Verwenden des Azure-Portals zum Zuweisen einer RBAC-Rolle für den Zugriff auf Blob- und WarteschlangendatenUse the Azure portal to assign an RBAC role for access to blob and queue data

Azure Active Directory (Azure AD) autorisiert Rechte für den Zugriff auf abgesicherte Ressourcen über die rollenbasierte Zugriffssteuerung (RBAC).Azure Active Directory (Azure AD) authorizes access rights to secured resources through role-based access control (RBAC). Azure Storage bietet eine Reihe integrierter RBAC-Rollen mit allgemeinen Berechtigungssätzen für den Zugriff auf Blob- und Warteschlangendaten.Azure Storage defines a set of built-in RBAC roles that encompass common sets of permissions used to access blob or queue data.

Wenn einem Azure AD-Sicherheitsprinzipal eine RBAC-Rolle zugewiesen wird, gewährt Azure diesem Sicherheitsprinzipal Zugriff auf diese Ressourcen.When an RBAC role is assigned to an Azure AD security principal, Azure grants access to those resources for that security principal. Der Zugriff kann auf die Ebene des Abonnements, der Ressourcengruppe, des Speicherkontos oder eines einzelnen Containers oder einer Warteschlange begrenzt werden.Access can be scoped to the level of the subscription, the resource group, the storage account, or an individual container or queue. Eine Azure AD-Sicherheitsprinzipal kann ein Benutzer, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Identität für Azure-Ressourcen sein.An Azure AD security principal may be a user, a group, an application service principal, or a managed identity for Azure resources.

In diesem Artikel wird beschrieben, wie Sie im Azure-Portal RBAC-Rollen zuweisen.This article describes how to use the Azure portal to assign RBAC roles. Das Azure-Portal bietet eine einfache Benutzeroberfläche für die Zuweisung von RBAC-Rollen und die Verwaltung des Zugriffs auf Ihre Speicherressourcen.The Azure portal provides a simple interface for assigning RBAC roles and managing access to your storage resources. Sie können RBAC-Rollen auch für Blob- und Warteschlangenressourcen mithilfe von Azure-Befehlszeilentools oder Azure Storage-Verwaltungs-APIs zuweisen.You can also assign RBAC roles for blob and queue resources using Azure command-line tools or the Azure Storage management APIs. Weitere Informationen zu RBAC-Rollen für Speicherressourcen finden Sie unter Authentifizieren des Zugriffs auf Azure-Blobs und -Warteschlangen mit Azure Active Directory.For more information about RBAC roles for storage resources, see Authenticate access to Azure blobs and queues using Azure Active Directory.

RBAC-Rollen für Blobs und WarteschlangenRBAC roles for blobs and queues

Azure stellt die folgenden integrierten Azure-Rollen zum Autorisieren des Zugriffs auf Blob- und Warteschlangendaten mit Azure AD und OAuth bereit:Azure provides the following Azure built-in roles for authorizing access to blob and queue data using Azure AD and OAuth:

Nur Rollen, die explizit für den Datenzugriff definiert sind, ermöglichen einem Sicherheitsprinzipal den Zugriff auf Blob- oder Warteschlangendaten.Only roles explicitly defined for data access permit a security principal to access blob or queue data. Integrierte Rollen wie Besitzer, Mitwirkender und Speicherkontomitwirkender gestatten einem Sicherheitsprinzipal die Verwaltung eines Speicherkontos, gewähren aber keinen Zugriff auf die Blob- oder Warteschlangendaten in diesem Konto über Azure AD.Built-in roles such as Owner, Contributor, and Storage Account Contributor permit a security principal to manage a storage account, but do not provide access to the blob or queue data within that account via Azure AD. Wenn eine Rolle jedoch Microsoft.Storage/storageAccounts/listKeys/action enthält, kann ein Benutzer, dem diese Rolle zugewiesen ist, über die Autorisierung mit gemeinsam verwendetem Schlüssel mit den Kontozugriffsschlüsseln auf Daten im Speicherkonto zugreifen.However, if a role includes the Microsoft.Storage/storageAccounts/listKeys/action, then a user to whom that role is assigned can access data in the storage account via Shared Key authorization with the account access keys. Weitere Informationen finden Sie unter Zugreifen auf Blob- oder Warteschlangendaten über das Azure-Portal.For more information, see Use the Azure portal to access blob or queue data.

Ausführliche Informationen zu integrierten Azure-Rollen für Azure Storage für die Datendienste und den Verwaltungsdienst finden Sie im Artikel In Azure integrierte Rollen für Azure RBAC im Abschnitt Storage.For detailed information about Azure built-in roles for Azure Storage for both the data services and the management service, see the Storage section in Azure built-in roles for Azure RBAC. Informationen zu den verschiedenen Typen von Rollen, die Berechtigungen in Azure bereitstellen, finden Sie unter Administratorrollen für klassische Abonnements, Azure RBAC-Rollen und Azure AD-Rollen.Additionally, for information about the different types of roles that provide permissions in Azure, see Classic subscription administrator roles, Azure RBAC roles, and Azure AD roles.

