Wybieranie i konfigurowanie odpowiedniej metody dostępu do usługi Azure Files
Podczas uzyskiwania dostępu do danych plików przy użyciu witryny Azure Portal portal wysyła żądania do usługi Azure Files w tle. Żądania te mogą być autoryzowane przy użyciu konta usługi Microsoft Entra lub klucza dostępu do konta magazynu. Portal wskazuje używaną metodę i umożliwia przełączanie się między nimi, jeśli masz odpowiednie uprawnienia.
Możesz również określić, jak autoryzować pojedynczą operację udziału plików w witrynie Azure Portal. Domyślnie portal używa dowolnej metody, której już używasz do autoryzowania wszystkich udziałów plików, ale istnieje możliwość zmiany tego ustawienia dla poszczególnych udziałów plików.
Uprawnienia wymagane do uzyskiwania dostępu do danych plików
W zależności od tego, jak chcesz autoryzować dostęp do danych plików w witrynie Azure Portal, musisz mieć określone uprawnienia. W większości przypadków te uprawnienia są udostępniane za pośrednictwem kontroli dostępu opartej na rolach (RBAC) platformy Azure.
Korzystanie z konta Microsoft Entra
Aby uzyskać dostęp do danych plików z witryny Azure Portal przy użyciu konta usługi Microsoft Entra, obie następujące instrukcje muszą przyjmować wartość prawda:
- Masz przypisaną wbudowaną lub niestandardową rolę, która zapewnia dostęp do danych plików.
- Przypisano rolę Czytelnik usługi Azure Resource Manager z zakresem obejmującym poziom konta magazynu lub wyższym. Rola Czytelnik przyznaje najbardziej ograniczone uprawnienia, ale inna rola Azure Resource Manager, która przyznaje dostęp do zasobów zarządzania kontami magazynu, jest również akceptowalna.
Rola Czytelnik usługi Azure Resource Manager umożliwia użytkownikom wyświetlanie zasobów konta magazynu, ale nie ich modyfikowanie. Nie zapewnia uprawnień do odczytu danych w usłudze Azure Storage, ale tylko do zasobów zarządzania kontami. Rola Czytelnik jest niezbędna, aby użytkownicy mogli przechodzić do udziałów plików w witrynie Azure Portal.
Istnieją dwie nowe wbudowane role, które mają wymagane uprawnienia dostępu do danych plików za pomocą protokołu OAuth:
Rola współautora danych plików magazynu ma uprawnienia do odczytu, zapisu, usuwania i modyfikowania list ACL/NTFS w plikach/katalogach w udziałach plików platformy Azure. Modyfikowanie list ACL/NTFS nie jest obsługiwane za pośrednictwem witryny Azure Portal.
Role niestandardowe mogą obsługiwać różne kombinacje tych samych uprawnień udostępnianych przez wbudowane role. Aby uzyskać więcej informacji na temat tworzenia ról niestandardowych platformy Azure, zobacz Role niestandardowe platformy Azure i Omówienie definicji ról dla zasobów platformy Azure.
Używanie klucza dostępu do konta magazynu
Aby uzyskać dostęp do danych plików przy użyciu klucza dostępu do konta magazynu, musisz mieć przypisaną rolę platformy Azure, która obejmuje akcję uprawnień kontroli dostępu na podstawie ról (RBAC) Microsoft.Storage/storageAccounts/listkeys/action. Ta rola platformy Azure może być rolą wbudowaną lub rolą niestandardową. Role wbudowane, które obsługują usługę Microsoft.Storage/storageAccounts/listkeys/action, obejmują następujące elementy wymienione w kolejności uprawnień od najmniejszych do największych:
- Rola Czytelnik i Dostęp do danych
- Rola współautora konta magazynu
- Rola współautora w usłudze Azure Resource Manager
- Rola właściciela w usłudze Azure Resource Manager
Podczas próby uzyskania dostępu do danych plików w witrynie Azure Portal portal najpierw sprawdza, czy przypisano ci rolę za pomocą polecenia Microsoft.Storage/storageAccounts/listkeys/action. Jeśli przypisano rolę za pomocą tej akcji, portal używa klucza konta magazynu do uzyskiwania dostępu do danych plików. Jeśli nie przypisano ci roli z tą akcją, portal próbuje uzyskać dostęp do danych przy użyciu konta Microsoft Entra.
Gdy konto magazynu jest zablokowane za pomocą blokady readOnly usługi Azure Resource Manager, operacja Klucze listy nie jest dozwolona dla tego konta magazynu. Klucze listy to operacja POST, a wszystkie operacje POST są blokowane, gdy dla konta skonfigurowano blokadę ReadOnly . Z tego powodu, gdy konto jest zablokowane za pomocą blokady ReadOnly , użytkownicy muszą używać poświadczeń firmy Microsoft Entra w celu uzyskania dostępu do danych plików w portalu.
