если вам не была назначена роль для этого действия, портал пытается получить доступ к данным с помощью учетной записи Microsoft Entra.

Если учетная запись хранения заблокирована с помощью блокировки ReadOnly Azure Resource Manager, операция списк ов ключей списка не разрешена для этой учетной записи хранения. Ключи списка — это операция POST, и все операции POST запрещены, когда для учетной записи настроена блокировка ReadOnly. По этой причине, если учетная запись заблокирована с помощью блокировки ReadOnly, пользователи должны использовать учетные данные Microsoft Entra для доступа к данным файлов на портале.

Роли администратора классической подписки администратора службы и совместного администратора включают эквивалент роли владельца Azure Resource Manager. Роль владельца включает все действия, включая Microsoft.Storage/storageAccounts/listkeys/action, поэтому пользователь с одной из этих административных ролей также может получить доступ к данным файла с помощью ключа учетной записи хранения.

Укажите, как авторизовать операции с определенной общей папкой

Вы можете изменить метод проверки подлинности для отдельных общих папок. По умолчанию портал использует текущий метод проверки подлинности. Чтобы определить текущий метод проверки подлинности, выполните следующие действия.

  1. Перейдите к учетной записи хранения на портале Azure и выберите Хранилище данных>Файловые ресурсы в левом меню навигации.

  2. Выберите общую папку.

  3. Выберите Обзор.

  4. Способ аутентификации указывает, используете ли вы ключ доступа к учетной записи хранения или учетную запись Microsoft Entra для аутентификации и авторизации операций с общими файловыми ресурсами. Если вы выполняете проверку подлинности с помощью ключа доступа к учетной записи хранения, вы увидите ключ доступа, указанный в качестве метода проверки подлинности, как показано на следующем рисунке. Если вы выполняете аутентификацию с помощью учетной записи Microsoft Entra , вместо этого вы увидите учетную запись пользователя Microsoft Entra.

    снимок экрана: страница ключа доступа к методу проверки подлинности.

Проверка подлинности с помощью учетной записи Microsoft Entra

Чтобы переключиться на использование учетной записи Microsoft Entra, выберите ссылку, выделенную на изображении, в котором говорится, что переключитесь на учетную запись пользователя Microsoft Entra. Если у вас есть соответствующие разрешения с помощью ролей Azure, назначенных вам, вы сможете продолжить работу. Однако если у вас нет необходимых разрешений, появится сообщение об ошибке, которое у вас нет разрешений на перечисление данных с помощью учетной записи пользователя с идентификатором Microsoft Entra.

Для использования учетной записи Microsoft Entra требуются два дополнительных разрешения RBAC:

  • Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
  • Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Проверка подлинности с помощью ключа доступа к учетной записи хранения

Чтобы переключиться на использование ключа доступа к учетной записи, выберите "Переключиться на ключ доступа". Если у вас есть доступ к ключу учетной записи хранения, вы сможете продолжить. Однако если у вас нет доступа к ключу учетной записи, появится сообщение об ошибке, которое у вас нет разрешений на использование ключа доступа для перечисления данных.

По умолчанию авторизация Microsoft Entra на портале Azure

При создании новой учетной записи хранения можно указать, что портал Azure по умолчанию будет авторизовываться с помощью Microsoft Entra ID, когда пользователь переходит к данным файла. Этот параметр также можно настроить для существующей учетной записи хранения. Этот параметр задает только метод авторизации по умолчанию. Помните, что пользователь может переопределить этот параметр и разрешить доступ к данным с помощью ключа учетной записи хранения.

{! ПРИМЕЧАНИЕ] Включите этот параметр, чтобы пользователи могли проходить проверку подлинности с помощью идентификатора Microsoft Entra ID по умолчанию, уменьшая зависимость от ключей учетной записи хранения и повышая общую позицию безопасности.

Чтобы указать, что портал будет использовать авторизацию Microsoft Entra по умолчанию для доступа к данным при создании учетной записи хранения, выполните следующие действия.

  1. Создайте новую учетную запись для хранения, следуя инструкциям в Создание учетной записи для хранения.
  2. На вкладке "Дополнительные" в разделе "Безопасность" установите флажок "Авторизация Microsoft Entra по умолчанию на портале Azure".
  3. Выберите Проверить и создать, чтобы выполнить проверку и создать учетную запись хранения.

Чтобы обновить этот параметр для существующей учетной записи хранения, выполните следующие действия.

  1. Перейдите к обзору учетной записи хранения на портале Azure.

  2. В разделе Параметрывыберите Конфигурация.

    снимок экрана: страница создания учетной записи проверки подлинности по умолчанию.

  3. Задайте по умолчанию авторизации Microsoft Entra на портале Azure значение Включено.

Рекомендации по безопасности для доступа к файлам Azure

При настройке доступа к файлам Azure следуйте приведенным ниже рекомендациям по безопасности.

  • Предпочитайте проверку подлинности на основе удостоверений: когда это возможно, всегда используйте проверку подлинности с идентификатором Microsoft Entra по сравнению с ключами учетной записи хранения. Это обеспечивает более подробный контроль доступа и интеграцию с политиками условного доступа.
  • Используйте соответствующие роли RBAC: назначьте наиболее ограничивающую роль, которая соответствует требованиям пользователей. Используйте привилегированного читателя данных файлов хранилища для получения доступа только для чтения, а не более разрешительных ролей.
  • Включите авторизацию Microsoft Entra по умолчанию: настройте учетные записи хранения для проверки подлинности идентификатора Microsoft Entra на портале, чтобы уменьшить случайное использование ключей учетных записей.
  • Использование управляемых удостоверений. Для приложений, работающих в Azure, используйте управляемые удостоверения для доступа к файлам Azure без хранения учетных данных.
  • Реализация условного доступа. Используйте политики условного доступа Microsoft Entra для применения дополнительных требований, таких как многофакторная проверка подлинности или соответствие устройств для доступа к файлам.
  • Мониторинг доступа. Регулярно просматривайте журналы Azure Monitor, чтобы отслеживать, кто обращается к общим папкам и выявляет любые попытки несанкционированного доступа.
  • Рекомендуется отключить общий ключ. Если все сценарии поддерживают проверку подлинности на основе удостоверений, рассмотрите возможность отключения авторизации общего ключа на уровне учетной записи хранения, чтобы предотвратить его использование полностью.