Wybieranie sposobu autoryzacji dostępu do danych plików w witrynie Azure Portal
Podczas uzyskiwania dostępu do danych plików przy użyciu witryny Azure Portal portal wysyła żądania do usługi Azure Files w tle. Żądania te mogą być autoryzowane przy użyciu konta usługi Microsoft Entra lub klucza dostępu do konta magazynu. Portal wskazuje używaną metodę i umożliwia przełączanie się między nimi, jeśli masz odpowiednie uprawnienia.
Ważne
Uzyskiwanie dostępu do udziału plików przy użyciu kluczy konta magazynu wiąże się z nieodłącznymi zagrożeniami bezpieczeństwa, dlatego uwierzytelnij się w usłudze Microsoft Entra, jeśli jest to możliwe. Aby uzyskać informacje na temat ochrony kluczy i zarządzania nimi, zobacz Zarządzanie kluczami dostępu do konta magazynu.
Możesz również określić, jak autoryzować pojedynczą operację udziału plików w witrynie Azure Portal. Domyślnie portal używa dowolnej metody, której już używasz do autoryzowania wszystkich udziałów plików, ale istnieje możliwość zmiany tego ustawienia dla poszczególnych udziałów plików.
Uprawnienia wymagane do uzyskiwania dostępu do danych plików
W zależności od tego, jak chcesz autoryzować dostęp do danych plików w witrynie Azure Portal, musisz mieć określone uprawnienia. W większości przypadków te uprawnienia są udostępniane za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure.
Korzystanie z konta Microsoft Entra
Aby uzyskać dostęp do danych plików z witryny Azure Portal przy użyciu konta usługi Microsoft Entra, obie następujące instrukcje muszą przyjmować wartość prawda:
- Masz przypisaną wbudowaną lub niestandardową rolę, która zapewnia dostęp do danych plików.
- Przypisano rolę Czytelnik usługi Azure Resource Manager z zakresem obejmującym poziom konta magazynu lub wyższym. Rola Czytelnik przyznaje najbardziej ograniczone uprawnienia, ale inna rola Azure Resource Manager, która przyznaje dostęp do zasobów zarządzania kontami magazynu, jest również akceptowalna.
Rola Czytelnik usługi Azure Resource Manager umożliwia użytkownikom wyświetlanie zasobów konta magazynu, ale nie ich modyfikowanie. Nie zapewnia uprawnień do odczytu danych w usłudze Azure Storage, ale tylko do zasobów zarządzania kontami. Rola Czytelnik jest niezbędna, aby użytkownicy mogli przechodzić do udziałów plików w witrynie Azure Portal.
Istnieją dwie nowe wbudowane role, które mają wymagane uprawnienia dostępu do danych plików za pomocą protokołu OAuth:
Aby uzyskać informacje na temat wbudowanych ról, które obsługują dostęp do danych plików, zobacz Uzyskiwanie dostępu do udziałów plików platformy Azure przy użyciu identyfikatora Entra firmy Microsoft za pomocą protokołu OAuth usługi Azure Files za pośrednictwem interfejsu REST.
Uwaga
Rola współautora danych plików magazynu ma uprawnienia do odczytu, zapisu, usuwania i modyfikowania list ACL/NTFS w plikach/katalogach w udziałach plików platformy Azure. Modyfikowanie list ACL/NTFS nie jest obsługiwane za pośrednictwem witryny Azure Portal.
Role niestandardowe mogą obsługiwać różne kombinacje tych samych uprawnień udostępnianych przez wbudowane role. Aby uzyskać więcej informacji na temat tworzenia ról niestandardowych platformy Azure, zobacz Role niestandardowe platformy Azure i Omówienie definicji ról dla zasobów platformy Azure.
Używanie klucza dostępu do konta magazynu
Aby uzyskać dostęp do danych plików przy użyciu klucza dostępu do konta magazynu, musisz mieć przypisaną rolę platformy Azure, która obejmuje akcję uprawnień kontroli dostępu na podstawie ról (RBAC) Microsoft.Storage/storageAccounts/listkeys/action. Ta rola platformy Azure może być rolą wbudowaną lub rolą niestandardową. Role wbudowane, które obsługują usługę Microsoft.Storage/storageAccounts/listkeys/action, obejmują następujące elementy wymienione w kolejności uprawnień od najmniejszych do największych:
- Rola Czytelnik i Dostęp do danych
- Rola współautora konta magazynu
- Rola współautora w usłudze Azure Resource Manager
- Rola właściciela w usłudze Azure Resource Manager
Podczas próby uzyskania dostępu do danych plików w witrynie Azure Portal portal najpierw sprawdza, czy przypisano ci rolę za pomocą polecenia Microsoft.Storage/storageAccounts/listkeys/action. Jeśli przypisano rolę za pomocą tej akcji, portal używa klucza konta magazynu do uzyskiwania dostępu do danych plików. Jeśli nie przypisano ci roli z tą akcją, portal próbuje uzyskać dostęp do danych przy użyciu konta Microsoft Entra.
