Přiřazení role Azure pro přístup k datům objektů blob

Článek
11/04/2021
6 min ke čtení

Azure Active Directory (AAD) autorizuje přístupová práva k zabezpečeným prostředkům prostřednictvím řízení přístupu na základě role v Azure (Azure RBAC). Azure Storage definuje sadu předdefinované role Azure, které zahrnují běžné sady oprávnění používané pro přístup k datům objektů blob.

Když je k objektu zabezpečení Azure AD přiřazená role Azure, Azure pro tento objekt zabezpečení udělí přístup k těmito prostředkům. Objekt zabezpečení Azure AD může být uživatel, skupina, aplikační objekt služby nebo spravovaná identita pro prostředky Azure.

Další informace o použití Azure AD k autorizaci přístupu k datům objektů blob najdete v tématu Autorizace přístupu k objektům blob pomocí Azure Active Directory.

Poznámka

Tento článek ukazuje, jak přiřadit roli Azure pro přístup k datům objektů blob v účtu úložiště. Další informace o přiřazování rolí pro operace správy v Azure Storage najdete v tématu Použití poskytovatele prostředků Azure Storage pro přístup k prostředkům pro správu.

Přiřazení role Azure

K přiřazení role Azure Portal přístup k datům můžete použít Azure Portal, PowerShell, Azure CLI nebo šablonu Azure Resource Manager.

Pro přístup k datům objektů blob v Azure Portal pomocí přihlašovacích údajů Azure AD musí mít uživatel následující přiřazení rolí:

Role přístupu k datům, například přispěvatel dat Storage objektů blob
Role čtenáře Azure Resource Manager úloh

Pokud chcete zjistit, jak přiřadit tyto role uživateli, postupujte podle pokynů uvedených v tématu Přiřazení rolí Azure pomocí Azure Portal.

Role Čtenář je role Azure Resource Manager, která uživatelům umožňuje zobrazit prostředky účtu úložiště, ale neupravuje je. Neposkytuje oprávnění ke čtení dat v Azure Storage, ale pouze k prostředkům správy účtů. Role Čtenář je nezbytná, aby uživatelé mohli přejít na kontejnery objektů blob v Azure Portal.

Pokud například přiřadíte uživateli Mary roli Přispěvatel dat v objektech blob Storage na úrovni kontejneru s názvem sample-container, pak má Marie udělen přístup ke čtení, zápisu a odstranění ke všem objektům blob v tomto kontejneru. Pokud ale Marie chce zobrazit objekt blob v Azure Portal, pak role Přispěvatel dat v objektech blob Storage sama o sobě neposkytuje dostatečná oprávnění k přechodu přes portál na objekt blob, aby ho bylo možné zobrazit. Další oprávnění jsou nutná k procházení portálu a zobrazení dalších prostředků, které jsou zde viditelné.

Uživatel musí mít přiřazenou roli Čtenář, aby uživatel Azure Portal s přihlašovacími údaji Azure AD. Pokud má ale uživatel přiřazenou roli s oprávněními Microsoft.Storage/storageAccounts/listKeys/action, může tento uživatel používat portál s klíči účtu úložiště prostřednictvím autorizace sdíleného klíče. Pokud chcete používat klíče účtu úložiště, musí být pro účet úložiště povolený přístup ke sdílenému klíči. Další informace o povolení nebo povolení přístupu ke sdílenému klíči najdete v tématu Zabránění autorizaci sdíleného klíče Azure Storage účtu.

Můžete také přiřadit roli Azure Resource Manager, která poskytuje další oprávnění nad rámec role Čtenář. Jako osvědčený postup zabezpečení se doporučuje přiřadit co nejméně možných oprávnění. Další informace najdete v tématu Osvědčené postupy pro Azure RBAC.

Poznámka

Před přiřazením role pro přístup k datům budete mít přístup k datům ve svém účtu úložiště přes Azure Portal, protože Azure Portal může také použít klíč účtu pro přístup k datům. Další informace najdete v tématu Volba způsobu autorizace přístupu kdatům objektů blob v Azure Portal .

Verze Preview služby Průzkumník služby Storage v Azure Portal nepodporuje použití přihlašovacích údajů Azure AD k zobrazení a úpravě dat objektů blob. Průzkumník služby Storage v Azure Portal vždy používá klíče účtu pro přístup k datům. Pokud chcete Průzkumník služby Storage v Azure Portal, musíte mít přiřazenou roli, která zahrnuje Microsoft.Storage/storageAccounts/listkeys/action.

Pokud chcete k objektu zabezpečení přiřadit roli Azure pomocí PowerShellu, zavolejte příkaz New-AzRoleAssignment. Abyste mohli příkaz spustit, musíte mít roli, která zahrnuje oprávnění Microsoft.Authorization/roleAssignments/write přiřazená v odpovídajícím oboru nebo vyšším.

