你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 Microsoft Entra ID 授权
Azure 存储提供与 Microsoft Entra ID 的集成,以便对 Blob、文件、队列和表服务的请求进行基于标识的授权。 使用 Microsoft Entra ID,可以使用基于角色的访问控制(RBAC)向用户、组或应用程序授予对 blob、文件、队列和表资源的访问权限。 可以授予限定为单个容器、共享、队列或表级别的权限。
若要了解有关 Azure 存储中Microsoft Entra ID 集成的详细信息,请参阅 使用 Microsoft Entra ID授权访问 Azure blob 和队列。
有关在应用程序中使用 Microsoft Entra ID 的优点的详细信息,请参阅 与Microsoft标识平台集成。
重要
为了获得最佳安全性,Microsoft建议尽可能使用具有托管标识的 Microsoft Entra ID 来授权针对 blob、队列和表数据的请求。 具有 Microsoft Entra ID 和托管标识的授权提供优于共享密钥授权的安全性和易用性。 若要详细了解托管标识,请参阅 什么是 Azure 资源的托管标识。
对于托管在 Azure 外部的资源(例如本地应用程序),可以通过 Azure Arc 使用托管标识。例如,在已启用 Azure Arc 的服务器上运行的应用可以使用托管标识连接到 Azure 服务。 若要了解详细信息,请参阅 使用已启用 Azure Arc 的服务器对 Azure 资源进行身份验证。
对于使用共享访问签名(SAS)的方案,Microsoft建议使用用户委托 SAS。 用户委派 SAS 使用 Microsoft Entra 凭据而不是帐户密钥进行保护。 若要了解共享访问签名,请参阅 创建用户委派 SAS。
使用 OAuth 访问令牌进行身份验证
Azure 存储接受与包含存储帐户的订阅关联的Microsoft Entra 租户 OAuth 2.0 访问令牌。 Azure 存储接受以下项的访问令牌:
- 用户和组
- 服务主体
- Azure 资源的托管标识
- 使用用户委托的权限的应用程序
Azure 存储公开名为 user_impersonation 的单个委派范围,允许应用程序执行用户允许的任何操作。
若要请求 Azure 存储的令牌,请指定资源 ID 的值 https://storage.azure.com/。 有关资源 ID 的详细信息,请参阅 Microsoft 标识平台范围、权限、& 同意。
有关从用户和服务主体Microsoft Entra ID 请求访问令牌的详细信息,请参阅 身份验证流和应用程序方案。
有关为配置托管标识的资源请求访问令牌的详细信息,请参阅 如何使用 Azure VM 上的 Azure 资源的托管标识来获取访问令牌。
使用 OAuth 令牌调用存储操作
若要使用 OAuth 访问令牌调用 Blob、文件、队列和表服务操作,请使用 Bearer 方案在 授权 标头中传递访问令牌, 并指定 2017-11-09 的服务版本(2022-11-02,用于 文件 资源和 Directory 资源或 2024-11-04,用于对 FileService 资源和 FileShare 资源)或更高版本的操作, 如以下示例所示:
Request:
GET /container/file.txt
x-ms-version: 2017-11-09
Authorization: Bearer eyJ0eXAiO...V09ccgQ
User-Agent: PostmanRuntime/7.6.0
Accept: */*
Host: sampleoautheast2.blob.core.windows.net
accept-encoding: gzip, deflate
Response:
HTTP/1.1 200
status: 200
Content-Length: 28
Content-Type: text/plain
Content-MD5: dxG7IgOBzApXPcGHxGg5SA==
Last-Modified: Wed, 30 Jan 2019 07:21:32 GMT
Accept-Ranges: bytes
ETag: "0x8D686838F9E8BA7"
Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
x-ms-request-id: 09f31964-e01e-00a3-8066-d4e6c2000000
x-ms-version: 2017-11-09
x-ms-creation-time: Wed, 29 Aug 2018 04:22:47 GMT
x-ms-lease-status: unlocked
x-ms-lease-state: available
x-ms-blob-type: BlockBlob
x-ms-server-encrypted: true
Date: Wed, 06 Mar 2019 21:50:50 GMT
Welcome to Azure Storage!!
