Tilldela en Azure-roll för åtkomst till blobdata

Microsoft Entra auktoriserar åtkomsträttigheter till skyddade resurser via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Azure Storage definierar en uppsättning inbyggda Azure-roller som omfattar vanliga uppsättningar med behörigheter som används för åtkomst till blobdata.

När en Azure-roll tilldelas ett Microsoft Entra-säkerhetsobjekt ger Azure åtkomst till dessa resurser för det säkerhetsobjektet. Ett Microsoft Entra-säkerhetsobjekt kan vara en användare, en grupp, ett huvudnamn för programtjänsten eller en hanterad identitet för Azure-resurser.

Mer information om hur du använder Microsoft Entra-ID för att auktorisera åtkomst till blobdata finns i Auktorisera åtkomst till blobar med hjälp av Microsoft Entra-ID.

Kommentar

Den här artikeln visar hur du tilldelar en Azure-roll för åtkomst till blobdata i ett lagringskonto. Mer information om hur du tilldelar roller för hanteringsåtgärder i Azure Storage finns i Använda Azure Storage-resursprovidern för att få åtkomst till hanteringsresurser.

Tilldela en Azure-roll

Du kan använda Azure-portalen, PowerShell, Azure CLI eller en Azure Resource Manager-mall för att tilldela en roll för dataåtkomst.

Azure-portalen

För att få åtkomst till blobdata i Azure-portalen med Microsoft Entra-autentiseringsuppgifter måste en användare ha följande rolltilldelningar:

• En dataåtkomstroll, till exempel Storage Blob Data Reader eller Storage Blob Data Contributor
• Azure Resource Manager-läsarrollen, som minst

Om du vill lära dig hur du tilldelar dessa roller till en användare följer du anvisningarna i Tilldela Azure-roller med hjälp av Azure-portalen.

Rollen Läsare är en Azure Resource Manager-roll som gör det möjligt för användare att visa lagringskontoresurser, men inte ändra dem. Den ger inte läsbehörighet till data i Azure Storage, utan endast till kontohanteringsresurser. Rollen Läsare är nödvändig så att användarna kan navigera till blobcontainrar i Azure-portalen.

Om du till exempel tilldelar rollen Storage Blob Data Contributor till användaren Mary på nivån för en container med namnet sample-container beviljas Mary läs-, skriv- och borttagningsåtkomst till alla blobbar i containern. Men om Mary vill visa en blob i Azure-portalen ger rollen Storage Blob Data Contributor inte tillräcklig behörighet för att navigera genom portalen till bloben för att visa den. De ytterligare behörigheterna krävs för att navigera via portalen och visa de andra resurserna som visas där.

En användare måste tilldelas rollen Läsare för att kunna använda Azure-portalen med Microsoft Entra-autentiseringsuppgifter. Men om en användare tilldelas en roll med Behörigheter för Microsoft.Storage/storageAccounts/listKeys/action kan användaren använda portalen med lagringskontonycklarna via auktorisering av delad nyckel. Om du vill använda lagringskontonycklarna måste åtkomst med delad nyckel tillåtas för lagringskontot. Mer information om hur du tillåter eller inte tillåter åtkomst till delad nyckel finns i Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.

Du kan också tilldela en Azure Resource Manager-roll som ger ytterligare behörigheter utöver rollen Läsare . Att tilldela de minsta möjliga behörigheterna rekommenderas som bästa praxis för säkerhet. Mer information finns i artikeln om metodtips för Azure RBAC.

Kommentar

Innan du tilldelar dig själv en roll för dataåtkomst kan du komma åt data i ditt lagringskonto via Azure-portalen eftersom Azure-portalen också kan använda kontonyckeln för dataåtkomst. Mer information finns i Välj hur du auktoriserar åtkomst till blobdata i Azure-portalen.

PowerShell

Om du vill tilldela en Azure-roll till ett säkerhetsobjekt med PowerShell anropar du kommandot New-AzRoleAssignment . För att kunna köra kommandot måste du ha en roll som innehåller Microsoft.Authorization/roleAssignments/write-behörigheter som tilldelats dig i motsvarande omfång eller högre.

Kommandots format kan variera beroende på tilldelningens omfattning, men parametrarna -ObjectId och -RoleDefinitionName är obligatoriska. Att skicka ett värde för parametern, även om det -Scope inte krävs, rekommenderas starkt att behålla principen om minsta behörighet. Genom att begränsa roller och omfång begränsar du de resurser som är i riskzonen om säkerhetsobjektet någonsin komprometteras.

