Menetapkan peran Azure untuk akses ke data blob

Azure Active Directory (AAD) mengotorisasi hak akses ke sumber daya yang aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Storage mendefinisikan set peran bawaan Azure yang mencakup set izin umum yang digunakan untuk mengakses data blob.

Saat peran Azure ditetapkan ke perwakilan keamanan Azure AD, Azure memberikan akses ke sumber daya tersebut untuk perwakilan keamanan tersebut. Perwakilan keamanan Azure AD dapat berupa pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.

Untuk mempelajari lebih lanjut tentang menggunakan Microsoft Azure AD untuk mengotorisasi akses ke data blob, lihat Mengotorisasi akses ke blob menggunakan Azure Active Directory.

Catatan

Artikel ini memperlihatkan cara menetapkan peran Azure untuk akses ke data blob di akun penyimpanan. Untuk mempelajari tentang menetapkan peran untuk operasi manajemen di Azure Storage, lihat Menggunakan penyedia sumber daya Azure Storage untuk mengakses sumber daya manajemen.

Menetapkan peran Azure

Anda dapat menggunakan portal Microsoft Azure, PowerShell, Azure CLI, atau templat Azure Resource Manager untuk menetapkan peran bagi akses data.

Untuk mengakses data blob portal Microsoft Azure dengan informasi masuk Azure Active Directory, pengguna harus memiliki penetapan peran berikut ini:

  • Peran akses data, seperti Kontributor Data Blob Penyimpanan
  • Peran Pembaca Azure Resource Manager

Untuk mempelajari cara menetapkan peran ini kepada pengguna, ikuti petunjuk yang disediakan di Menetapkan peran Azure menggunakan portal Microsoft Azure.

Peran Pembaca merupakan peran Azure Resource Manager yang memungkinkan pengguna melihat sumber daya akun penyimpanan, tetapi tidak mengubahnya. Peran ini tidak menyediakan izin baca ke data di Azure Storage, tetapi hanya untuk sumber daya manajemen akun. Peran Pembaca diperlukan agar pengguna dapat menavigasi ke kontainer blob di portal Microsoft Azure.

Misalnya, jika Anda menetapkan peran Kontributor Data Blob Penyimpanan kepada pengguna Mary pada tingkat kontainer bernama sampel-container, maka Mary diberi akses baca, tulis, dan hapus ke semua blob dalam kontainer tersebut. Namun, jika Mary ingin melihat blob di portal Microsoft Azure, maka peran Kontributor Data Blob Penyimpanan dengan sendirinya tidak akan memberikan izin yang memadai untuk masuk melalui portal ke blob guna melihatnya. Izin tambahan diperlukan untuk menavigasi melalui portal dan menampilkan sumber daya lain yang tampak di sana.

Pengguna harus diberi peran Pembaca untuk menggunakan portal Microsoft Azure dengan informasi masuk Microsoft Azure AD. Namun, jika pengguna telah diberi peran dengan izin Microsoft.Storage/storageAccounts/listKeys/action, pengguna dapat menggunakan portal dengan kunci akun penyimpanan, melalui otorisasi Kunci Bersama. Untuk menggunakan kunci akun penyimpanan, akses Kunci Bersama harus diizinkan untuk akun penyimpanan. Untuk informasi selengkapnya tentang mengizinkan atau melarang akses Kunci Bersama, lihat Mencegah otorisasi Kunci Bersama untuk akun Microsoft Azure Storage.

Anda juga dapat menetapkan peran Azure Resource Manager yang memberikan izin tambahan selain peran Pembaca. Sebaiknya tetapkan izin seminimal mungkin sebagai praktik terbaik keamanan. Untuk informasi selengkapnya, lihat Praktik terbaik untuk Azure RBAC.

Catatan

Sebelum menetapkan peran untuk akses data ke diri Anda sendiri, Anda akan dapat mengakses data di akun penyimpanan melalui portal Microsoft Azure karena portal Microsoft Azure juga dapat menggunakan kunci akun untuk akses data. Untuk informasi selengkapnya, lihat Memilih cara memberi otorisasi akses ke data blob di portal Microsoft Azure.

Versi pratinjau Storage Explorer di portal Microsoft Azure tidak mendukung penggunaan kredensial Microsoft Azure AD untuk menampilkan dan memodifikasi data blob. Storage Explorer di portal Microsoft Azure selalu menggunakan kunci akun untuk mengakses data. Untuk menggunakan Storage Explorer di portal Microsoft Azure, Anda harus diberi peran yang menyertakan Microsoft.Storage/storageAccounts/listkeys/action.

Ingat poin-poin berikut tentang penetapan peran Azure di Microsoft Azure Storage:

  • Saat membuat akun Azure Storage, Anda tidak secara otomatis diberi izin untuk mengakses data melalui Azure AD. Anda harus secara eksplisit menetapkan peran Azure untuk Azure Storage ke diri Anda sendiri. Anda dapat menetapkannya di tingkat langganan, grup sumber daya, akun penyimpanan, atau kontainer.
  • Jika akun penyimpanan dikunci dengan kunci baca-saja Azure Resource Manager, maka kunci tersebut mencegah penetapan peran Azure yang dicakupkan ke akun penyimpanan atau kontainer.
  • Jika Anda telah mengatur izin yang sesuai untuk mengakses data melalui Microsoft Azure AD dan tidak dapat mengakses data, misalnya Anda mendapatkan kesalahan "AuthorizationPermissionMismatch". Pastikan untuk memberikan waktu yang cukup agar perubahan izin yang Anda buat di Microsoft Azure AD direplikasi, dan pastikan Anda tidak memiliki tugas penolakan yang memblokir akses Anda, lihat Memahami tugas penolakan Azure.

Langkah berikutnya