Attribuer un rôle Azure pour l’accès aux données de table
Microsoft Entra autorise des droits d’accès aux ressources sécurisées en utilisant le contrôle d’accès en fonction du rôle Azure (RBAC Azure). Le service Stockage Azure définit des un ensemble de rôles intégrés Azure englobant les ensembles communs d'autorisations qui permettent d'accéder aux données de table dans Stockage Azure.
Quand un rôle Azure est attribué à un principal de sécurité Microsoft Entra, Azure accorde l’accès à ces ressources pour ce principal de sécurité. Un principal de sécurité Microsoft Entra peut être un utilisateur, un groupe, un principal de service d’application ou une identité managée pour les ressources Azure.
Pour en savoir plus sur l’utilisation de Microsoft Entra ID afin d’autoriser l’accès aux données de table, consultez Autoriser l’accès aux tables avec Microsoft Entra ID.
Affecter un rôle Azure
Vous pouvez utiliser PowerShell, Azure CLI ou un modèle Azure Resource Manager pour attribuer un rôle d’accès aux données.
Important
Le portail Azure ne prend pas actuellement en charge l’attribution d’un rôle RBAC Azure étendu à la table. Pour attribuer un rôle à une étendue de table, utilisez PowerShell, Azure CLI ou Azure Resource Manager.
Vous pouvez utiliser la Portail Azure pour affecter un rôle qui accorde l’accès aux données de table à une ressource Azure Resource Manager, telle que le compte de stockage, le groupe de ressources ou l’abonnement.
Pour attribuer un rôle Azure à un principal de sécurité, appelez la commande New-AzRoleAssignment. Le format de la commande peut varier selon l’étendue de l’affectation. Pour exécuter la commande, vous devez disposer d’un rôle qui comprend des autorisations Microsoft.Authorization/roleAssignments/write qui vous sont assignées au niveau de l’étendue correspondante ou ci-dessus.
Pour attribuer un rôle limité à une table, indiquez une chaîne contenant l’étendue de la table pour le paramètre --scope. L’étendue d’une table a la forme :
/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>
L’exemple suivant attribue le rôle Contributeur aux données de la table du stockage à un utilisateur, limité au niveau de la table. Veillez à remplacer les valeurs de l’exemple et les valeurs d’espace réservé entre les crochets par vos propres valeurs :
New-AzRoleAssignment -SignInName <email> `
-RoleDefinitionName "Storage Table Data Contributor" `
-Scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"
Pour plus d’informations sur l’attribution de rôles avec PowerShell au niveau de l’abonnement, du groupe de ressources ou de l’étendue du compte de stockage, consultez Affecter des rôles Azure à l’aide d’Azure PowerShell.
Gardez à l’esprit les points suivants concernant les attributions de rôles Azure dans Stockage Azure :
- Quand vous créez un compte de stockage Azure, vous ne recevez automatiquement aucune autorisation pour accéder aux données avec Microsoft Entra ID. Vous devez vous attribuer explicitement un rôle Azure pour le Stockage Azure. Vous pouvez l’attribuer au niveau de votre abonnement, groupe de ressources, compte de stockage, conteneur ou table.
- Si le compte de stockage est verrouillé à l’aide d’un verrou en lecture seule Azure Resource Manager, le verrou empêche l’attribution de rôles Azure étendus au compte de stockage ou à une table.