Een Azure-rol toewijzen voor toegang tot blobgegevens

Artikel
11/04/2021
7 minuten om te lezen

Azure Active Directory (AAD) autoreert toegangsrechten voor beveiligde resources via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure Storage definieert een set ingebouwde Azure-rollen die algemene sets machtigingen omvat die worden gebruikt voor toegang tot blobgegevens.

Wanneer een Azure-rol wordt toegewezen aan een Azure AD-beveiligingsprincipaal, verleent Azure toegang tot deze resources voor die beveiligingsprincipaal. Een Azure AD-beveiligingsprincipaal kan een gebruiker, een groep, een toepassingsservice-principal of een beheerde identiteit voor Azure-resources zijn.

Zie Toegang verlenen tot blobs met behulp van Azure Active Directory voor meer informatie over het gebruik van Azure AD om toegang tot blobgegevens te Azure Active Directory.

Notitie

In dit artikel wordt beschreven hoe u een Azure-rol toewijst voor toegang tot blobgegevens in een opslagaccount. Zie Use the Azure Storage resource provider to access management resources (De resourceprovider Azure Storage gebruiken voor toegang tot beheerresources)voor meer informatie over het toewijzen van rollen voor beheerbewerkingen in Azure Storage.

Een Azure-rol toewijzen

U kunt de sjabloon Azure Portal, PowerShell, Azure CLI of een Azure Resource Manager gebruiken om een rol toe te wijzen voor gegevenstoegang.

Voor toegang tot blobgegevens in Azure Portal met Azure AD-referenties moet een gebruiker de volgende roltoewijzingen hebben:

Een rol voor gegevenstoegang, zoals Storage Inzender voor blobgegevens
De rol Azure Resource Manager Lezer

Als u wilt weten hoe u deze rollen toewijst aan een gebruiker, volgt u de instructies in Azure-rollen toewijzen met behulpvan de Azure Portal.

De rol Lezer is een Azure Resource Manager rol die gebruikers in staat stelt om resources van het opslagaccount weer te geven, maar niet te wijzigen. Het biedt geen leesmachtigingen voor gegevens in Azure Storage, maar alleen voor accountbeheerbronnen. De rol Lezer is nodig zodat gebruikers naar blobcontainers in de Azure Portal.

Als u bijvoorbeeld de rol Storage Blob Data Contributor toewijst aan gebruiker Mary op het niveau van een container met de naam sample-container, krijgt Mary lees-, schrijf- en verwijdertoegang tot alle blobs in die container. Als Mary echter een blob in de Azure Portal wil weergeven, biedt de rol Storage Blob Data Contributor zelf niet voldoende machtigingen om door de portal naar de blob te navigeren om deze weer te geven. De extra machtigingen zijn vereist om door de portal te navigeren en de andere resources weer te geven die daar zichtbaar zijn.

Aan een gebruiker moet de rol Lezer zijn toegewezen om de gebruiker Azure Portal Azure AD-referenties te kunnen gebruiken. Als aan een gebruiker echter een rol is toegewezen met machtigingen voor Microsoft.Storage/storageAccounts/listKeys/action, kan de gebruiker de portal gebruiken met de opslagaccountsleutels via gedeelde sleutelautorisatie. Als u de opslagaccountsleutels wilt gebruiken, moet gedeelde sleuteltoegang zijn toegestaan voor het opslagaccount. Zie Autorisatie van gedeelde sleutels voorkomen voor een Azure Storage-account voor meer informatie over het wel of niet Azure Storage van gedeelde sleuteltoegang.

U kunt ook een Azure Resource Manager toewijzen die meer machtigingen biedt dan de rol Lezer. Het toewijzen van de minst mogelijke machtigingen wordt aanbevolen als best practice. Zie Best practices for Azure RBAC (Best practices voor Azure RBAC) voor meer informatie.

Notitie

Voordat u uzelf een rol voor gegevenstoegang toewijst, hebt u toegang tot gegevens in uw opslagaccount via de Azure Portal, omdat de Azure Portal ook de accountsleutel kan gebruiken voor toegang tot gegevens. Zie Choose how to authorize access to blob data inde Azure Portal .

De preview-versie van Storage Explorer in de Azure Portal biedt geen ondersteuning voor het gebruik van Azure AD-referenties om blobgegevens weer te geven en te wijzigen. Storage Explorer in de Azure Portal gebruikt altijd de accountsleutels voor toegang tot gegevens. Als u Storage Explorer in de Azure Portal, moet aan u een rol zijn toegewezen die Microsoft.Storage/storageAccounts/listkeys/action bevat.

Als u een Azure-rol wilt toewijzen aan een beveiligingsprincipals met PowerShell, roept u de opdracht New-AzRoleAssignment aan. Als u de opdracht wilt uitvoeren, moet u een rol hebben die Microsoft.Authorization/roleAssignments/write-machtigingen bevat die aan u zijn toegewezen in het overeenkomstige bereik of hoger.