Ważne
Gdy konto magazynu jest zablokowane za pomocą blokady readOnly usługi Azure Resource Manager, operacja Klucze listy nie jest dozwolona dla tego konta magazynu. Klucze listy to operacja POST, a wszystkie operacje POST są blokowane, gdy dla konta skonfigurowano blokadę ReadOnly . Z tego powodu, gdy konto jest zablokowane za pomocą blokady ReadOnly , użytkownicy muszą używać poświadczeń firmy Microsoft Entra w celu uzyskania dostępu do danych plików w portalu. Aby uzyskać informacje na temat uzyskiwania dostępu do danych plików w witrynie Azure Portal przy użyciu identyfikatora Entra firmy Microsoft, zobacz Use your Microsoft Entra account (Korzystanie z konta Microsoft Entra).
Uwaga
Role klasycznego administratora subskrypcji Administrator usługi i Współadministrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel obejmuje wszystkie akcje, w tym Microsoft.Storage/storageAccounts/listkeys/action, dzięki czemu użytkownik z jedną z tych ról administracyjnych może również uzyskiwać dostęp do danych plików przy użyciu klucza konta magazynu. Aby uzyskać więcej informacji, zobacz Role platformy Azure, Role firmy Microsoft Entra i klasyczne role administratora subskrypcji.
Określanie sposobu autoryzacji operacji w określonym udziale plików
Możesz zmienić metodę uwierzytelniania dla poszczególnych udziałów plików. Domyślnie portal używa bieżącej metody uwierzytelniania. Aby określić bieżącą metodę uwierzytelniania, wykonaj następujące kroki.
- W witrynie Azure Portal przejdź do swojego konta magazynu.
- W menu usługi w obszarze Magazyn danych wybierz pozycję Udziały plików.
- Wybierz udział plików.
- Wybierz przycisk Przeglądaj.
- Metoda uwierzytelniania wskazuje, czy obecnie używasz klucza dostępu konta magazynu, czy konta Microsoft Entra do uwierzytelniania i autoryzacji operacji udziału plików. Jeśli obecnie uwierzytelniasz się przy użyciu klucza dostępu do konta magazynu, zobaczysz klucz dostępu określony jako metoda uwierzytelniania, jak pokazano na poniższej ilustracji. Jeśli uwierzytelniasz się przy użyciu konta Microsoft Entra, zobaczysz zamiast tego określone konto użytkownika Microsoft Entra.
Uwierzytelnianie przy użyciu konta Microsoft Entra
Aby przełączyć się na korzystanie z konta Microsoft Entra, wybierz link wyróżniony na obrazie z komunikatem Przełącz na konto użytkownika Microsoft Entra. Jeśli masz odpowiednie uprawnienia za pośrednictwem przypisanych do Ciebie ról platformy Azure, możesz kontynuować. Jeśli jednak nie masz niezbędnych uprawnień, zobaczysz komunikat o błędzie, że nie masz uprawnień do wyświetlania listy danych przy użyciu konta użytkownika z identyfikatorem Microsoft Entra.
Do korzystania z konta Microsoft Entra wymagane są dwa dodatkowe uprawnienia RBAC:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
Na liście nie będą wyświetlane żadne udziały plików, jeśli twoje konto Microsoft Entra nie ma uprawnień do ich wyświetlania.
Uwierzytelnianie przy użyciu klucza dostępu konta magazynu
Aby przełączyć się na używanie klucza dostępu do konta, wybierz link z komunikatem Przełącz do klucza dostępu. Jeśli masz dostęp do klucza konta magazynu, możesz kontynuować. Jeśli jednak nie masz dostępu do klucza konta, zobaczysz komunikat o błędzie, że nie masz uprawnień do używania klucza dostępu do wyświetlania listy danych.
Na liście nie są wyświetlane żadne udziały plików, jeśli nie masz dostępu do klucza dostępu do konta magazynu.
Domyślna wartość autoryzacji microsoft Entra w witrynie Azure Portal
Podczas tworzenia nowego konta magazynu można określić, że w witrynie Azure Portal będzie domyślnie autoryzacja z identyfikatorem Microsoft Entra ID, gdy użytkownik przejdzie do danych plików. To ustawienie można również skonfigurować dla istniejącego konta magazynu. To ustawienie określa tylko domyślną metodę autoryzacji. Należy pamiętać, że użytkownik może zastąpić to ustawienie i wybrać autoryzowanie dostępu do danych przy użyciu klucza konta magazynu.
Aby określić, że portal będzie domyślnie używać autoryzacji firmy Microsoft Entra do uzyskiwania dostępu do danych podczas tworzenia konta magazynu, wykonaj następujące kroki:
Utwórz nowe konto magazynu, postępując zgodnie z instrukcjami w temacie Tworzenie konta magazynu.
Na karcie Zaawansowane w sekcji Zabezpieczenia zaznacz pole wyboru obok pozycji Domyślne do autoryzacji Microsoft Entra w witrynie Azure Portal.
Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację i utworzyć konto magazynu.
Aby zaktualizować to ustawienie dla istniejącego konta magazynu, wykonaj następujące kroki:
- Przejdź do przeglądu konta magazynu w witrynie Azure Portal.
- W obszarze Ustawienia wybierz pozycję Konfiguracja.
- Ustaw wartość Domyślna na wartość Autoryzacja entra firmy Microsoft w witrynie Azure Portal na wartość Włączone.