Formát příkazu se může lišit v závislosti na rozsahu přiřazení, ale parametry a -ObjectId -RoleDefinitionName jsou povinné. Předání hodnoty parametru, i když není povinné, se důrazně doporučuje zachovat -Scope princip nejmenšího oprávnění. Omezením rolí a oborů omezíte prostředky, které jsou ohrožené, pokud dojde k ohrožení zabezpečení objektu zabezpečení.

Parametr -ObjectId je ID Azure Active Directory (AAD) uživatele, skupiny nebo objektu služby, ke kterému se role přiřadí. K načtení identifikátoru můžete použít Get-AzADUser a Azure Active Directory uživatele, jak je znázorněno v následujícím příkladu.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

První odpověď vrátí objekt zabezpečení a druhá vrátí ID objektu objektu zabezpečení.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

Hodnota -RoleDefinitionName parametru je název role RBAC, kterou je potřeba přiřadit k objektu zabezpečení. Pro přístup k datům objektů blob v Azure Portal pomocí přihlašovacích údajů Azure AD musí mít uživatel následující přiřazení rolí:

Role přístupu k datům, například přispěvatel dat Storage objektů blob nebo čtenář dat Storage objektů blob
Role čtenáře Azure Resource Manager úloh

Pokud chcete přiřadit roli vymezenou na kontejner objektů blob nebo účet úložiště, měli byste zadat řetězec obsahující rozsah prostředku pro -Scope parametr . Tato akce odpovídá principu nejnižší úrovně oprávnění, což je koncept zabezpečení informací, ve kterém má uživatel minimální úroveň přístupu požadovanou k provádění svých pracovních funkcí. Tento postup snižuje potenciální riziko náhodného nebo úmyslného poškození, které může způsobit zbytečná oprávnění.

Obor kontejneru má následující podobu:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container-name>

Obor účtu úložiště má následující podobu:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>

Pokud chcete přiřadit roli vymezenou k účtu úložiště, zadejte řetězec obsahující rozsah kontejneru pro --scope parametr .

Následující příklad přiřadí uživateli Storage role Přispěvatel dat v objektech blob s oborem kontejneru sample-container. Nezapomeňte nahradit ukázkové hodnoty a zástupné hodnoty v hranatých závorkách vlastními hodnotami:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/sample-container"

Následující příklad přiřadí uživateli Storage role Čtenář dat v objektech blob zadáním ID objektu. Přiřazení role je vymezené na účet úložiště s názvem storage-account. Nezapomeňte nahradit ukázkové hodnoty a zástupné hodnoty v hranatých závorkách vlastními hodnotami:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/storage-account"

Výstup by měl vypadat přibližně takto:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Informace o přiřazování rolí pomocí PowerShellu v oboru předplatného nebo skupiny prostředků najdete v tématu Přiřazení rolí Azure pomocí Azure PowerShell.

Pokud chcete k objektu zabezpečení přiřadit roli Azure pomocí Azure CLI, použijte příkaz az role assignment create. Formát příkazu se může lišit v závislosti na rozsahu přiřazení. Formát příkazu se může lišit v závislosti na rozsahu přiřazení. Abyste mohli příkaz spustit, musíte mít roli, která zahrnuje oprávnění Microsoft.Authorization/roleAssignments/write přiřazená v odpovídajícím oboru nebo vyšším.

Pokud chcete přiřadit roli vymezenou kontejneru, zadejte řetězec obsahující rozsah kontejneru pro --scope parametr . Obor kontejneru má následující podobu:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container-name>

Následující příklad přiřadí uživateli Storage role Přispěvatel dat v objektech blob s oborem na úrovni kontejneru. Nezapomeňte nahradit ukázkové hodnoty a zástupné hodnoty v hranatých závorkách vlastními hodnotami:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>"

Informace o přiřazování rolí pomocí PowerShellu v oboru předplatného, skupiny prostředků nebo účtu úložiště najdete v tématu Přiřazení rolí Azure pomocí Azure CLI.

Mějte na paměti následující body týkající se přiřazení rolí Azure v Azure Storage:

Když vytvoříte účet Azure Storage, nepřidělí se vám automaticky oprávnění pro přístup k datům přes Azure AD. Musíte si explicitně přiřadit roli Azure pro Azure Storage. Můžete ho přiřadit na úrovni předplatného, skupiny prostředků, účtu úložiště nebo kontejneru.
Pokud je účet úložiště uzamčen zámkem Azure Resource Manager jen pro čtení, zámek zabrání přiřazení rolí Azure, které jsou vymezené na účet úložiště nebo kontejner.
Pokud jste nastavili příslušná oprávnění k povolení přístupu k datům přes Azure AD a nemůžete získat přístup k datům, například se zobrazuje chyba AuthorizationPermissionMismatch. Ujistěte se, že máte dostatek času na replikaci změn oprávnění, které jste provedli v Azure AD, a ujistěte se, že nemáte žádná přiřazení zamítnutí, která blokují váš přístup. Další informace najdete v tématu Principy přiřazení zamítnutí Azure.

Přiřazení role Azure pro přístup k datům objektů blob

Ohodnoťte vaše zkušenosti

Přiřazení role Azure

Další kroky