Autoryzowanie za pomocą identyfikatora Entra firmy Microsoft
Usługa Azure Storage zapewnia integrację z usługami Microsoft Entra ID na potrzeby autoryzacji opartej na tożsamościach żądań do usług obiektów blob, plików, kolejek i tabel. Za pomocą identyfikatora Entra firmy Microsoft możesz użyć kontroli dostępu opartej na rolach (RBAC) w celu udzielenia dostępu do zasobów obiektów blob, plików, kolejek i tabel użytkownikom, grupom lub aplikacjom. Możesz przyznać uprawnienia, które są ograniczone do poziomu pojedynczego kontenera, udziału, kolejki lub tabeli.
Aby dowiedzieć się więcej na temat integracji identyfikatora Entra firmy Microsoft w usłudze Azure Storage, zobacz Autoryzowanie dostępu do obiektów blob i kolejek platformy Azure przy użyciuidentyfikatora Entra firmy Microsoft.
Aby uzyskać więcej informacji na temat zalet korzystania z identyfikatora Entra firmy Microsoft w aplikacji, zobacz Integrowanie z platformą tożsamości firmy Microsoft.
Ważny
Aby uzyskać optymalne zabezpieczenia, firma Microsoft zaleca używanie identyfikatora Entra firmy Microsoft z tożsamościami zarządzanymi w celu autoryzowania żądań względem danych obiektów blob, kolejek i tabel, jeśli to możliwe. Autoryzacja przy użyciu identyfikatora Entra firmy Microsoft i tożsamości zarządzanych zapewnia doskonałe zabezpieczenia i łatwość użycia w przypadku autoryzacji klucza współdzielonego. Aby dowiedzieć się więcej o tożsamościach zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure.
W przypadku zasobów hostowanych poza platformą Azure, takich jak aplikacje lokalne, można używać tożsamości zarządzanych za pośrednictwem usługi Azure Arc. Na przykład aplikacje uruchomione na serwerach z obsługą usługi Azure Arc mogą używać tożsamości zarządzanych do łączenia się z usługami platformy Azure. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie w odniesieniu do zasobów platformy Azure przy użyciu serwerów z obsługą usługi Azure Arc.
W przypadku scenariuszy, w których są używane sygnatury dostępu współdzielonego (SAS), firma Microsoft zaleca używanie sygnatury dostępu współdzielonego delegowania użytkowników. Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu poświadczeń usługi Microsoft Entra zamiast klucza konta. Aby dowiedzieć się więcej o sygnaturach dostępu współdzielonego, zobacz Tworzenie sygnatur dostępu współdzielonego delegowania użytkownika.
Używanie tokenów dostępu OAuth do uwierzytelniania
Usługa Azure Storage akceptuje tokeny dostępu OAuth 2.0 z dzierżawy microsoft Entra skojarzonej z subskrypcją zawierającą konto magazynu. Usługa Azure Storage akceptuje tokeny dostępu dla:
- Użytkownicy i grupy
- Jednostki usługi
- Tożsamości zarządzane dla zasobów platformy Azure
- Aplikacje korzystające z uprawnień delegowanych przez użytkowników
Usługa Azure Storage uwidacznia pojedynczy zakres delegowania o nazwie user_impersonation
, który umożliwia aplikacjom podejmowanie jakichkolwiek działań dozwolonych przez użytkownika.
Aby zażądać tokenów dla usługi Azure Storage, określ wartość https://storage.azure.com/
identyfikatora zasobu. Aby uzyskać więcej informacji na temat identyfikatora zasobu, zobacz zakresy platformy tożsamości firmy Microsoft, uprawnienia, & zgoda.
Aby uzyskać więcej informacji na temat żądania tokenów dostępu z identyfikatora Entra firmy Microsoft dla użytkowników i jednostek usługi, zobacz Przepływy uwierzytelniania i scenariusze aplikacji.
Aby uzyskać więcej informacji na temat żądania tokenów dostępu dla zasobów skonfigurowanych za pomocą tożsamości zarządzanych, zobacz Jak używać tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej platformy Azure w celu uzyskania tokenu dostępu.
