无论在存储帐户上选择哪种标识源进行 基于标识的身份验证 ,都需要配置授权和访问控制。 Azure 文件存储强制要求授予用户共享级别和目录/文件级别的访问权限。
可以将共享级别权限分配给通过 Azure RBAC 管理的 Microsoft Entra 用户或组。 借助 Azure RBAC,用于文件访问的凭据应可用或同步到 Microsoft Entra ID。 可以将“存储文件数据 SMB 共享读取者”等 Azure 内置角色分配给 Microsoft Entra ID 中的用户或组,以授予对文件共享的访问权限。
在目录/文件级别,Azure 文件存储支持预留、继承和强制执行 Windows ACL。 在现有文件共享和 Azure 文件共享之间通过 SMB 复制数据时,可以选择保留 Windows ACL。 无论你是否打算强制执行授权,都可以使用 Azure 文件共享来备份 ACL 和数据。
| 管理模型 | 计费模式 | 媒体层 | 冗余 | SMB | NFS |
|---|---|---|---|---|---|
| Microsoft.Storage | 预配 v2 | HDD(标准) | 本地 (LRS) |
|
|
| Microsoft.Storage | 预配 v2 | HDD(标准) | 区域 (ZRS) |
|
|
| Microsoft.Storage | 预配 v2 | HDD(标准) | 异地 (GRS) |
|
|
| Microsoft.Storage | 预配 v2 | HDD(标准) | GeoZone (GZRS) |
|
|
| Microsoft.Storage | 预配版本 v1 | SSD(高级) | 本地 (LRS) |
|
|
| Microsoft.Storage | 预配版本 v1 | SSD(高级) | 区域 (ZRS) |
|
|
| Microsoft.Storage | 即用即付 | HDD(标准) | 本地 (LRS) |
|
|
| Microsoft.Storage | 即用即付 | HDD(标准) | 区域 (ZRS) |
|
|
| Microsoft.Storage | 即用即付 | HDD(标准) | 异地 (GRS) |
|
|
| Microsoft.Storage | 即用即付 | HDD(标准) | GeoZone (GZRS) |
|
|
在存储帐户上启用标识源后,必须执行下列操作之一来访问文件共享:
- 设置适用于所有经过身份验证的用户和组的默认共享级别权限
- 将内置 Azure RBAC 角色分配给用户和组,或者
- 为 Microsoft Entra 标识配置自定义角色,并分配对存储帐户中的文件共享的访问权限。
使用分配的共享级别权限,已获授权的标识就会只获得相应共享的访问权限,没有其他权限,甚至没有对根目录的访问权限。 你仍需单独配置目录级别和文件级别的权限。
注意
无法使用 Azure RBAC 将共享级别权限分配到计算机帐户(机器帐户),因为无法将计算机帐户同步到 Microsoft Entra ID 中的标识。 如果要允许计算机帐户使用基于标识的身份验证访问 Azure 文件共享,请使用默认共享级别权限或考虑改用服务登录帐户。
Azure 文件共享在目录级别和文件级别(包括根目录)强制实施标准 Windows ACL。 支持通过 SMB 和 REST 配置目录级别或文件级别权限。 请从 VM 装载目标文件共享,并使用 Windows 资源管理器、Windows icacls 或 Set-ACL 命令配置权限。
将数据复制到 Azure 文件共享时,Azure 文件存储支持保留目录级别或文件级别 ACL。 可以使用 Azure 文件同步或常见的文件移动工具集,将目录或文件上的 ACL 复制到 Azure 文件共享。 例如,可使用带 标志的 /copy:s 将数据和 ACL 复制到 Azure 文件共享。 默认情况下,系统会保留 ACL,因此你无需在存储帐户上启用基于标识的身份验证来保留 ACL。
有关详细信息,请参见: