Menetapkan peran Azure untuk akses ke data blob

Microsoft Entra mengotorisasi hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Storage menentukan sekumpulan peran bawaan Azure yang mencakup kumpulan izin umum yang digunakan untuk mengakses data blob.

Saat peran Azure ditetapkan ke perwakilan keamanan Microsoft Entra, Azure memberikan akses ke sumber daya tersebut untuk prinsip keamanan tersebut. Perwakilan keamanan Microsoft Entra dapat berupa pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.

Untuk mempelajari selengkapnya tentang menggunakan ID Microsoft Entra untuk mengotorisasi akses ke data blob, lihat Mengotorisasi akses ke blob menggunakan ID Microsoft Entra.

Catatan

Artikel ini memperlihatkan cara menetapkan peran Azure untuk akses ke data blob di akun penyimpanan. Untuk mempelajari tentang menetapkan peran untuk operasi manajemen di Azure Storage, lihat Menggunakan penyedia sumber daya Azure Storage untuk mengakses sumber daya manajemen.

Menetapkan peran Azure

Anda dapat menggunakan portal Microsoft Azure, PowerShell, Azure CLI, atau templat Azure Resource Manager untuk menetapkan peran bagi akses data.

Portal Azure

Untuk mengakses data blob di portal Azure dengan kredensial Microsoft Entra, pengguna harus memiliki penetapan peran berikut:

• Peran akses data, seperti Pembaca Data Blob Penyimpanan atau Kontributor Data Blob Penyimpanan
• Peran Pembaca Azure Resource Manager, minimal

Untuk mempelajari cara menetapkan peran ini kepada pengguna, ikuti petunjuk yang disediakan di Menetapkan peran Azure menggunakan portal Microsoft Azure.

Peran Pembaca merupakan peran Azure Resource Manager yang memungkinkan pengguna melihat sumber daya akun penyimpanan, tetapi tidak mengubahnya. Ini tidak menyediakan izin baca untuk data di Azure Storage, tetapi hanya untuk sumber daya manajemen akun. Peran Pembaca diperlukan agar pengguna dapat menavigasi ke kontainer blob di portal Microsoft Azure.

Misalnya, jika Anda menetapkan peran Kontributor Data Blob Penyimpanan kepada pengguna Mary pada tingkat kontainer bernama sampel-container, maka Mary diberi akses baca, tulis, dan hapus ke semua blob dalam kontainer tersebut. Namun, jika Mary ingin melihat blob di portal Azure, maka peran Kontributor Data Blob Penyimpanan dengan sendirinya tidak akan memberikan izin yang memadai untuk menavigasi melalui portal ke blob untuk melihatnya. Izin tambahan diperlukan untuk menavigasi melalui portal dan menampilkan sumber daya lain yang tampak di sana.

Pengguna harus diberi peran Pembaca untuk menggunakan portal Azure dengan kredensial Microsoft Entra. Namun, jika pengguna diberi peran dengan izin Microsoft.Storage/storageAccounts/listKeys/action , maka pengguna dapat menggunakan portal dengan kunci akun penyimpanan, melalui otorisasi Kunci Bersama. Untuk menggunakan kunci akun penyimpanan, akses Kunci Bersama harus diizinkan untuk akun penyimpanan. Untuk informasi selengkapnya tentang mengizinkan atau melarang akses Kunci Bersama, lihat Mencegah otorisasi Kunci Bersama untuk akun Microsoft Azure Storage.

Anda juga dapat menetapkan peran Azure Resource Manager yang menyediakan izin tambahan di luar peran Pembaca . Sebaiknya tetapkan izin seminimal mungkin sebagai praktik terbaik keamanan. Untuk informasi selengkapnya, lihat Praktik terbaik untuk Azure RBAC.

Catatan

Sebelum menetapkan peran untuk akses data ke diri Anda sendiri, Anda akan dapat mengakses data di akun penyimpanan melalui portal Microsoft Azure karena portal Microsoft Azure juga dapat menggunakan kunci akun untuk akses data. Untuk informasi selengkapnya, lihat Memilih cara memberi otorisasi akses ke data blob di portal Microsoft Azure.

PowerShell

Untuk menetapkan peran Azure ke prinsip keamanan dengan PowerShell, panggil perintah New-AzRoleAssignment. Untuk menjalankan perintah, Anda harus memiliki peran yang menyertakan izin Microsoft.Authorization/roleAssignments/write yang ditetapkan kepada Anda pada cakupan yang sesuai atau yang lebih tinggi.

Format perintah dapat berbeda berdasarkan cakupan penugasan, tetapi -ObjectId dan -RoleDefinitionName adalah parameter yang diperlukan. Melewati nilai untuk parameter -Scope, meskipun tidak diperlukan, sangat disarankan untuk mempertahankan prinsip hak istimewa paling rendah. Dengan membatasi peran dan cakupan, Anda membatasi sumber daya yang berisiko jika prinsip keamanan pernah disusupi.

Parameter -ObjectId adalah ID objek Microsoft Entra dari pengguna, grup, atau perwakilan layanan tempat peran ditetapkan. Untuk mengambil pengidentifikasi, Anda dapat menggunakan Get-AzADUser untuk memfilter pengguna Microsoft Entra, seperti yang ditunjukkan dalam contoh berikut.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Respons pertama menampilkan prinsip keamanan, dan yang kedua menampilkan ID objek prinsipal keamanan.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

Nilai parameter -RoleDefinitionName adalah nama peran RBAC yang perlu ditetapkan ke prinsipal. Untuk mengakses data blob di portal Azure dengan kredensial Microsoft Entra, pengguna harus memiliki penetapan peran berikut:

• Peran akses data, seperti Kontributor Data Blob Penyimpanan atau Pembaca Data Blob Penyimpanan
• Peran Pembaca Azure Resource Manager

Untuk menetapkan peran yang dicakup ke kontainer blob atau akun penyimpanan, Anda harus menentukan string yang berisi cakupan sumber daya untuk parameter -Scope. Tindakan ini sesuai dengan prinsip hak istimewa paling rendah, sebuah konsep keamanan informasi tempat pengguna diberikan tingkat akses minimum yang diperlukan untuk melakukan fungsi pekerjaan mereka. Praktik ini mengurangi potensi risiko kerusakan yang tidak disengaja atau disengaja yang dapat ditimbulkan oleh hak istimewa yang tidak perlu.

Cakupan untuk kontainer ada dalam formulir:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Cakupan untuk akun penyimpanan ada dalam formulir:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Untuk menetapkan peran yang dicakup ke akun penyimpanan, tentukan string yang berisi cakupan kontainer untuk parameter --scope.

Contoh berikut menetapkan peran Kontributor Data Blob Penyimpanan kepada pengguna. Penetapan peran dilingkup ke tingkat kontainer. Pastikan untuk mengganti nilai sampel dan nilai tempat penampung dalam tanda kurung siku (<>) dengan nilai Anda sendiri:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Contoh berikut menetapkan peran Pembaca Data Blob Penyimpanan kepada pengguna dengan menetapkan ID objek. Penetapan peran dilingkupkan ke tingkat akun penyimpanan. Pastikan untuk mengganti nilai sampel dan nilai tempat penampung dalam tanda kurung siku (<>) dengan nilai Anda sendiri:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Output Anda harus sama dengan output berikut:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Untuk informasi tentang menetapkan peran dengan PowerShell di cakupan langganan atau grup sumber daya, lihat Menetapkan peran Azure menggunakan Azure PowerShell.

Azure CLI

Untuk menetapkan peran Azure ke perwakilan keamanan, gunakan perintah az role assignment create. Format perintah dapat berbeda berdasarkan cakupan penugasan. Untuk menjalankan perintah, Anda harus memiliki peran yang menyertakan izin Microsoft.Authorization/roleAssignments/write yang ditetapkan kepada Anda pada cakupan yang sesuai atau yang lebih tinggi.

Untuk menetapkan peran yang dicakup ke kontainer, tentukan string yang berisi cakupan kontainer untuk parameter --scope. Cakupan untuk kontainer ada dalam formulir:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Contoh berikut menetapkan peran Kontributor Data Blob Penyimpanan kepada pengguna. Penetapan peran dilingkupkan ke tingkat kontainer. Pastikan untuk mengganti nilai sampel dan nilai tempat penampung dalam tanda kurung siku (<>) dengan nilai Anda sendiri:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Contoh berikut menetapkan peran Pembaca Data Blob Penyimpanan kepada pengguna dengan menetapkan ID objek. Untuk mempelajari selengkapnya tentang --assignee-object-id parameter dan --assignee-principal-type , lihat penetapan peran az. Dalam contoh ini, penetapan peran dilingkup ke tingkat akun penyimpanan. Pastikan untuk mengganti nilai sampel dan nilai tempat penampung dalam tanda kurung siku (<>) dengan nilai Anda sendiri:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Untuk informasi tentang menetapkan peran dengan Azure CLI di langganan, grup sumber daya, atau cakupan akun penyimpanan, lihat Menetapkan peran Azure menggunakan Azure CLI.

Templat

Untuk mempelajari cara menggunakan templat Azure Resource Manager untuk menetapkan peran Azure, lihat Menetapkan peran Azure menggunakan templat Azure Resource Manager.

Ingat poin-poin berikut tentang penetapan peran Azure di Microsoft Azure Storage:

• Saat membuat akun Azure Storage, Anda tidak secara otomatis menetapkan izin untuk mengakses data melalui ID Microsoft Entra. Anda harus secara eksplisit menetapkan peran Azure untuk Azure Storage ke diri Anda sendiri. Anda dapat menetapkannya di tingkat langganan, grup sumber daya, akun penyimpanan, atau kontainer.
• Saat Anda menetapkan peran atau menghapus penetapan peran, diperlukan waktu hingga 10 menit agar perubahan diterapkan.
• Jika akun penyimpanan dikunci dengan kunci baca-saja Azure Resource Manager, maka kunci tersebut mencegah penetapan peran Azure yang dicakupkan ke akun penyimpanan atau kontainer.
• Jika Anda mengatur izin izin izin yang sesuai untuk mengakses data melalui ID Microsoft Entra dan tidak dapat mengakses data, misalnya Anda mendapatkan kesalahan "AuthorizationPermissionMismatch". Pastikan untuk mengizinkan cukup waktu agar perubahan izin yang Anda buat di ID Microsoft Entra untuk direplikasi, dan pastikan Anda tidak memiliki tugas penolakan yang memblokir akses Anda, lihat Memahami penetapan penolakan Azure.

Catatan

Anda dapat membuat peran Azure RBAC kustom untuk akses terperinci ke data blob. Untuk informasi selengkapnya, lihat Peran kustom Azure.

Langkah berikutnya

• Apa yang dimaksud dengan kontrol akses berbasis peran Azure (Azure RBAC)?
• Praktik terbaik untuk Azure RBAC