Role klasycznego administratora subskrypcji Service Administracja istrator i Współ-Administracja istrator obejmują odpowiednik roli właściciela usługi Azure Resource Manager. Rola Właściciel obejmuje wszystkie akcje, w tym Microsoft.Storage/storageAccounts/listkeys/action, dzięki czemu użytkownik z jedną z tych ról administracyjnych może również uzyskiwać dostęp do danych plików przy użyciu klucza konta magazynu.
Określanie sposobu autoryzacji operacji w określonym udziale plików
Możesz zmienić metodę uwierzytelniania dla poszczególnych udziałów plików. Domyślnie portal używa bieżącej metody uwierzytelniania. Aby określić bieżącą metodę uwierzytelniania, wykonaj następujące kroki.
Przejdź do konta magazynu w witrynie Azure Portal i wybierz pozycję Udziały plików magazynu>danych w obszarze nawigacji po lewej stronie.
Wybierz udział plików.
Wybierz przycisk Przeglądaj.
Metoda uwierzytelniania wskazuje, czy obecnie używasz klucza dostępu konta magazynu, czy konta Microsoft Entra do uwierzytelniania i autoryzacji operacji udziału plików. Jeśli obecnie uwierzytelniasz się przy użyciu klucza dostępu do konta magazynu, zobaczysz klucz dostępu określony jako metoda uwierzytelniania, jak pokazano na poniższej ilustracji. Jeśli uwierzytelniasz się przy użyciu konta Microsoft Entra, zobaczysz zamiast tego określone konto użytkownika Microsoft Entra.
Uwierzytelnianie przy użyciu konta Microsoft Entra
Aby przełączyć się na korzystanie z konta Microsoft Entra, wybierz link wyróżniony na obrazie z komunikatem Przełącz na konto użytkownika Microsoft Entra. Jeśli masz odpowiednie uprawnienia za pośrednictwem przypisanych do Ciebie ról platformy Azure, możesz kontynuować. Jeśli jednak nie masz niezbędnych uprawnień, zobaczysz komunikat o błędzie, że nie masz uprawnień do wyświetlania listy danych przy użyciu konta użytkownika z identyfikatorem Microsoft Entra.
Do korzystania z konta Microsoft Entra wymagane są dwa dodatkowe uprawnienia RBAC:
Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/actionMicrosoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action
Uwierzytelnianie przy użyciu klucza dostępu konta magazynu
Aby przełączyć się na używanie klucza dostępu do konta, wybierz pozycję Przełącz na klucz dostępu. Jeśli masz dostęp do klucza konta magazynu, możesz kontynuować. Jeśli jednak nie masz dostępu do klucza konta, zobaczysz komunikat o błędzie, że nie masz uprawnień do używania klucza dostępu do wyświetlania listy danych.
Domyślna wartość autoryzacji microsoft Entra w witrynie Azure Portal
Podczas tworzenia nowego konta magazynu można określić, że w witrynie Azure Portal będzie domyślnie autoryzacja z identyfikatorem Microsoft Entra ID, gdy użytkownik przejdzie do danych plików. To ustawienie można również skonfigurować dla istniejącego konta magazynu. To ustawienie określa tylko domyślną metodę autoryzacji. Należy pamiętać, że użytkownik może zastąpić to ustawienie i wybrać autoryzowanie dostępu do danych przy użyciu klucza konta magazynu.
Aby określić, że portal będzie domyślnie używać autoryzacji firmy Microsoft Entra do uzyskiwania dostępu do danych podczas tworzenia konta magazynu, wykonaj następujące kroki:
- Utwórz nowe konto magazynu, postępując zgodnie z instrukcjami w temacie Tworzenie konta magazynu.
- Na karcie Zaawansowane w sekcji Zabezpieczenia zaznacz pole wyboru obok pozycji Domyślne do autoryzacji Microsoft Entra w witrynie Azure Portal.
- Wybierz pozycję Przejrzyj i utwórz , aby uruchomić walidację i utworzyć konto magazynu.
Aby zaktualizować to ustawienie dla istniejącego konta magazynu, wykonaj następujące kroki:
Przejdź do przeglądu konta magazynu w witrynie Azure Portal.
W obszarze Ustawienia wybierz pozycję Konfiguracja.
Ustaw wartość Domyślna na wartość Autoryzacja entra firmy Microsoft w witrynie Azure Portal na wartość Włączone.