Wichtig

Die Verteilung von RBAC-Rollenzuweisungen kann bis zu fünf Minuten dauern.RBAC role assignments may take up to five minutes to propagate.

Bestimmen des RessourcenumfangsDetermine resource scope

Bevor Sie einem Sicherheitsprinzipal eine RBAC-Rolle zuweisen, legen Sie den Zugriffsbereich fest, den der Sicherheitsprinzipal haben soll.Before you assign an RBAC role to a security principal, determine the scope of access that the security principal should have. Es hat sich als am besten bewährt, stets nur den kleinstmöglichen Umfang an Zugriffsrechten zu gewähren.Best practices dictate that it's always best to grant only the narrowest possible scope.

In der folgenden Liste werden die Ebenen beschrieben, auf denen Sie den Zugriff auf Azure-Blob- und -Warteschlangenressourcen einschränken können, beginnend mit dem kleinstmöglichen Umfang:The following list describes the levels at which you can scope access to Azure blob and queue resources, starting with the narrowest scope:

  • Ein einzelner Container.An individual container. Bei diesem Umfang gilt eine Rollenzuweisung für alle Blobs im Container sowie für Containereigenschaften und Metadaten.At this scope, a role assignment applies to all of the blobs in the container, as well as container properties and metadata.
  • Eine einzelne Warteschlange.An individual queue. Bei diesem Umfang gilt eine Rollenzuweisung für Nachrichten in der Warteschlange sowie für Warteschlangeneigenschaften und Metadaten.At this scope, a role assignment applies to messages in the queue, as well as queue properties and metadata.
  • Das Speicherkonto.The storage account. Bei diesem Umfang gilt eine Rollenzuweisung für alle Container und deren Blobs oder für alle Warteschlangen und deren Nachrichten.At this scope, a role assignment applies to all containers and their blobs, or to all queues and their messages.
  • Die Ressourcengruppe.The resource group. Bei diesem Umfang gilt eine Rollenzuweisung für alle Container oder Warteschlangen in allen Speicherkonten der Ressourcengruppe.At this scope, a role assignment applies to all of the containers or queues in all of the storage accounts in the resource group.
  • Das Abonnement.The subscription. Bei diesem Umfang gilt eine Rollenzuweisung für alle Container oder Warteschlangen in allen Speicherkonten in allen Ressourcengruppen des Abonnements.At this scope, a role assignment applies to all of the containers or queues in all of the storage accounts in all of the resource groups in the subscription.
  • Eine Verwaltungsgruppe.A management group. Bei diesem Umfang gilt eine Rollenzuweisung für alle Container oder Warteschlangen in allen Speicherkonten in allen Ressourcengruppen und allen Abonnements in der Ressourcengruppe.At this scope, a role assignment applies to all of the containers or queues in all of the storage accounts in all of the resource groups in all of the subscriptions in the management group.

Weitere Informationen zur RBAC-Rollenzuweisung und zum Umfang finden Sie unter Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?.For more information about RBAC role assignments and scope, see What is Azure role-based access control (Azure RBAC)?.

Zuweisen von RBAC-Rollen im Azure-PortalAssign RBAC roles using the Azure portal

Nachdem Sie den gewünschten Umfang für eine Rollenzuweisung festgelegt haben, navigieren Sie im Azure-Portal zur entsprechenden Ressource.After you have determined the appropriate scope for a role assignment, navigate to that resource in the Azure portal. Zeigen Sie die Einstellungen für die Zugriffssteuerung (IAM) für die Ressource an, und befolgen Sie diese Anweisungen zum Verwalten von Rollenzuweisungen:Display the Access Control (IAM) settings for the resource, and follow these instructions to manage role assignments:

  1. Weisen Sie die entsprechende Azure Storage-RBAC-Rolle zu, um einem Azure AD-Sicherheitsprinzipal Zugriff zu gewähren.Assign the appropriate Azure Storage RBAC role to grant access to an Azure AD security principal.

  2. Weisen Sie die Azure Resource Manager-Rolle Leser Benutzern zu, die über das Azure-Portal mit ihren Azure AD-Anmeldeinformationen auf Container oder Warteschlangen zugreifen müssen.Assign the Azure Resource Manager Reader role to users who need to access containers or queues via the Azure portal using their Azure AD credentials.

In den folgenden Abschnitten werden diese Schritte ausführlicher beschrieben.The following sections describe each of these steps in more detail.