Wywoływanie operacji magazynowania przy użyciu tokenów OAuth
Aby wywołać operacje obiektów blob, plików, kolejek i tabel przy użyciu tokenów dostępu OAuth, przekaż token dostępu w nagłówku autoryzacji
Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate
Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!
Wyzwanie elementu nośnego
Wyzwanie elementu nośnego jest częścią protokołu OAuth RFC 6750 i jest używane do odnajdywania urzędu. W przypadku żądań anonimowych do usługi Blob Lub żądań wysyłanych przy użyciu nieprawidłowego tokenu elementu nośnego OAuth serwer zwróci kod stanu 401 (Brak autoryzacji) z dostawcą tożsamości i informacjami o zasobie. Zapoznaj się z linkiem , aby dowiedzieć się, jak używać tych wartości podczas uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft.
Usługi Azure Storage Blob i Queue zwracają wyzwanie elementu nośnego dla wersji 2019-12-12 i nowszych. Usługa Azure Storage Table service zwraca wyzwanie elementu nośnego dla wersji 2020-12-06 i nowszych. Usługa Azure Data Lake Storage Gen2 zwraca wyzwanie elementu nośnego dla wersji 2017-11-09 i nowszych. Usługa Azure File zwraca wyzwanie elementu nośnego z wersji 2022-11-02 i nowszych.
Odpowiedzi na anonimowe żądania odczytu
Gdy usługa Blob Storage odbiera anonimowe żądanie, żądanie to powiedzie się, jeśli spełnione są wszystkie następujące warunki:
- Anonimowy dostęp publiczny jest dozwolony dla konta magazynu.
- Kontener jest skonfigurowany do zezwalania na anonimowy dostęp publiczny.
- Żądanie dotyczy dostępu do odczytu.
Jeśli którykolwiek z tych warunków nie jest spełniony, żądanie zakończy się niepowodzeniem. Kod odpowiedzi po niepowodzeniu zależy od tego, czy żądanie anonimowe zostało wykonane z wersją usługi, która obsługuje wyzwanie elementu nośnego. Wyzwanie elementu nośnego jest obsługiwane w przypadku wersji usługi 2019-12-12 i nowszych:
- Jeśli żądanie anonimowe zostało wykonane z wersją usługi, która obsługuje wyzwanie elementu nośnego, usługa zwraca kod błędu 401 (Brak autoryzacji).
- Jeśli żądanie anonimowe zostało wykonane z wersją usługi, która nie obsługuje żądania elementu nośnego, a anonimowy dostęp publiczny jest niedozwolony dla konta magazynu, usługa zwraca kod błędu 409 (Konflikt).
- Jeśli żądanie anonimowe zostało wykonane z wersją usługi, która nie obsługuje żądania elementu nośnego, a anonimowy dostęp publiczny jest dozwolony dla konta magazynu, usługa zwraca kod błędu 404 (Nie znaleziono).
Aby uzyskać więcej informacji na temat wyzwania nośnego, zobacz wyzwanie Bearer.
