Настройка файлов Azure
Прежде чем пользователи компании Contoso смогут получить доступ к Файлы Azure, они должны сначала пройти проверку подлинности и анонимный доступ не поддерживается. В качестве ведущего системного инженера необходимо знать методы проверки подлинности, которые Файлы Azure поддерживаются, описаны в следующей таблице.
| Authentication method | Description |
|---|---|
| Проверка подлинности на основе удостоверений по протоколу SMB | При доступе к службе "файлы Azure" рекомендуется использовать простой единый вход (SSO) при доступе к файловым ресурсам Azure, как и для доступа к локальным файловым ресурсам. Проверка подлинности на основе удостоверений поддерживает проверку подлинности Kerberos, которая использует удостоверения из идентификатора Microsoft Entra (ранее Azure AD) или AD DS. |
| Ключ доступа | Ключ доступа — это более старый и менее гибкий вариант. Учетная запись хранения Azure имеет два ключа доступа, которые можно использовать при выполнении запроса к учетной записи хранения, включая файлы Azure. Ключи доступа являются статическими и обеспечивают полный доступ к службе файлов Azure. Ключи доступа должны быть защищены и не могут использоваться совместно с пользователями, так как они обходят все ограничения на управление доступом. Рекомендуется избегать совместного использования ключей учетной записи хранения и проверки подлинности на основе удостоверений, когда это возможно. |
| Маркер подписанного URL-адреса (SAS) | SAS — это динамически создаваемый универсальный код ресурса (URI), основанный на ключе доступа к хранилищу. SAS предоставляет ограниченные права доступа к учетной записи хранения Azure. К ограничениям относятся допустимые разрешения, время начала и окончания срока действия, разрешенные IP-адреса, с которых могут отправляться запросы, и разрешенные протоколы. С помощью Файлы Azure маркер SAS используется только для предоставления доступа к REST API из кода. |
Использовать проверку подлинности на основе удостоверений
Вы можете включить проверку подлинности на основе удостоверений в учетных записях хранения Azure. Первым шагом является настройка источника Active Directory (AD) для учетной записи хранения. Для Windows можно выбрать один из следующих трех источников AD:
- Локальные службы AD DS
- Доменные службы Microsoft Entra (ранее службы Azure домен Active Directory)
- Microsoft Entra Kerberos (только для гибридных удостоверений)
Чтобы использовать AD DS или Microsoft Entra Kerberos, необходимо убедиться, что локальные доменные службы ACTIVE DS синхронизируются с идентификатором Microsoft Entra ID через Microsoft Entra Connect или облачную синхронизацию Microsoft Entra Connect.
После включения проверки подлинности на основе удостоверений для учетной записи хранения пользователи смогут получать доступ к файлам в общей папке Azure, используя свои учетные данные для входа. Когда пользователь пытается получить доступ к данным в Файлы Azure, запрос отправляется в AD DS или Идентификатор Microsoft Entra для проверки подлинности в зависимости от выбранного источника AD. Если проверка подлинности выполнена успешно, источник AD возвращает маркер Kerberos. Приложение отправляет запрос, который включает в себя токен Kerberos, и файлы Azure используют этот токен для авторизации запроса.
Настройка разрешений для общей папки Azure
Если вы включили проверку подлинности на основе удостоверений, вы можете использовать управление доступом на основе ролей Azure (RBAC) для управления правами доступа (или разрешениями) для общих папок Azure. В следующей таблице перечислены встроенные роли для Файлы Azure.
| Роль RBAC Azure | Description |
|---|---|
| Участник общей папки файловых данных хранилища SMB | Пользователи этой роли имеют доступ для чтения, записи и удаления в общих папках Azure по протоколу SMB. |
| Участник общих папок данных SMB службы хранилища с повышенными правами | Пользователи этой роли имеют доступ на чтение, запись, удаление и изменение доступа к разрешениям NTFS в общих папках Azure через SMB. Эта роль имеет разрешения на полный доступ к общему файловому ресурсу Azure. |
| Читатель общей папки файловых данных хранилища SMB | Пользователи с этой ролью имеют доступ на чтение к файловому ресурсу Azure через SMB. |
| Привилегированный участник файловых данных хранилища | Пользователи этой роли имеют полный доступ на чтение всех данных в общих папках для всех настроенных учетных записей хранения независимо от заданных разрешений NTFS на уровне файла или каталога. |
| Привилегированный участник файловых данных хранилища | Пользователи этой роли имеют полный доступ для чтения, записи, изменения списков управления доступом и удаления всех данных в общих папках для всех настроенных учетных записей хранения независимо от заданных разрешений NTFS на уровне файла или каталога. |
При необходимости можно также создать и использовать пользовательские роли RBAC. Однако роли RBAC предоставляют доступ только к общей папке. Чтобы получить доступ к файлам, пользователь также должен иметь разрешения на каталог и уровень файлов.
Файловые ресурсы Azure обеспечивают стандартные разрешения для файлов Windows на уровне файлов и папок. Вы можете подключить общий ресурс и настроить разрешения по протоколу SMB так же, как и локальные файловые ресурсы.
Внимание
Полный административный контроль над файловым ресурсом Azure, включая возможность стать владельцем файла, требует использования ключа учетной записи хранения.
Шифрование данных
Все данные, хранящиеся в учетной записи хранения Azure (которая содержит данные в файловых ресурсах Azure), всегда шифруются при хранении с помощью Шифрования службы хранилища (SSE). Данные шифруются по мере записи в центрах обработки данных Azure и автоматически расшифровываются при доступе к нему. По умолчанию данные шифруются с помощью ключей, управляемых Майкрософт, но вы можете использовать собственный ключ шифрования.
По умолчанию для всех учетных записей хранения Azure включено шифрование на транспорте. Это гарантирует, что все данные шифруются при передаче из центра обработки данных Azure на устройство. Незашифрованный доступ с использованием SMB 2.1 и SMB 3.0 без шифрования или HTTP не разрешен по умолчанию, и клиенты не могут подключаться к общим файловым ресурсам Azure без шифрования. Это можно настроить для учетной записи хранения Azure и эффективно для всех служб учетной записи хранения.
Создание общих папок Azure
Службы файлов Azure развертываются как часть учетной записи хранения Azure. Параметры, указанные при создании учетной записи хранения Azure, например расположение, репликация и метод подключения, также применяются к Файлы Azure. Некоторые параметры учетной записи хранения Azure, такие как "производительность" и "тип учетной записи", могут ограничивать параметры, доступные для службы "файлы Azure". Например, если вы хотите использовать общие папки ценовой категории "Премиум", которые используют диски SSD, необходимо выбрать производительность premium и тип учетной записи FileStorage при создании учетной записи хранения Azure.
После создания учетной записи хранения Azure можно создать файловый ресурс Azure с помощью портала Microsoft Azure, Azure PowerShell, интерфейса Command-Line Azure (Azure CLI) или REST API. Также вы можете создать учетную запись хранения Azure с помощью Windows Admin Center при развертывании функции "Синхронизация файлов Azure".
Чтобы создать стандартную общую папку SMB Azure, используйте следующую процедуру. Если вы создаете общую папку Azure уровня "Премиум", необходимо также указать подготовленную емкость.
- Войдите в портал Azure и выберите соответствующую учетную запись хранения.
- В меню службы в разделе хранилища данных выберите общие папки.
- В области сведений на панели инструментов выберите + Общая папка.
- В колонке "Создать общую папку " введите нужное имя и выберите уровень доступа.
- Выберите Просмотр и создание, а затем нажмите кнопку Создать.