Een Azure-rol toewijzen voor toegang tot blobgegevens

Microsoft Entra autoriseert toegangsrechten voor beveiligde resources via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure Storage definieert een set ingebouwde Azure-rollen die algemene sets machtigingen omvatten die worden gebruikt voor toegang tot blobgegevens.

Wanneer een Azure-rol is toegewezen aan een Microsoft Entra-beveiligingsprincipaal, verleent Azure toegang tot deze resources voor die beveiligingsprincipaal. Een Microsoft Entra-beveiligingsprincipaal kan een gebruiker, een groep, een toepassingsservice-principal of een beheerde identiteit voor Azure-resources zijn.

Zie Toegang tot blobs autoriseren met behulp van Microsoft Entra ID voor meer informatie over het gebruik van Microsoft Entra-id om toegang tot blobgegevens te autoriseren.

Notitie

In dit artikel wordt beschreven hoe u een Azure-rol toewijst voor toegang tot blobgegevens in een opslagaccount. Zie De Azure Storage-resourceprovider gebruiken voor toegang tot beheerresources voor meer informatie over het toewijzen van rollen voor beheerbewerkingen in Azure Storage.

Een Azure-rol toewijzen

U kunt de Azure-portal, PowerShell, Azure CLI of een Azure Resource Manager-sjabloon gebruiken om een rol toe te wijzen voor gegevenstoegang.

Azure-portal

Als u toegang wilt krijgen tot blobgegevens in Azure Portal met Microsoft Entra-referenties, moet een gebruiker de volgende roltoewijzingen hebben:

• Een rol voor gegevenstoegang, zoals Opslagblobgegevenslezer of Inzender voor opslagblobgegevens
• De rol Lezer van Azure Resource Manager, minimaal

Als u wilt weten hoe u deze rollen toewijst aan een gebruiker, volgt u de instructies in Azure-rollen toewijzen met behulp van Azure Portal.

De rol Lezer is een Azure Resource Manager-rol waarmee gebruikers opslagaccountresources kunnen bekijken, maar niet kunnen wijzigen. Het biedt geen leesmachtigingen voor gegevens in Azure Storage, maar alleen voor accountbeheerbronnen. De rol Lezer is nodig, zodat gebruikers kunnen navigeren naar blobcontainers in Azure Portal.

Als u bijvoorbeeld de rol Inzender voor opslagblobgegevens toewijst aan gebruiker Mary op het niveau van een container met de naam sample-container, krijgt Mary lees-, schrijf- en verwijdertoegang tot alle blobs in die container. Als Mary echter een blob wil weergeven in Azure Portal, biedt de rol Inzender voor opslagblobgegevens zelf niet voldoende machtigingen om door de portal naar de blob te navigeren om deze te bekijken. De extra machtigingen zijn vereist om door de portal te navigeren en de andere resources weer te geven die daar zichtbaar zijn.

Aan een gebruiker moet de rol Lezer zijn toegewezen om de Azure-portal te kunnen gebruiken met Microsoft Entra-referenties. Als een gebruiker echter een rol krijgt toegewezen met machtigingen voor Microsoft.Storage/storageAccounts/listKeys/action , kan de gebruiker de portal gebruiken met de sleutels van het opslagaccount, via autorisatie voor gedeelde sleutels. Als u de opslagaccountsleutels wilt gebruiken, moet toegang tot gedeelde sleutels zijn toegestaan voor het opslagaccount. Zie Gedeelde sleutelautorisatie voor een Azure Storage-account voorkomen voor meer informatie over het toestaan of ongedaan maken van gedeelde sleuteltoegang.

U kunt ook een Azure Resource Manager-rol toewijzen die extra machtigingen biedt buiten de rol Lezer . Het toewijzen van de minst mogelijke machtigingen wordt aanbevolen als best practice voor beveiliging. Lees Best practices voor Azure RBAC voor meer informatie.

Notitie

Voordat u uzelf een rol voor gegevenstoegang toewijst, hebt u via Azure Portal toegang tot gegevens in uw opslagaccount, omdat de Azure-portal ook de accountsleutel voor gegevenstoegang kan gebruiken. Zie Kiezen hoe u toegang tot blobgegevens in Azure Portal autoriseert voor meer informatie.

PowerShell

Als u een Azure-rol wilt toewijzen aan een beveiligingsprincipal met PowerShell, roept u de opdracht New-AzRoleAssignment aan . Als u de opdracht wilt uitvoeren, moet u een rol hebben met Microsoft.Authorization/roleAssignments/write-machtigingen die aan u zijn toegewezen in het bijbehorende bereik of hoger.

De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing, maar de -ObjectId-RoleDefinitionName en zijn vereiste parameters. Het doorgeven van een waarde voor de -Scope parameter, terwijl dit niet vereist is, wordt ten zeerste aanbevolen om het principe van minimale bevoegdheden te behouden. Door rollen en bereiken te beperken, beperkt u de resources die risico lopen als de beveiligingsprincipaal ooit wordt aangetast.