持有者挑战
持有者挑战是 OAuth 协议 RFC 6750 的一部分,用于颁发机构发现。 对于对 Blob 服务的匿名请求,或者对于使用无效 OAuth 持有者令牌发出的请求,服务器将使用标识提供者和资源信息返回状态代码 401(未授权)。 请参阅 链接,了解如何在身份验证期间将这些值与 Microsoft Entra ID 配合使用。
Azure 存储 Blob 和队列服务返回版本 2019-12-12 及更新版本的持有者质询。 Azure 存储表服务返回版本 2020-12-06 及更新版本的持有者挑战。 Azure Data Lake Storage Gen2 为版本 2017-11-09 及更新版本返回持有者挑战。 Azure 文件服务从版本 2022-11-02 和更新版本返回持有者质询。
对匿名读取请求的响应
当 Blob 存储收到匿名请求时,如果满足以下所有条件,该请求将成功:
- 允许对存储帐户进行匿名公共访问。
- 容器配置为允许匿名公共访问。
- 请求用于读取访问。
如果上述任一条件不为 true,则请求将失败。 失败的响应代码取决于匿名请求是否使用支持持有者质询的服务版本发出。 服务版本 2019-12-12 及更新版支持持有者质询:
- 如果匿名请求是使用支持持有者质询的服务版本发出的,则服务将返回错误代码 401(未授权)。
- 如果使用不支持持有者质询的服务版本发出匿名请求,并且不允许对存储帐户进行匿名公共访问,则服务将返回错误代码 409(冲突)。
- 如果使用不支持持有者质询的服务版本发出匿名请求,并且允许对存储帐户进行匿名公共访问,则服务将返回错误代码 404(找不到)。
有关持有者挑战的详细信息,请参阅 持有者挑战。
对持有者挑战的示例响应
下面是当客户端请求不包括匿名下载 Blob 请求中的持有者令牌时,持有者质询响应的示例:
Request:
GET /container/file.txt
x-ms-version: 2019-12-12
Host: sampleoautheast2.blob.core.windows.net
Response:
HTTP/1.1 401 Unauthorized
WWW-Authenticate: Bearer authorization_uri=https://login.microsoftonline.com/<tenant_id>/oauth2/authorize resource_id=https://storage.azure.com
<?xml version="1.0" encoding="utf-8"?>
<Error>
<Code>NoAuthenticationInformation</Code>
<Message>Server failed to authenticate the request. Please refer to the information in the www-authenticate header.
RequestId:ec4f02d7-1003-0006-21f9-c55bc8000000
Time:2020-01-08T08:01:46.2063459Z</Message>
</Error>
| 参数 | 描述 |
|---|---|
| authorization_uri | 授权服务器的 URI(物理终结点)。 此值还用作查找键,用于从发现终结点获取有关服务器的详细信息。 客户端必须验证授权服务器是否受信任。 如果资源受 Microsoft Entra ID 的保护,则足以验证 URL 是否以 https://login.microsoftonline.com 或其他Microsoft Entra ID 支持的主机名开头。 特定于租户的资源应始终返回特定于租户的授权 URI。 |
| resource_id | 返回资源的唯一标识符。 当客户端应用程序请求资源的访问令牌时,客户端应用程序可以使用此标识符作为资源参数的值。 客户端应用程序必须验证此值,否则恶意服务可能会引发特权提升攻击。 防止攻击的建议策略是验证resource_id是否与所访问的 Web API URL 的基数匹配。 Azure 存储资源 ID https://storage.azure.com。 |
使用 RBAC 管理访问权限
Microsoft Entra ID 通过 RBAC 处理对受保护资源的访问授权。 使用 RBAC,可以将角色分配给用户、组或服务主体。 每个角色都包含一组资源的权限。 将角色分配给用户、组或服务主体后,他们有权访问该资源。 可以使用 Azure 门户、Azure 命令行工具和 Azure 管理 API 分配访问权限。 有关 RBAC 的详细信息,请参阅 Role-Based 访问控制入门。
对于 Azure 存储,可以授予对存储帐户中容器或队列中的数据的访问权限。 Azure 存储提供这些内置 RBAC 角色,用于 Microsoft Entra ID:
- 存储 Blob 数据所有者
- 存储 Blob 数据参与者
- 存储 Blob 数据读取器
- 存储 Blob 委派器
- 存储队列数据参与者
- 存储队列数据读取器
- 存储队列数据消息处理器
- 存储队列数据消息发送方
- 存储表数据读取器
- 存储表数据参与者
- 存储文件数据特权参与者
- 存储文件数据特权读取者
有关如何为 Azure 存储定义内置角色的详细信息,请参阅 了解 Azure 资源的角色定义。
还可以定义用于 Blob 存储和 Azure 队列的自定义角色。 有关详细信息,请参阅 为 Azure Role-Based 访问控制创建自定义角色。
调用数据操作的权限
下表描述了Microsoft Entra 用户、组、托管标识或服务主体调用特定 Azure 存储操作所需的权限。 若要使客户端能够调用特定操作,请确保客户端的分配的 RBAC 角色为该操作提供足够的权限。
Blob 服务操作的权限
| Blob 服务操作 | RBAC 操作 |
|---|---|
| 列出容器 | Microsoft.Storage/storageAccounts/blobServices/containers/read(作用域为存储帐户或更高版本) |
| 设置 Blob 服务属性 | Microsoft.Storage/storageAccounts/blobServices/write |
| 获取 Blob 服务属性 | Microsoft.Storage/storageAccounts/blobServices/read |
| 预检 Blob 请求 | 匿名 |
| 获取 Blob 服务统计信息 | Microsoft.Storage/storageAccounts/blobServices/read |
| 获取帐户信息 | 不支持 |
| 获取用户委派密钥 | Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action |
| 创建容器 | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| 获取容器属性 | Microsoft.Storage/storageAccounts/blobServices/containers/read |
| 获取容器元数据 | Microsoft.Storage/storageAccounts/blobServices/containers/read |
| 设置容器元数据 | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| 获取容器 ACL | 不支持 |
| 设置容器 ACL | 不支持 |
| 租用容器 | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| 删除容器 | Microsoft.Storage/storageAccounts/blobServices/containers/delete |
| 还原容器 | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| 列出 blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| 容器 中的标记查找 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| 放置 Blob | 创建或替换:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 创建新 blob:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| 从 URL 放置 Blob | 创建或替换:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 创建新 blob:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| 获取 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| 获取 Blob 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| 设置 Blob 属性 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| 获取 Blob 元数据 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| 设置 Blob 元数据 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| 获取 Blob 标记 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read |
| 设置 Blob 标记 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| 按标记查找 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/filter/action |