De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing, maar de -ObjectId en -RoleDefinitionName zijn vereiste parameters. Het doorgeven van een waarde voor de parameter, hoewel niet vereist, wordt ten zeerste aanbevolen om -Scope het principe van de minste bevoegdheden te behouden. Door rollen en bereiken te beperken, beperkt u de resources die risico lopen als de beveiligingsprincipaal ooit wordt aangetast.

De -ObjectId parameter is de Azure Active Directory -object-id (AAD) van de gebruiker, groep of service-principal waaraan de rol wordt toegewezen. Als u de id wilt ophalen, kunt u Get-AzADUser gebruiken om te filteren Azure Active Directory gebruikers, zoals wordt weergegeven in het volgende voorbeeld.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Het eerste antwoord retourneert de beveiligingsprincipaal en de tweede retourneert de object-id van de beveiligingsprincipaal.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

De -RoleDefinitionName parameterwaarde is de naam van de RBAC-rol die moet worden toegewezen aan de principal. Voor toegang tot blobgegevens in Azure Portal met Azure AD-referenties moet een gebruiker de volgende roltoewijzingen hebben:

Een rol voor gegevenstoegang, zoals inzender Storage blobgegevens of Storage Blob Data Reader
De rol Azure Resource Manager Lezer

Als u een rol wilt toewijzen die is toegewezen aan een blobcontainer of een opslagaccount, moet u een tekenreeks opgeven die het bereik van de resource voor de -Scope parameter bevat. Deze actie voldoet aan het principe van minimale bevoegdheden, een informatiebeveiligingsconcept waarin een gebruiker het minimale toegangsniveau krijgt dat is vereist om zijn of haar functie uit te voeren. Deze praktijk vermindert het potentiële risico op onbedoelde of opzettelijke schade die onnodige bevoegdheden tot gevolg kunnen hebben.

Het bereik voor een container heeft de volgende vorm:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container-name>

Het bereik voor een opslagaccount heeft de volgende vorm:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>

Als u een rol wilt toewijzen die is toegewezen aan een opslagaccount, geeft u een tekenreeks op die het bereik van de container voor de --scope parameter bevat.

In het volgende voorbeeld wordt de Storage blobgegevensbijdrager toegewezen aan een gebruiker, met het bereik van een container met de naam sample-container. Zorg ervoor dat u de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes vervangt door uw eigen waarden:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/sample-container"

In het volgende voorbeeld wordt de Storage blobgegevenslezer toegewezen aan een gebruiker door de object-id op te geven. De roltoewijzing is beperkt tot een opslagaccount met de naam opslagaccount. Zorg ervoor dat u de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes vervangt door uw eigen waarden:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/storage-account"

Uw uitvoer moet er als volgt uitzien:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Zie Azure-rollen toewijzen met behulp van Azure PowerShell voor meer informatie over het toewijzen van rollen met PowerShell in het bereik van het abonnement of de resourcegroep.

Als u een Azure-rol wilt toewijzen aan een beveiligingsprincipaal met Azure CLI, gebruikt u de opdracht az role assignment create. De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing. De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing. Als u de opdracht wilt uitvoeren, moet u een rol hebben die Microsoft.Authorization/roleAssignments/write-machtigingen bevat die aan u zijn toegewezen in het overeenkomstige bereik of hoger.

Als u een rol wilt toewijzen die is toegewezen aan een container, geeft u een tekenreeks op die het bereik van de container voor de --scope parameter bevat. Het bereik voor een container heeft de volgende vorm:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container-name>

In het volgende voorbeeld wordt de Storage blobgegevensbijdrager toegewezen aan een gebruiker, binnen het bereik van het niveau van de container. Zorg ervoor dat u de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes vervangt door uw eigen waarden:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>"

Zie Azure-rollen toewijzen met behulp van Azure CLI voor meer informatie over het toewijzen van rollen met PowerShell in het bereik van het abonnement, de resourcegroep of het opslagaccount.

Houd rekening met de volgende punten over Azure-roltoewijzingen in Azure Storage:

Wanneer u een Azure Storage account maakt, krijgt u niet automatisch machtigingen voor toegang tot gegevens via Azure AD. U moet uzelf expliciet een Azure-rol toewijzen voor Azure Storage. U kunt deze toewijzen op het niveau van uw abonnement, resourcegroep, opslagaccount of container.
Als het opslagaccount is vergrendeld met een Azure Resource Manager alleen-lezenvergrendeling, voorkomt de vergrendeling de toewijzing van Azure-rollen die zijn beperkt tot het opslagaccount of een container.
Als u de juiste machtigingen voor toegang tot gegevens via Azure AD hebt ingesteld en geen toegang hebt tot de gegevens, krijgt u bijvoorbeeld de fout 'AuthorizationPermissionMismatch'. Zorg ervoor dat u voldoende tijd hebt om de machtigingswijzigingen die u in Azure AD hebt aangebracht te repliceren en zorg ervoor dat u geen toewijzingen voor weigeren hebt die uw toegang blokkeren. Zie Inzichtin Azure-toewijzingen voor weigeren.

Een Azure-rol toewijzen voor toegang tot blobgegevens

Beoordeel uw ervaring

Een Azure-rol toewijzen

Volgende stappen