Hinweis

Als Besitzer Ihres Azure Storage-Kontos erhalten Sie nicht automatisch Berechtigungen für den Zugriff auf Daten.As an owner of your Azure Storage account, you are not automatically assigned permissions to access data. Sie müssen sich selbst explizit eine RBAC-Rolle für Azure Storage zuweisen.You must explicitly assign yourself an RBAC role for Azure Storage. Sie können sie auf der Ebene Ihres Abonnements, einer Ressourcengruppe, eines Speicherkontos oder eines Containers oder einer Warteschlange zuordnen.You can assign it at the level of your subscription, resource group, storage account, or a container or queue.

Sie können einem Container oder einer Warteschlange keine Rolle zuweisen, wenn in Ihrem Speicherkonto ein hierarchischer Namespace aktiviert ist.You cannot assign a role scoped to a container or queue if your storage account has a hierarchical namespace enabled.

Zuweisen einer integrierten RBAC-RolleAssign a built-in RBAC role

Bevor Sie einem Sicherheitsprinzipal eine Rolle zuweisen, stellen Sie sicher, dass Sie den Umfang der Berechtigungen berücksichtigen, die Sie erteilen.Before you assign a role to a security principal, be sure to consider the scope of the permissions you are granting. Legen Sie mithilfe des Abschnitts Bestimmen des Ressourcenumfangs den gewünschten Umfang fest.Review the Determine resource scope section to decide the appropriate scope.

Die hier gezeigte Vorgehensweise weist eine auf einen Container begrenzte Rolle zu, aber Sie können die gleichen Schritte ausführen, um eine auf eine Warteschlange begrenzte Rolle zuzuweisen:The procedure shown here assigns a role scoped to a container, but you can follow the same steps to assign a role scoped to a queue:

  1. Navigieren Sie im Azure-Portal zu Ihrem Speicherkonto, und zeigen Sie die Übersicht für das Konto an.In the Azure portal, go to your storage account and display the Overview for the account.

  2. Wählen Sie unter „Dienste“ die Option Blobs aus.Under Services, select Blobs.

  3. Navigieren Sie zum Container, dem Sie eine Rolle zuweisen möchten, und zeigen Sie die Einstellungen des Containers an.Locate the container for which you want to assign a role, and display the container's settings.

  4. Wählen Sie Zugriffssteuerung (IAM) aus, um Zugriffssteuerungseinstellungen für den Container anzuzeigen.Select Access control (IAM) to display access control settings for the container. Wählen Sie die Registerkarte Rollenzuweisungen aus, um die Liste mit den Rollenzuweisungen anzuzeigen.Select the Role assignments tab to see the list of role assignments.

    Screenshot mit Zugriffssteuerungseinstellungen für den Container

  5. Klicken Sie auf die Schaltfläche Rollenzuweisung hinzufügen, um eine neue Rolle hinzuzufügen.Click the Add role assignment button to add a new role.

  6. Wählen Sie im Fenster Rollenzuweisung hinzufügen die Azure Storage-Rolle aus, die Sie zuweisen möchten.In the Add role assignment window, select the Azure Storage role that you want to assign. Suchen Sie dann den Sicherheitsprinzipal, dem Sie diese Rolle zuweisen möchten.Then search to locate the security principal to which you want to assign that role.

    Screenshot: Zuweisen einer RBAC-Rolle

  7. Klicken Sie auf Speichern.Click Save. Die Identität, der Sie die Rolle zugewiesen haben, wird unter dieser Rolle angezeigt.The identity to whom you assigned the role appears listed under that role. Die folgende Abbildung zeigt z.B., dass der hinzugefügte Benutzer nun Leseberechtigungen für Daten im Container sample-container hat.For example, the following image shows that the user added now has read permissions to data in the container named sample-container.

    Screenshot mit einer Liste von Benutzern, denen eine Rolle zugewiesen ist

Sie können ähnliche Schritte ausführen, um eine Rolle zuzuweisen, deren Umfang für ein Speicherkonto, eine Ressourcengruppe oder ein Abonnement gilt.You can follow similar steps to assign a role scoped to the storage account, resource group, or subscription.

Zuweisen der Rolle „Leser“ für den PortalzugriffAssign the Reader role for portal access

Wenn Sie einem Sicherheitsprinzipal eine integrierte oder benutzerdefinierte Rolle für Azure Storage zuweisen, erteilen Sie diesem Sicherheitsprinzipal die Berechtigung, Vorgänge auf Daten in Ihrem Speicherkonto anzuwenden.When you assign a built-in or custom role for Azure Storage to a security principal, you are granting permissions to that security principal to perform operations on data in your storage account. Die integrierten Rollen des Typs Datenleser bieten Leserechte für die Daten in einem Container oder einer Warteschlange, während die integrierten Rollen des Typs Mitwirkender an Daten Lese-, Schreib- und Löschrechte für einen Container oder eine Warteschlange erteilen.The built-in Data Reader roles provide read permissions for the data in a container or queue, while the built-in Data Contributor roles provide read, write, and delete permissions to a container or queue. Berechtigungen beziehen sich auf die angegebene Ressource.Permissions are scoped to the specified resource.
Wenn Sie beispielsweise der Benutzerin Mary die Rolle Mitwirkender an Storage-Warteschlangendaten auf der Ebene eines Containers namens sample-container zuweisen, erhält Mary Lese-, Schreib- und Löschzugriff auf alle Blobs in diesem Container.For example, if you assign the Storage Blob Data Contributor role to user Mary at the level of a container named sample-container, then Mary is granted read, write, and delete access to all of the blobs in that container.

