Udostępnij za pośrednictwem


Autoryzowanie za pomocą identyfikatora Entra firmy Microsoft

Usługa Azure Storage zapewnia integrację z usługami Microsoft Entra ID na potrzeby autoryzacji opartej na tożsamościach żądań do usług obiektów blob, plików, kolejek i tabel. Za pomocą identyfikatora Entra firmy Microsoft możesz użyć kontroli dostępu opartej na rolach (RBAC) w celu udzielenia dostępu do zasobów obiektów blob, plików, kolejek i tabel użytkownikom, grupom lub aplikacjom. Możesz przyznać uprawnienia, które są ograniczone do poziomu pojedynczego kontenera, udziału, kolejki lub tabeli.

Aby dowiedzieć się więcej na temat integracji identyfikatora Entra firmy Microsoft w usłudze Azure Storage, zobacz Autoryzowanie dostępu do obiektów blob i kolejek platformy Azure przy użyciuidentyfikatora Entra firmy Microsoft.

Aby uzyskać więcej informacji na temat zalet korzystania z identyfikatora Entra firmy Microsoft w aplikacji, zobacz Integrowanie z platformą tożsamości firmy Microsoft.

Ważny

Aby uzyskać optymalne zabezpieczenia, firma Microsoft zaleca używanie identyfikatora Entra firmy Microsoft z tożsamościami zarządzanymi w celu autoryzowania żądań względem danych obiektów blob, kolejek i tabel, jeśli to możliwe. Autoryzacja przy użyciu identyfikatora Entra firmy Microsoft i tożsamości zarządzanych zapewnia doskonałe zabezpieczenia i łatwość użycia w przypadku autoryzacji klucza współdzielonego. Aby dowiedzieć się więcej o tożsamościach zarządzanych, zobacz Co to są tożsamości zarządzane dla zasobów platformy Azure.

W przypadku zasobów hostowanych poza platformą Azure, takich jak aplikacje lokalne, można używać tożsamości zarządzanych za pośrednictwem usługi Azure Arc. Na przykład aplikacje uruchomione na serwerach z obsługą usługi Azure Arc mogą używać tożsamości zarządzanych do łączenia się z usługami platformy Azure. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie w odniesieniu do zasobów platformy Azure przy użyciu serwerów z obsługą usługi Azure Arc.

W przypadku scenariuszy, w których są używane sygnatury dostępu współdzielonego (SAS), firma Microsoft zaleca używanie sygnatury dostępu współdzielonego delegowania użytkowników. Sygnatura dostępu współdzielonego delegowania użytkownika jest zabezpieczona przy użyciu poświadczeń usługi Microsoft Entra zamiast klucza konta. Aby dowiedzieć się więcej o sygnaturach dostępu współdzielonego, zobacz Tworzenie sygnatur dostępu współdzielonego delegowania użytkownika.

Używanie tokenów dostępu OAuth do uwierzytelniania

Usługa Azure Storage akceptuje tokeny dostępu OAuth 2.0 z dzierżawy microsoft Entra skojarzonej z subskrypcją zawierającą konto magazynu. Usługa Azure Storage akceptuje tokeny dostępu dla:

  • Użytkownicy i grupy
  • Jednostki usługi
  • Tożsamości zarządzane dla zasobów platformy Azure
  • Aplikacje korzystające z uprawnień delegowanych przez użytkowników

Usługa Azure Storage uwidacznia pojedynczy zakres delegowania o nazwie user_impersonation, który umożliwia aplikacjom podejmowanie jakichkolwiek działań dozwolonych przez użytkownika.

Aby zażądać tokenów dla usługi Azure Storage, określ wartość https://storage.azure.com/ identyfikatora zasobu. Aby uzyskać więcej informacji na temat identyfikatora zasobu, zobacz zakresy platformy tożsamości firmy Microsoft, uprawnienia, & zgoda.

Aby uzyskać więcej informacji na temat żądania tokenów dostępu z identyfikatora Entra firmy Microsoft dla użytkowników i jednostek usługi, zobacz Przepływy uwierzytelniania i scenariusze aplikacji.

Aby uzyskać więcej informacji na temat żądania tokenów dostępu dla zasobów skonfigurowanych za pomocą tożsamości zarządzanych, zobacz Jak używać tożsamości zarządzanych dla zasobów platformy Azure na maszynie wirtualnej platformy Azure w celu uzyskania tokenu dostępu.