De -ObjectId parameter is de Microsoft Entra-object-id van de gebruiker, groep of service-principal waaraan de rol wordt toegewezen. Als u de id wilt ophalen, kunt u Get-AzADUser gebruiken om Microsoft Entra-gebruikers te filteren, zoals wordt weergegeven in het volgende voorbeeld.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Het eerste antwoord retourneert de beveiligingsprincipaal en de tweede retourneert de object-id van de beveiligingsprincipaal.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

De -RoleDefinitionName parameterwaarde is de naam van de RBAC-rol die moet worden toegewezen aan de principal. Als u toegang wilt krijgen tot blobgegevens in Azure Portal met Microsoft Entra-referenties, moet een gebruiker de volgende roltoewijzingen hebben:

• Een rol voor gegevenstoegang, zoals Inzender voor opslagblobgegevens of Gegevenslezer voor opslagblob
• De rol Lezer van Azure Resource Manager

Als u een rol wilt toewijzen aan een blobcontainer of een opslagaccount, moet u een tekenreeks opgeven die het bereik van de resource voor de -Scope parameter bevat. Deze actie voldoet aan het principe van minimale bevoegdheden, een informatiebeveiligingsconcept waarin een gebruiker het minimale toegangsniveau krijgt dat nodig is om hun taakfuncties uit te voeren. Deze praktijk vermindert het potentiële risico op onbedoelde of opzettelijke schade die onnodige bevoegdheden kunnen veroorzaken.

Het bereik voor een container heeft de volgende notatie:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Het bereik voor een opslagaccount heeft de volgende notatie:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Als u een rol wilt toewijzen aan een opslagaccount, geeft u een tekenreeks op die het bereik van de container voor de --scope parameter bevat.

In het volgende voorbeeld wordt de rol Inzender voor opslagblobgegevens toegewezen aan een gebruiker. De roltoewijzing is gericht op het niveau van de container. Vervang de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes (<>) door uw eigen waarden:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

In het volgende voorbeeld wordt de rol Opslagblobgegevenslezer aan een gebruiker toegewezen door de object-id op te geven. De roltoewijzing is afgestemd op het niveau van het opslagaccount. Vervang de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes (<>) door uw eigen waarden:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Uw uitvoer moet er als volgt uitzien:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Zie Azure-rollen toewijzen met Behulp van Azure PowerShell voor informatie over het toewijzen van rollen met PowerShell in het abonnement of resourcegroepbereik.

Azure-CLI

Als u een Azure-rol wilt toewijzen aan een beveiligingsprincipaal met Azure CLI, gebruikt u de opdracht az role assignment create . De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing. Als u de opdracht wilt uitvoeren, moet u een rol hebben met Microsoft.Authorization/roleAssignments/write-machtigingen die aan u zijn toegewezen in het bijbehorende bereik of hoger.

Als u een rol wilt toewijzen aan een container, geeft u een tekenreeks op die het bereik van de container voor de --scope parameter bevat. Het bereik voor een container heeft de volgende notatie:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

In het volgende voorbeeld wordt de rol Inzender voor opslagblobgegevens toegewezen aan een gebruiker. De roltoewijzing is gericht op het niveau van de container. Vervang de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes (<>) door uw eigen waarden:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

In het volgende voorbeeld wordt de rol Opslagblobgegevenslezer aan een gebruiker toegewezen door de object-id op te geven. Zie az role assignment voor meer informatie over de --assignee-object-id en --assignee-principal-type parameters. In dit voorbeeld is de roltoewijzing afgestemd op het niveau van het opslagaccount. Vervang de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes (<>) door uw eigen waarden:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Zie Azure-rollen toewijzen met Behulp van Azure CLI voor informatie over het toewijzen van rollen met Azure CLI in het bereik van het abonnement, de resourcegroep of het opslagaccount.

Sjabloon

Zie Azure-rollen toewijzen met behulp van Azure Resource Manager-sjablonen voor meer informatie over het gebruik van een Azure Resource Manager-sjabloon om een Azure-rol toe te wijzen.

Houd rekening met de volgende punten over Azure-roltoewijzingen in Azure Storage:

• Wanneer u een Azure Storage-account maakt, worden er niet automatisch machtigingen toegewezen voor toegang tot gegevens via Microsoft Entra-id. U moet expliciet een Azure-rol toewijzen voor Azure Storage. U kunt deze toewijzen op het niveau van uw abonnement, resourcegroep, opslagaccount of container.
• Wanneer u rollen toewijst of roltoewijzingen verwijdert, kan het tot tien minuten duren voordat wijzigingen van kracht worden.
• Als het opslagaccount is vergrendeld met een alleen-lezenvergrendeling van Azure Resource Manager, voorkomt de vergrendeling de toewijzing van Azure-rollen die zijn afgestemd op het opslagaccount of een container.
• Als u de juiste machtigingen instelt voor toegang tot gegevens via Microsoft Entra-id en geen toegang hebt tot de gegevens, krijgt u bijvoorbeeld de foutmelding AuthorizationPermissionMismatch. Zorg ervoor dat u voldoende tijd hebt om de machtigingen die u hebt aangebracht in Microsoft Entra ID te repliceren en zorg ervoor dat u geen weigeringstoewijzingen hebt die uw toegang blokkeren. Zie Meer informatie over weigeringstoewijzingen in Azure.

Notitie

U kunt aangepaste Azure RBAC-rollen maken voor gedetailleerde toegang tot blobgegevens. Zie aangepaste Azure-rollen voor meer informatie.

Volgende stappen

• Wat is Azure RBAC (toegangsbeheer op basis van rollen)?
• Aanbevolen procedures voor Azure RBAC