Wenn Mary jedoch ein Blob im Azure-Portal anzeigen möchte, bietet die Rolle Mitwirkender an Storage-Warteschlangendaten allein nicht genügend Berechtigungen, um im Portal zum Blob zu navigieren, um ihn anzuzeigen.However, if Mary wants to view a blob in the Azure portal, then the Storage Blob Data Contributor role by itself will not provide sufficient permissions to navigate through the portal to the blob in order to view it. Zusätzliche Azure AD-Berechtigungen sind erforderlich, um durch das Portal zu navigieren und die anderen Ressourcen anzuzeigen, die dort sichtbar sind.Additional Azure AD permissions are required to navigate through the portal and view the other resources that are visible there.

Wenn Ihre Benutzer auf Blobs im Azure-Portal zugreifen können müssen, weisen Sie ihnen auf der Ebene des Speicherkontos oder höher die zusätzliche RBAC-Rolle Leser zu.If your users need to be able to access blobs in the Azure portal, then assign them an additional RBAC role, the Reader role, to those users, at the level of the storage account or above. Die Rolle Leser ist eine Azure Resource Manager-Rolle, die es Benutzern ermöglicht, Ressourcen im Speicherkonto anzuzeigen, ohne sie ändern zu können.The Reader role is an Azure Resource Manager role that permits users to view storage account resources, but not modify them. Sie bietet keine Leseberechtigungen für Daten in Azure Storage, sondern nur für Ressourcen zur Kontoverwaltung.It does not provide read permissions to data in Azure Storage, but only to account management resources.

Führen Sie diese Schritte aus, um die Rolle Leser so zuzuweisen, dass ein Benutzer im Azure-Portal auf Blobs zugreifen kann.Follow these steps to assign the Reader role so that a user can access blobs from the Azure portal. In diesem Beispiel ist die Zuweisung auf das Speicherkonto beschränkt:In this example, the assignment is scoped to the storage account:

  1. Navigieren Sie im Azure-Portal zu Ihrem Speicherkonto.In the Azure portal, navigate to your storage account.
  2. Wählen Sie Zugriffssteuerung (IAM) aus, um Zugriffssteuerungseinstellungen für das Speicherkonto anzuzeigen.Select Access control (IAM) to display the access control settings for the storage account. Wählen Sie die Registerkarte Rollenzuweisungen aus, um die Liste mit den Rollenzuweisungen anzuzeigen.Select the Role assignments tab to see the list of role assignments.
  3. Wählen Sie im Fenster Rollenzuweisung hinzufügen die Rolle Leser aus.In the Add role assignment window, select the Reader role.
  4. Wählen Sie im Feld Zugriff zuweisen zu die Option Azure AD-Benutzer, -Gruppe oder -Dienstprinzipal aus.From the Assign access to field, select Azure AD user, group, or service principal.
  5. Suchen Sie den Sicherheitsprinzipal, dem Sie die Rolle zuweisen möchten.Search to locate the security principal to which you want to assign the role.
  6. Speichern Sie die Rollenzuweisung.Save the role assignment.

Die Zuweisung der Rolle Leser ist nur für Benutzer erforderlich, die über das Azure-Portal auf Blobs oder Warteschlangen zugreifen müssen.Assigning the Reader role is necessary only for users who need to access blobs or queues using the Azure portal.

Wichtig

Die Vorschauversion von Azure Storage-Explorer im Azure-Portal unterstützt nicht die Verwendung von Azure AD-Anmeldeinformationen zum Anzeigen und Ändern von Blob- und Warteschlangendaten.The preview version of Storage Explorer in the Azure portal does not support using Azure AD credentials to view and modify blob or queue data. Storage-Explorer im Azure-Portal verwendet immer die Kontoschlüssel für den Zugriff auf Daten.Storage Explorer in the Azure portal always uses the account keys to access data. Um Storage-Explorer im Azure-Portal verwenden zu können, muss Ihnen eine Rolle zugewiesen werden, in der Microsoft.Storage/storageAccounts/listkeys/action enthalten ist.To use Storage Explorer in the Azure portal, you must be assigned a role that includes Microsoft.Storage/storageAccounts/listkeys/action.

Nächste SchritteNext steps