Wywoływanie operacji magazynowania przy użyciu tokenów OAuth

Aby wywołać operacje obiektów blob, plików, kolejek i tabel przy użyciu tokenów dostępu OAuth, przekaż token dostępu w nagłówku autoryzacji przy użyciu schematu elementu nośnego , i określ wersję usługi 2017-11-09 (2022-11-02 na potrzeby operacji na zasobie plik i zasobie Directory lub 2024-11-04 na potrzeby operacji na zasobie FileService i zasobie FileShare) lub wyższym, jak pokazano w poniższym przykładzie:

Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate

Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!

Wyzwanie elementu nośnego

Wyzwanie elementu nośnego jest częścią protokołu OAuth RFC 6750 i jest używane do odnajdywania urzędu. W przypadku żądań anonimowych do usługi Blob Lub żądań wysyłanych przy użyciu nieprawidłowego tokenu elementu nośnego OAuth serwer zwróci kod stanu 401 (Brak autoryzacji) z dostawcą tożsamości i informacjami o zasobie. Zapoznaj się z linkiem , aby dowiedzieć się, jak używać tych wartości podczas uwierzytelniania za pomocą identyfikatora Entra firmy Microsoft.

Usługi Azure Storage Blob i Queue zwracają wyzwanie elementu nośnego dla wersji 2019-12-12 i nowszych. Usługa Azure Storage Table service zwraca wyzwanie elementu nośnego dla wersji 2020-12-06 i nowszych. Usługa Azure Data Lake Storage Gen2 zwraca wyzwanie elementu nośnego dla wersji 2017-11-09 i nowszych. Usługa Azure File zwraca wyzwanie elementu nośnego z wersji 2022-11-02 i nowszych.

Odpowiedzi na anonimowe żądania odczytu

Gdy usługa Blob Storage odbiera anonimowe żądanie, żądanie to powiedzie się, jeśli spełnione są wszystkie następujące warunki:

  • Anonimowy dostęp publiczny jest dozwolony dla konta magazynu.
  • Kontener jest skonfigurowany do zezwalania na anonimowy dostęp publiczny.
  • Żądanie dotyczy dostępu do odczytu.

Jeśli którykolwiek z tych warunków nie jest spełniony, żądanie zakończy się niepowodzeniem. Kod odpowiedzi po niepowodzeniu zależy od tego, czy żądanie anonimowe zostało wykonane z wersją usługi, która obsługuje wyzwanie elementu nośnego. Wyzwanie elementu nośnego jest obsługiwane w przypadku wersji usługi 2019-12-12 i nowszych:

  • Jeśli żądanie anonimowe zostało wykonane z wersją usługi, która obsługuje wyzwanie elementu nośnego, usługa zwraca kod błędu 401 (Brak autoryzacji).
  • Jeśli żądanie anonimowe zostało wykonane z wersją usługi, która nie obsługuje żądania elementu nośnego, a anonimowy dostęp publiczny jest niedozwolony dla konta magazynu, usługa zwraca kod błędu 409 (Konflikt).
  • Jeśli żądanie anonimowe zostało wykonane z wersją usługi, która nie obsługuje żądania elementu nośnego, a anonimowy dostęp publiczny jest dozwolony dla konta magazynu, usługa zwraca kod błędu 404 (Nie znaleziono).

Aby uzyskać więcej informacji na temat wyzwania nośnego, zobacz wyzwanie Bearer.

Przykładowa odpowiedź na wyzwanie elementu nośnego

Poniżej przedstawiono przykład odpowiedzi żądania elementu nośnego, gdy żądanie klienta nie zawiera tokenu elementu nośnego w anonimowym żądaniu pobierania obiektu blob:

Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net

Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com

<?xml version="1.0" encoding="utf-8"?>
<Error>
    <Code>NoAuthenticationInformation</Code>
    <Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>
Parametr Opis
authorization_uri Identyfikator URI (fizyczny punkt końcowy) serwera autoryzacji. Ta wartość jest również używana jako klucz odnośnika, aby uzyskać więcej informacji o serwerze z punktu końcowego odnajdywania. Klient musi sprawdzić, czy serwer autoryzacji jest zaufany. Gdy zasób jest chroniony przez identyfikator Entra firmy Microsoft, wystarczy sprawdzić, czy adres URL zaczyna się od https://login.microsoftonline.com lub innej nazwy hosta obsługiwanej przez identyfikator entra firmy Microsoft. Zasób specyficzny dla dzierżawy powinien zawsze zwracać identyfikator URI autoryzacji specyficznej dla dzierżawy.
resource_id Zwraca unikatowy identyfikator zasobu. Aplikacja kliencka może użyć tego identyfikatora jako wartości parametru zasobu, gdy żąda tokenu dostępu dla zasobu. Aplikacja kliencka musi zweryfikować tę wartość. W przeciwnym razie złośliwa usługa może spowodować atak z podwyższonym poziomem uprawnień. Zalecaną strategią zapobiegania atakowi jest sprawdzenie, czy resource_id jest zgodna z bazą internetowego adresu URL interfejsu API, do którego uzyskuje się dostęp. Identyfikator zasobu usługi Azure Storage to https://storage.azure.com.

Zarządzanie prawami dostępu za pomocą kontroli dostępu opartej na rolach

Microsoft Entra ID obsługuje autoryzację dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu opartej na rolach. Za pomocą kontroli dostępu opartej na rolach można przypisywać role do użytkowników, grup lub jednostek usługi. Każda rola obejmuje zestaw uprawnień dla zasobu. Po przypisaniu roli do użytkownika, grupy lub jednostki usługi mają dostęp do tego zasobu. Prawa dostępu można przypisywać przy użyciu witryny Azure Portal, narzędzi wiersza polecenia platformy Azure i interfejsów API usługi Azure Management. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach, zobacz Rozpoczynanie pracy z Role-Based access control.

W przypadku usługi Azure Storage można udzielić dostępu do danych w kontenerze lub kolejce na koncie magazynu. Usługa Azure Storage oferuje te wbudowane role RBAC do użycia z identyfikatorem Entra firmy Microsoft:

  • właściciela danych obiektu blob usługi Storage
  • Współautor danych obiektu blob usługi Storage
  • Czytnik danych obiektów blob usługi Storage
  • Storage Blob Delegator
  • Współautor danych kolejki usługi Storage
  • czytnika danych kolejki usługi Storage
  • procesora komunikatów kolejki usługi Storage
  • nadawcy komunikatów dotyczących kolejki usługi Storage
  • Czytnik danych tabel usługi Storage
  • współautora danych tabeli usługi Storage
  • współautor danych plików magazynu z uprawnieniami
  • danych plików magazynu uprzywilejowanego

Aby uzyskać więcej informacji na temat sposobu definiowania ról wbudowanych dla usługi Azure Storage, zobacz Omówienie definicji ról dla zasobów platformy Azure.

Można również zdefiniować role niestandardowe do użycia z usługami Blob Storage i Azure Queues. Aby uzyskać więcej informacji, zobacz Tworzenie ról niestandardowych dla usługi Azure Role-Based Access Control.

Uprawnienia do wywoływania operacji danych

W poniższych tabelach opisano uprawnienia niezbędne dla użytkownika, grupy, tożsamości zarządzanej lub jednostki usługi firmy Microsoft w celu wywołania określonych operacji usługi Azure Storage. Aby umożliwić klientowi wywołanie określonej operacji, upewnij się, że przypisana rola RBAC klienta oferuje wystarczające uprawnienia dla tej operacji.