| 租约 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| 快照 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 或 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| 复制 Blob | 对于目标 blob:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 或 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action(将新 Blob 写入目标时) 对于同一存储帐户中的源 blob:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read 对于其他存储帐户中的源 Blob:以匿名方式提供,或包含有效的 SAS 令牌 |
| 从 URL 复制 Blob | 对于目标 blob:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 或 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action(将新 Blob 写入目标时) 对于同一存储帐户中的源 blob:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read 对于其他存储帐户中的源 Blob:以匿名方式提供,或包含有效的 SAS 令牌 |
| 中止复制 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| 删除 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| 取消删除 Blob | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| 设置 Blob 层 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Blob Batch | 父请求:Microsoft.Storage/storageAccounts/blobServices/containers/write 子请求:查看该请求类型的权限。 |
| 设置不可变性策略 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
| 删除不可变性策略 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
| 设置 Blob 法定保留 | Microsoft.Storage/storageAccounts/blobServices/containers/write |
| 放置块 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| URL 放置块 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| 放置块列表 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| 获取阻止列表 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| 查询 Blob 内容 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| 放置页面 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| 从 URL 放置页面 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| 获取页面范围 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| 增量复制 Blob | 对于目标 blob:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 对于源 blob:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read 对于新 blob:Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| 追加块 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 或 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| 从 URL |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write 或 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| 设置 Blob 过期 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
队列服务操作的权限
| 队列服务操作 | RBAC 操作 |
|---|---|
| 列表队列 | Microsoft.Storage/storageAccounts/queueServices/queues/read(作用域为存储帐户或更高版本) |
| 设置队列服务属性 | Microsoft.Storage/storageAccounts/queueServices/read |
| 获取队列服务属性 | Microsoft.Storage/storageAccounts/queueServices/read |
| 预检队列请求 | 匿名 |
| 获取队列服务统计信息 | Microsoft.Storage/storageAccounts/queueServices/read |
| 创建队列 | Microsoft.Storage/storageAccounts/queueServices/queues/write |
| 删除队列 | Microsoft.Storage/storageAccounts/queueServices/queues/delete |
| 获取队列元数据 | Microsoft.Storage/storageAccounts/queueServices/queues/read |
| 设置队列元数据 | Microsoft.Storage/storageAccounts/queueServices/queues/write |
| 获取队列 ACL | 无法通过 OAuth 使用 |
| 设置队列 ACL | 无法通过 OAuth 使用 |
| 放置消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/add/action 或 Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
| 获取消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action 或(Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete 和 Microsoft.Storage/storageAccounts/queueServices/queues/messages/read) |
| 速览消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/read |
| 删除消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/process/action 或 Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| 清除消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/delete |
| 更新消息 | Microsoft.Storage/storageAccounts/queueServices/queues/messages/write |
表服务操作的权限
| 表服务操作 | RBAC 操作 |
|---|---|
| 设置表服务属性 | Microsoft.Storage/storageAccounts/tableServices/write |
| 获取表服务属性 | Microsoft.Storage/storageAccounts/tableServices/read |
| 预检表请求 | 匿名 |
| 获取表服务统计信息 | Microsoft.Storage/storageAccounts/tableServices/read |
| 执行实体组事务 | 子操作单独授权 |
| 查询表 | Microsoft.Storage/storageAccounts/tableServices/tables/read(作用域为存储帐户或更高版本) |
| 创建表 | Microsoft.Storage/storageAccounts/tableServices/tables/write |
| 删除表 | Microsoft.Storage/storageAccounts/tableServices/tables/delete |
| 获取表 ACL | 无法通过 OAuth 使用 |
| 设置表 ACL | 无法通过 OAuth 使用 |
| 查询实体 | Microsoft.Storage/storageAccounts/tableServices/tables/entities/read |
| 插入实体 | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write 或 Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action |
| 插入或合并实体 | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write 或 (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action 和 Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action) |