Parametern -ObjectId är Microsoft Entra-objekt-ID för användaren, gruppen eller tjänstens huvudnamn som rollen tilldelas till. Om du vill hämta identifieraren kan du använda Get-AzADUser för att filtrera Microsoft Entra-användare, som du ser i följande exempel.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Det första svaret returnerar säkerhetsobjektet och det andra returnerar säkerhetsobjektets objekt-ID.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

Parametervärdet -RoleDefinitionName är namnet på den RBAC-roll som måste tilldelas till huvudkontot. För att få åtkomst till blobdata i Azure-portalen med Microsoft Entra-autentiseringsuppgifter måste en användare ha följande rolltilldelningar:

• En dataåtkomstroll, till exempel Storage Blob Data Contributor eller Storage Blob Data Reader
• Rollen Azure Resource Manager-läsare

Om du vill tilldela en roll som är begränsad till en blobcontainer eller ett lagringskonto bör du ange en sträng som innehåller resursens omfång för parametern -Scope . Den här åtgärden överensstämmer med principen om minsta behörighet, ett begrepp för informationssäkerhet där en användare får den lägsta åtkomstnivå som krävs för att utföra sina jobbfunktioner. Den här metoden minskar risken för oavsiktlig eller avsiktlig skada som onödiga privilegier kan medföra.

Omfånget för en container är i formuläret :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Omfånget för ett lagringskonto är i formuläret :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Om du vill tilldela en roll som är begränsad till ett lagringskonto anger du en sträng som innehåller containerns omfång för parametern --scope .

I följande exempel tilldelas rollen Storage Blob Data Contributor till en användare. Rolltilldelningen är begränsad till containernivån. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser (<>) med dina egna värden:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

I följande exempel tilldelas rollen Storage Blob Data Reader till en användare genom att ange objekt-ID: t. Rolltilldelningen är begränsad till lagringskontots nivå. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser (<>) med dina egna värden:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Ditt resultat bör likna följande:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Information om hur du tilldelar roller med PowerShell i prenumerations- eller resursgruppsomfånget finns i Tilldela Azure-roller med Hjälp av Azure PowerShell.

Azure CLI

Om du vill tilldela en Azure-roll till ett säkerhetsobjekt med Azure CLI använder du kommandot az role assignment create . Formatet för kommandot kan variera beroende på tilldelningens omfattning. För att kunna köra kommandot måste du ha en roll som innehåller Microsoft.Authorization/roleAssignments/write-behörigheter som tilldelats dig i motsvarande omfång eller högre.

Om du vill tilldela en roll som är begränsad till en container anger du en sträng som innehåller containerns omfång för parametern --scope . Omfånget för en container är i formuläret :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

I följande exempel tilldelas rollen Storage Blob Data Contributor till en användare. Rolltilldelningen är begränsad till containernivån. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser (<>) med dina egna värden:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

I följande exempel tilldelas rollen Storage Blob Data Reader till en användare genom att ange objekt-ID: t. Mer information om parametrarna --assignee-object-id och --assignee-principal-type finns i az role assignment (az role assignment). I det här exemplet är rolltilldelningen begränsad till lagringskontots nivå. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser (<>) med dina egna värden:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Information om hur du tilldelar roller med Azure CLI i omfånget prenumeration, resursgrupp eller lagringskonto finns i Tilldela Azure-roller med Azure CLI.

Mall

Information om hur du använder en Azure Resource Manager-mall för att tilldela en Azure-roll finns i Tilldela Azure-roller med hjälp av Azure Resource Manager-mallar.

Tänk på följande punkter om Azure-rolltilldelningar i Azure Storage:

• När du skapar ett Azure Storage-konto tilldelas du inte automatiskt behörighet att komma åt data via Microsoft Entra-ID. Du måste uttryckligen tilldela dig själv en Azure-roll för Azure Storage. Du kan tilldela den på nivån för din prenumeration, resursgrupp, lagringskonto eller container.
• När du tilldelar roller eller tar bort rolltilldelningar kan det ta upp till 10 minuter innan ändringarna börjar gälla.
• Om lagringskontot är låst med ett skrivskyddat Azure Resource Manager-lås förhindrar låset tilldelningen av Azure-roller som är begränsade till lagringskontot eller en container.
• Om du anger lämpliga behörigheter för åtkomst till data via Microsoft Entra-ID och inte kan komma åt data, till exempel får du felet "AuthorizationPermissionMismatch". Se till att ge tillräckligt med tid för att de behörighetsändringar som du har gjort i Microsoft Entra-ID:t ska replikeras och se till att du inte har några nekandetilldelningar som blockerar din åtkomst, se Förstå Azure-neka tilldelningar.

Kommentar

Du kan skapa anpassade Azure RBAC-roller för detaljerad åtkomst till blobdata. Mer information finns i Anpassade Azure-roller.

Nästa steg

• Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)?
• Metodtips för Azure RBAC