Uprawnienia do operacji usługi Blob Service

Operacja usługi Blob Service Akcja RBAC
listy kontenerów Microsoft.Storage/storageAccounts/blobServices/containers/read (w zakresie konta magazynu lub powyżej)
ustaw właściwości usługi Blob Service Microsoft.Storage/storageAccounts/blobServices/write
pobierz właściwości usługi Blob Service Microsoft.Storage/storageAccounts/blobServices/read
żądania wstępnego obiektu blob Anonimowy
uzyskiwanie statystyk usługi Blob Service Microsoft.Storage/storageAccounts/blobServices/read
uzyskiwanie informacji o koncie Nieobsługiwane
uzyskiwanie klucza delegowania użytkownika Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action
Tworzenie kontenera Microsoft.Storage/storageAccounts/blobServices/containers/write
pobierz właściwości kontenera Microsoft.Storage/storageAccounts/blobServices/containers/read
pobieranie metadanych kontenera Microsoft.Storage/storageAccounts/blobServices/containers/read
ustawianie metadanych kontenera Microsoft.Storage/storageAccounts/blobServices/containers/write
uzyskiwanie listy ACL kontenerów Nieobsługiwane
set Container ACL Nieobsługiwane
kontener dzierżawy Microsoft.Storage/storageAccounts/blobServices/containers/write
usuń kontenera Microsoft.Storage/storageAccounts/blobServices/containers/delete
Przywracanie kontenera Microsoft.Storage/storageAccounts/blobServices/containers/write
listy obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
znajdowanie obiektów blob według tagów w kontenera Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
put blob Tworzenie lub zastępowanie: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Aby utworzyć nowy obiekt blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
umieść obiekt blob z adresu URL Tworzenie lub zastępowanie: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Aby utworzyć nowy obiekt blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
pobierz obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
pobierz właściwości obiektu blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
ustaw właściwości obiektu blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
pobieranie metadanych obiektu blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
ustaw metadanych obiektu blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
pobieranie tagów obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
ustawianie tagów obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
znajdowanie obiektu blob według tagów Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action
dzierżawy obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
migawek migawki Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
kopiowania obiektów blob W przypadku docelowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (podczas zapisywania nowego obiektu blob w miejscu docelowym)
Źródłowy obiekt blob na tym samym koncie magazynu: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
W przypadku źródłowego obiektu blob na innym koncie magazynu: dostępne jako anonimowe lub zawierają prawidłowy token SAS
kopiowanie obiektu blob z adresu URL W przypadku docelowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action (podczas zapisywania nowego obiektu blob w miejscu docelowym)
Źródłowy obiekt blob na tym samym koncie magazynu: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
W przypadku źródłowego obiektu blob na innym koncie magazynu: dostępne jako anonimowe lub zawierają prawidłowy token SAS
przerwanie kopiowania obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
usuń obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
cofanie usunięcia obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/write
ustaw warstwy obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
usługi Batch obiektów blob Żądanie nadrzędne: Microsoft.Storage/storageAccounts/blobServices/containers/write
Żądania podrzędne: zobacz uprawnienia dla tego typu żądania.
ustaw zasady niezmienności Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
usuwanie zasad niezmienności Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action
ustaw archiwizacji ze względów prawnych obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/write
umieść blok Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
umieść blok z adresu URL Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
umieść listę bloków Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
pobierz listę bloków Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
zawartości obiektu blob kwerendy Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
umieszczania strony Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
umieść stronę z adresu URL Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
pobierz zakresy stron Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
przyrostowego kopiowania obiektów blob W przypadku docelowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Źródłowy obiekt blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
W przypadku nowego obiektu blob: Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
blok dołączania Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
dołączanie bloku z adresu URL Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write lub Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action
ustaw wygasania obiektów blob Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write

Uprawnienia do operacji usługi kolejki

Operacja usługi kolejkowania Akcja RBAC
kolejki listy Microsoft.Storage/storageAccounts/queueServices/queues/read (w zakresie konta magazynu lub powyżej)
ustaw właściwości usługi kolejki Microsoft.Storage/storageAccounts/queueServices/read
pobierz właściwości usługi kolejki Microsoft.Storage/storageAccounts/queueServices/read
żądania kolejki wstępnej Anonimowy
pobieranie statystyk usługi kolejki Microsoft.Storage/storageAccounts/queueServices/read
Tworzenie kolejki Microsoft.Storage/storageAccounts/queueServices/queues/write
usuń kolejki Microsoft.Storage/storageAccounts/queueServices/queues/delete
pobieranie metadanych kolejki Microsoft.Storage/storageAccounts/queueServices/queues/read
ustawianie metadanych kolejki Microsoft.Storage/storageAccounts/queueServices/queues/write
uzyskiwanie listy ACL kolejek Niedostępne za pośrednictwem protokołu OAuth
Set Queue ACL Niedostępne za pośrednictwem protokołu OAuth
umieszczania komunikatów Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action lub Microsoft.Storage/storageAccounts/queueServices/queues/messages/write
pobieranie komunikatów Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action lub (Microsoft.Storage/storageAccounts/queueServices/queues/messages/messages/delete i Microsoft.Storage/storageAccounts/queueServices/queues/messages/read)
zobacz komunikaty Microsoft.Storage/storageAccounts/queueServices/queues/messages/read
usuń komunikatów Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action lub Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
wyczyść komunikaty Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete
komunikatów aktualizacji Microsoft.Storage/storageAccounts/queueServices/queues/messages/write