Przykładowa odpowiedź na wyzwanie elementu nośnego
Poniżej przedstawiono przykład odpowiedzi żądania elementu nośnego, gdy żądanie klienta nie zawiera tokenu elementu nośnego w anonimowym żądaniu pobierania obiektu blob:
Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net
Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com
<?xml version="1.0" encoding="utf-8"?>
<Error>
<Code>NoAuthenticationInformation</Code>
<Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>
Parametr | Opis |
---|---|
authorization_uri | Identyfikator URI (fizyczny punkt końcowy) serwera autoryzacji. Ta wartość jest również używana jako klucz odnośnika, aby uzyskać więcej informacji o serwerze z punktu końcowego odnajdywania. Klient musi sprawdzić, czy serwer autoryzacji jest zaufany. Gdy zasób jest chroniony przez identyfikator Entra firmy Microsoft, wystarczy sprawdzić, czy adres URL zaczyna się od https://login.microsoftonline.com lub innej nazwy hosta obsługiwanej przez identyfikator entra firmy Microsoft. Zasób specyficzny dla dzierżawy powinien zawsze zwracać identyfikator URI autoryzacji specyficznej dla dzierżawy. |
resource_id | Zwraca unikatowy identyfikator zasobu. Aplikacja kliencka może użyć tego identyfikatora jako wartości parametru zasobu, gdy żąda tokenu dostępu dla zasobu. Aplikacja kliencka musi zweryfikować tę wartość. W przeciwnym razie złośliwa usługa może spowodować atak z podwyższonym poziomem uprawnień. Zalecaną strategią zapobiegania atakowi jest sprawdzenie, czy resource_id jest zgodna z bazą internetowego adresu URL interfejsu API, do którego uzyskuje się dostęp. Identyfikator zasobu usługi Azure Storage to https://storage.azure.com . |
Zarządzanie prawami dostępu za pomocą kontroli dostępu opartej na rolach
Microsoft Entra ID obsługuje autoryzację dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu opartej na rolach. Za pomocą kontroli dostępu opartej na rolach można przypisywać role do użytkowników, grup lub jednostek usługi. Każda rola obejmuje zestaw uprawnień dla zasobu. Po przypisaniu roli do użytkownika, grupy lub jednostki usługi mają dostęp do tego zasobu. Prawa dostępu można przypisywać przy użyciu witryny Azure Portal, narzędzi wiersza polecenia platformy Azure i interfejsów API usługi Azure Management. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach, zobacz Rozpoczynanie pracy z Role-Based access control.
W przypadku usługi Azure Storage można udzielić dostępu do danych w kontenerze lub kolejce na koncie magazynu. Usługa Azure Storage oferuje te wbudowane role RBAC do użycia z identyfikatorem Entra firmy Microsoft:
- właściciela danych obiektu blob usługi
Storage - Współautor danych obiektu blob usługi Storage
- Czytnik danych obiektów blob usługi Storage
-
Storage Blob Delegator - Współautor danych kolejki usługi Storage
- czytnika danych kolejki usługi
Storage -
procesora komunikatów kolejki usługi Storage - nadawcy komunikatów dotyczących kolejki usługi Storage
- Czytnik danych tabel usługi Storage
- współautora danych tabeli usługi
Storage - współautor danych plików magazynu z uprawnieniami
-
danych plików magazynu uprzywilejowanego
Aby uzyskać więcej informacji na temat sposobu definiowania ról wbudowanych dla usługi Azure Storage, zobacz Omówienie definicji ról dla zasobów platformy Azure.
Można również zdefiniować role niestandardowe do użycia z usługami Blob Storage i Azure Queues. Aby uzyskać więcej informacji, zobacz Tworzenie ról niestandardowych dla usługi Azure Role-Based Access Control.
Uprawnienia do wywoływania operacji danych
W poniższych tabelach opisano uprawnienia niezbędne dla użytkownika, grupy, tożsamości zarządzanej lub jednostki usługi firmy Microsoft w celu wywołania określonych operacji usługi Azure Storage. Aby umożliwić klientowi wywołanie określonej operacji, upewnij się, że przypisana rola RBAC klienta oferuje wystarczające uprawnienia dla tej operacji.
Uprawnienia do operacji usługi Blob Service
Operacja usługi Blob Service | Akcja RBAC |
---|---|
listy kontenerów |
Microsoft.Storage/storageAccounts/blobServices/containers/read (w zakresie konta magazynu lub powyżej) |
ustaw właściwości usługi Blob Service | Microsoft.Storage/storageAccounts/blobServices/write |
pobierz właściwości usługi Blob Service | Microsoft.Storage/storageAccounts/blobServices/read |
|
Anonimowy |
uzyskiwanie statystyk usługi Blob Service | Microsoft.Storage/storageAccounts/blobServices/read |
uzyskiwanie informacji o koncie | Nieobsługiwane |
uzyskiwanie klucza delegowania użytkownika | Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action |
Tworzenie kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/write |
pobierz właściwości kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/read |
pobieranie metadanych kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/read |
ustawianie metadanych kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/write |
uzyskiwanie listy ACL kontenerów | Nieobsługiwane |
set Container ACL | Nieobsługiwane |
kontener dzierżawy | Microsoft.Storage/storageAccounts/blobServices/containers/write |
usuń kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/delete |
Przywracanie kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/write |
listy obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
znajdowanie obiektów blob według tagów w kontenera | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
put blob | Tworzenie lub zastępowanie: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Aby utworzyć nowy obiekt blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
umieść obiekt blob z adresu URL | Tworzenie lub zastępowanie: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Aby utworzyć nowy obiekt blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
pobierz obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
pobierz właściwości obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
ustaw właściwości obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
pobieranie metadanych obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
ustaw metadanych obiektu blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
pobieranie tagów obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
ustawianie tagów obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
znajdowanie obiektu blob według tagów | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
dzierżawy obiektów blob |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
migawek migawki |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
kopiowania obiektów blob | W przypadku docelowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (podczas zapisywania nowego obiektu blob w miejscu docelowym) Źródłowy obiekt blob na tym samym koncie magazynu: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read W przypadku źródłowego obiektu blob na innym koncie magazynu: dostępne jako anonimowe lub zawierają prawidłowy token SAS |
kopiowanie obiektu blob z adresu URL | W przypadku docelowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (podczas zapisywania nowego obiektu blob w miejscu docelowym) Źródłowy obiekt blob na tym samym koncie magazynu: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read W przypadku źródłowego obiektu blob na innym koncie magazynu: dostępne jako anonimowe lub zawierają prawidłowy token SAS |
przerwanie kopiowania obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
usuń obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
cofanie usunięcia obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/write |
ustaw warstwy obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
usługi Batch obiektów blob | Żądanie nadrzędne: Microsoft.Storage/storageAccounts/blobServices/containers/write Żądania podrzędne: zobacz uprawnienia dla tego typu żądania. |
ustaw zasady niezmienności | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
usuwanie zasad niezmienności | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
ustaw archiwizacji ze względów prawnych obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/write |
umieść blok | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
umieść blok z adresu URL | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
umieść listę bloków | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
pobierz listę bloków | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
zawartości obiektu blob kwerendy | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
umieszczania strony | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
umieść stronę z adresu URL | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
pobierz zakresy stron | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
przyrostowego kopiowania obiektów blob | W przypadku docelowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Źródłowy obiekt blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read W przypadku nowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
blok dołączania |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
dołączanie bloku z adresu URL | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
ustaw wygasania obiektów blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
Uprawnienia do operacji usługi kolejki
Operacja usługi kolejkowania | Akcja RBAC |
---|---|
kolejki listy | Microsoft.Storage/storageAccounts/queueServices/queues/read (w zakresie konta magazynu lub powyżej) |
ustaw właściwości usługi kolejki | Microsoft.Storage/storageAccounts/queueServices/read |
pobierz właściwości usługi kolejki | Microsoft.Storage/storageAccounts/queueServices/read |
|
Anonimowy |
pobieranie statystyk usługi kolejki | Microsoft.Storage/storageAccounts/queueServices/read |
Tworzenie kolejki | Microsoft.Storage/storageAccounts/queueServices/queues/write |
usuń kolejki | Microsoft.Storage/storageAccounts/queueServices/queues/delete |
pobieranie metadanych kolejki | Microsoft.Storage/storageAccounts/queueServices/queues/read |
ustawianie metadanych kolejki | Microsoft.Storage/storageAccounts/queueServices/queues/write |
uzyskiwanie listy ACL kolejek | Niedostępne za pośrednictwem protokołu OAuth |
Set Queue ACL | Niedostępne za pośrednictwem protokołu OAuth |