| 插入或替换实体 | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write 或 (Microsoft.Storage/storageAccounts/tableServices/tables/entities/add/action 和 Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action) |
| 更新实体 | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write 或 Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action |
| 合并实体 | Microsoft.Storage/storageAccounts/tableServices/tables/entities/write 或 Microsoft.Storage/storageAccounts/tableServices/tables/entities/update/action |
| 删除实体 | Microsoft.Storage/storageAccounts/tableServices/tables/entities/delete |
文件服务操作的权限
| 文件服务操作 | RBAC 操作 |
|---|---|
| 获取文件服务属性 | Microsoft.Storage/storageAccounts/fileServices/read |
| 设置文件服务属性 | Microsoft.Storage/storageAccounts/fileServices/write |
| 预检文件请求 | 匿名 |
| 列出共享 | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| 创建共享 | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| Snapshot Share | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| 获取共享属性 | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| 设置共享属性 | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| 获取共享元数据 | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| 设置共享元数据 | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| 删除共享 | Microsoft.Storage/storageAccounts/fileServices/shares/delete |
| 还原共享 | Microsoft.Storage/storageAccounts/fileServices/shares/restore/action |
| 获取共享 ACL | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| 设置共享 ACL | Microsoft.Storage/storageAccounts/fileServices/shares/write |
| 获取共享统计信息 | Microsoft.Storage/storageAccounts/fileServices/shares/read |
| 租约共享 | Microsoft.Storage/storageAccounts/fileServices/shares/lease/action |
| 创建权限 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/modifypermissions/action 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 获取权限 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read 和 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| 列出目录和文件 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read 和 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| 创建目录 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 获取目录属性 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read 和 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| 设置目录属性 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action,以及Microsoft.Storage/storageAccounts/fileShares/files/modifypermissions/action(如果 x-ms-file-permission 或 x-ms-file-permission-key)包含在 HTTP 请求标头中。 |
| 删除目录 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 获取目录元数据 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read 和 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| 设置目录元数据 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 重命名目录 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 创建文件 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 获取文件 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read 和 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| 获取文件属性 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read 和 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| 设置文件属性 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action,以及Microsoft.Storage/storageAccounts/fileShares/files/modifypermissions/action(如果 x-ms-file-permission 或 x-ms-file-permission-key)包含在 HTTP 请求标头中。 |
| 放置范围 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 从 URL 放置范围 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 列表范围 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read 和 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| 获取文件元数据 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read 和 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| 设置文件元数据 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 删除文件 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 复制文件 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action,以及Microsoft.Storage/storageAccounts/fileShares/files/modifypermissions/action(如果 x-ms-file-permission 或 x-ms-file-permission-key)包含在 HTTP 请求标头中。 |
| 中止复制文件 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 列表句柄 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/read 和 Microsoft.Storage/storageAccounts/fileServices/readFileBackupSemantics/action |
| 强制关闭句柄 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 租约文件 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
| 重命名文件 | Microsoft.Storage/storageAccounts/fileServices/fileShares/files/write 和 Microsoft.Storage/storageAccounts/fileServices/writeFileBackupSemantics/action |
另请参阅
- 授权对 Azure 存储 的请求