Uprawnienia do operacji usługi Table Service

Operacja usługi Table Service Akcja RBAC
ustaw właściwości usługi Table Service Microsoft.Storage/storageAccounts/tableServices/write
pobierz właściwości usługi Table Service Microsoft.Storage/storageAccounts/tableServices/read
żądania tabeli wstępnej Anonimowy
pobieranie statystyk usługi Table Service Microsoft.Storage/storageAccounts/tableServices/read
wykonywanie transakcji grupy jednostek Operacja podrzędna autoryzuje oddzielnie
tabele zapytań Microsoft.Storage/storageAccounts/tableServices/tables/read (w zakresie konta magazynu lub powyżej)
Tworzenie tabeli Microsoft.Storage/storageAccounts/tableServices/tables/write
usuń tabeli Microsoft.Storage/storageAccounts/tableServices/tables/delete
pobieranie listy ACL tabel Niedostępne za pośrednictwem protokołu OAuth
ustawianie listy ACL tabel Niedostępne za pośrednictwem protokołu OAuth
odpytywanie jednostek Microsoft.Storage/storageAccounts/tableServices/tables/entities/read
Wstaw jednostki Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action
wstawianie lub scalanie jednostki Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action i Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action)
wstaw lub zastąp jednostki Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action i Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action)
Update Entity Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action
Scalanie jednostki Microsoft.Storage/storageAccounts/tableServices/tables/entities/write lub Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action
usuwanie jednostki Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete

Uprawnienia do operacji usługi plików

Operacja usługi plików Akcja RBAC
pobierz właściwości usługi plików Microsoft.Storage/storageAccounts/fileServices/read
ustaw właściwości usługi plików Microsoft.Storage/storageAccounts/fileServices/write
żądania pliku wstępnego Anonimowy
listy udziałów Microsoft.Storage/storageAccounts/fileServices/shares/read
tworzenie udziału Microsoft.Storage/storageAccounts/fileServices/shares/write
udziału migawek Microsoft.Storage/storageAccounts/fileServices/shares/write
pobierz właściwości udziału Microsoft.Storage/storageAccounts/fileServices/shares/read
ustaw właściwości udziału Microsoft.Storage/storageAccounts/fileServices/shares/write
uzyskiwanie metadanych udziału Microsoft.Storage/storageAccounts/fileServices/shares/read
ustaw metadanych udziału Microsoft.Storage/storageAccounts/fileServices/shares/write
usuń udziału Microsoft.Storage/storageAccounts/fileServices/shares/delete
przywracanie udziału Microsoft.Storage/storageAccounts/fileServices/shares/restore/action
uzyskiwanie listy ACL udziałów Microsoft.Storage/storageAccounts/fileServices/shares/read
ustaw listę ACL udziałów Microsoft.Storage/storageAccounts/fileServices/shares/write
uzyskiwanie statystyk udziału Microsoft.Storage/storageAccounts/fileServices/shares/read
udział dzierżawy Microsoft.Storage/storageAccounts/fileServices/shares/lease/action
tworzenie uprawnień Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
uzyskiwanie uprawnień Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
katalogi i pliki listy Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
tworzenie katalogu Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
pobierz właściwości katalogu Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ustaw właściwości katalogu Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action oraz Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, jeśli x-ms-file-permission lub x-ms-file-permission-key znajduje się w nagłówku żądania HTTP.
usuń katalogu Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
pobieranie metadanych katalogu Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ustawianie metadanych katalogu Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
zmień nazwę katalogu Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
tworzenie plików Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
pobierz plików Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
pobierz właściwości pliku Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ustaw właściwości pliku Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action oraz Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, jeśli x-ms-file-permission lub x-ms-file-permission-key znajduje się w nagłówku żądania HTTP.
umieść zakres Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
umieść zakres z adresu URL Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
zakresów listy Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
pobierz metadane plików Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
ustaw metadanych plików Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
usuń plików Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
kopiowania plików Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write and Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action oraz Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action, jeśli x-ms-file-permission lub x-ms-file-permission-key znajduje się w nagłówku żądania HTTP.
przerwanie kopiowania pliku Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
List Dojścia Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read i Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action
wymuś zamknięcie dojść Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
pliku dzierżawy Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
zmień nazwę pliku Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write i Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action

Zobacz też