umieszczania komunikatów | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action lub Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
pobieranie komunikatów | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action lub (Microsoft.Storage/storageAccounts/queueServices/queues/messages/messages/delete i Microsoft.Storage/storageAccounts/queueServices/queues/messages/read) |
zobacz komunikaty | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
usuń komunikatów | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action lub Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
wyczyść komunikaty | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
komunikatów aktualizacji | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
Uprawnienia do operacji usługi Table Service
Operacja usługi Table Service | Akcja RBAC |
---|---|
ustaw właściwości usługi Table Service | Microsoft.Storage/storageAccounts/tableServices/write |
pobierz właściwości usługi Table Service | Microsoft.Storage/storageAccounts/tableServices/read |
żądania tabeli wstępnej | Anonimowy |
pobieranie statystyk usługi Table Service | Microsoft.Storage/storageAccounts/tableServices/read |
wykonywanie transakcji grupy jednostek | Operacja podrzędna autoryzuje oddzielnie |
tabele zapytań | Microsoft.Storage/storageAccounts/tableServices/tables/read (w zakresie konta magazynu lub powyżej) |
Tworzenie tabeli | Microsoft.Storage/storageAccounts/tableServices/tables/write |
usuń tabeli | Microsoft.Storage/storageAccounts/tableServices/tables/delete |
pobieranie listy ACL tabel | Niedostępne za pośrednictwem protokołu OAuth |
ustawianie listy ACL tabel | Niedostępne za pośrednictwem protokołu OAuth |
odpytywanie jednostek | Microsoft.Storage/storageAccounts/tableServices/tables/entities/read |
Wstaw jednostki | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action |
wstawianie lub scalanie jednostki | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action i Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action) |
wstaw lub zastąp jednostki | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action i Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action) |
Update Entity | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action |
Scalanie jednostki | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action |
usuwanie jednostki | Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete |
Uprawnienia do operacji usługi plików
Operacja usługi plików | Akcja RBAC |
---|---|
pobierz właściwości usługi plików | Microsoft.Storage/storageAccounts/fileServices/read |
ustaw właściwości usługi plików | Microsoft.Storage/storageAccounts/fileServices/write |
|
Anonimowy |
listy udziałów |
Microsoft.Storage/storageAccounts/fileServices/shares/read |
tworzenie udziału | Microsoft.Storage/storageAccounts/fileServices/shares/write |
udziału migawek | Microsoft.Storage/storageAccounts/fileServices/shares/write |
pobierz właściwości udziału | Microsoft.Storage/storageAccounts/fileServices/shares/read |
ustaw właściwości udziału | Microsoft.Storage/storageAccounts/fileServices/shares/write |
uzyskiwanie metadanych udziału | Microsoft.Storage/storageAccounts/fileServices/shares/read |
ustaw metadanych udziału | Microsoft.Storage/storageAccounts/fileServices/shares/write |
usuń udziału | Microsoft.Storage/storageAccounts/fileServices/shares/delete |
przywracanie udziału | Microsoft.Storage/storageAccounts/fileServices/shares/restore/action |
uzyskiwanie listy ACL udziałów | Microsoft.Storage/storageAccounts/fileServices/shares/read |
ustaw listę ACL udziałów | Microsoft.Storage/storageAccounts/fileServices/shares/write |
uzyskiwanie statystyk udziału | Microsoft.Storage/storageAccounts/fileServices/shares/read |
udział dzierżawy | Microsoft.Storage/storageAccounts/fileServices/shares/lease/action |
tworzenie uprawnień | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
uzyskiwanie uprawnień | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
katalogi i pliki listy | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
tworzenie katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
pobierz właściwości katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
ustaw właściwości katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action oraz Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, jeśli x-ms-file-permission lub x-ms-file-permission-key znajduje się w nagłówku żądania HTTP. |
usuń katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
pobieranie metadanych katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
ustawianie metadanych katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
zmień nazwę katalogu | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
tworzenie plików | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
pobierz plików | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
pobierz właściwości pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
ustaw właściwości pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action oraz Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, jeśli x-ms-file-permission lub x-ms-file-permission-key znajduje się w nagłówku żądania HTTP. |
umieść zakres | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
umieść zakres z adresu URL | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
zakresów listy |
Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
pobierz metadane plików | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
ustaw metadanych plików | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
usuń plików | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
kopiowania plików | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action oraz Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, jeśli x-ms-file-permission lub x-ms-file-permission-key znajduje się w nagłówku żądania HTTP. |
przerwanie kopiowania pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
List Dojścia | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
wymuś zamknięcie dojść | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
pliku dzierżawy | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
zmień nazwę pliku | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |