Tilldela en Azure-roll för åtkomst till blobdata

För att få åtkomst till blobdata Azure Portal med Azure AD-autentiseringsuppgifter måste en användare ha följande rolltilldelningar:

• En dataåtkomstroll, till exempel Storage Blob Data-deltagare
• Rollen Azure Resource Manager läsare

Om du vill lära dig hur du tilldelar dessa roller till en användare följer du anvisningarna i Tilldela Azure-roller med hjälp av Azure Portal.

Rollen Läsare är en Azure Resource Manager som tillåter användare att visa lagringskontoresurser, men inte ändra dem. Den ger inte läsbehörighet till data i Azure Storage, utan endast till kontohanteringsresurser. Rollen Läsare är nödvändig så att användarna kan navigera till blobcontainrar i Azure Portal.

Om du till exempel tilldelar rollen Storage Blob Data-deltagare till användaren Mary på nivån för en container med namnet sample-container beviljas Mary läs-, skriv- och borttagningsåtkomst till alla blobar i containern. Men om Mary vill visa en blob i Azure Portal ger inte rollen Storage Blob Data-deltagare tillräcklig behörighet för att navigera genom portalen till bloben för att kunna visa den. De ytterligare behörigheterna krävs för att navigera via portalen och visa de andra resurserna som visas där.

En användare måste tilldelas rollen Läsare för att kunna använda Azure Portal azure AD-autentiseringsuppgifter. Men om en användare har tilldelats en roll med behörigheterna Microsoft.Storage/storageAccounts/listKeys/action kan användaren använda portalen med lagringskontonycklarna via auktorisering med delad nyckel. Om du vill använda lagringskontonycklarna måste åtkomst till delad nyckel tillåtas för lagringskontot. Mer information om hur du tillåter eller förhindrar åtkomst till delad nyckel finns i Förhindra auktorisering av delad nyckel för ett Azure Storage konto.

Du kan också tilldela en Azure Resource Manager roll som ger ytterligare behörigheter utöver rollen Läsare. Vi rekommenderar att du tilldelar de minsta möjliga behörigheterna som en säkerhetsmetod. Mer information finns i Metodtips för Azure RBAC.

Om du vill tilldela en Azure-roll till ett säkerhetsobjekt med PowerShell anropar du kommandot New-AzRoleAssignment. För att kunna köra kommandot måste du ha en roll som innehåller Microsoft.Authorization/roleAssignments/write-behörigheter tilldelade till dig i motsvarande omfång eller högre.

Kommandots format kan variera beroende på tilldelningens omfattning, men och -ObjectId -RoleDefinitionName är obligatoriska parametrar. Att skicka ett värde för -Scope parametern, även om det inte krävs, rekommenderas starkt för att behålla principen om minsta behörighet. Genom att begränsa roller och omfång begränsar du de resurser som är utsatta för risk om säkerhetsobjekt någonsin komprometteras.

Parametern är Azure Active Directory (AAD) objekt-ID för den användare, grupp eller tjänstens -ObjectId huvudnamn som rollen ska tilldelas. Om du vill hämta identifieraren kan du använda Get-AzADUser för att filtrera Azure Active Directory användare, som du ser i följande exempel.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Det första svaret returnerar säkerhetsobjektet och det andra returnerar säkerhetsobjektets objekt-ID.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

Parametervärdet -RoleDefinitionName är namnet på den RBAC-roll som måste tilldelas till huvudnamnet. För att få åtkomst till blobdata Azure Portal med Azure AD-autentiseringsuppgifter måste en användare ha följande rolltilldelningar:

• En dataåtkomstroll, till exempel Storage Blob Data-deltagare eller Storage Blob Data Reader
• Rollen Azure Resource Manager läsare

Om du vill tilldela en roll som är begränsad till en blobcontainer eller ett lagringskonto bör du ange en sträng som innehåller omfånget för resursen för -Scope parametern . Den här åtgärden följer principen om lägsta behörighet, ett informationssäkerhetsbegrepp där en användare får den lägsta åtkomstnivå som krävs för att utföra sina jobbfunktioner. Den här praxis minskar risken för oavsiktliga eller avsiktliga skador som onödiga privilegier kan medföra.

Omfånget för en container har följande format:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container-name>

Omfånget för ett lagringskonto är i följande format:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>

Om du vill tilldela en roll som är begränsad till ett lagringskonto anger du en sträng som innehåller containerns omfång för --scope parametern .

I följande exempel tilldelas rollen Storage Blob Data-deltagare till en användare, begränsad till en container med namnet sample-container. Ersätt exempelvärdena och platshållarvärdena inom hakparentes med dina egna värden:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/sample-container"

I följande exempel tilldelas Storage blobdataläsarrollen till en användare genom att ange objekt-ID:t. Rolltilldelningen är begränsad till ett lagringskonto med namnet storage-account. Ersätt exempelvärdena och platshållarvärdena inom hakparentes med dina egna värden:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/storage-account"

Ditt resultat bör likna följande:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Information om hur du tilldelar roller med PowerShell i prenumerations- eller resursgruppomfånget finns i Tilldela Azure-roller med hjälp av Azure PowerShell.

Om du vill tilldela en Azure-roll till ett säkerhetsobjekt med Azure CLI använder du kommandot az role assignment create. Kommandots format kan variera beroende på tilldelningens omfattning. Kommandots format kan variera beroende på tilldelningens omfattning. För att kunna köra kommandot måste du ha en roll som innehåller Microsoft.Authorization/roleAssignments/write-behörigheter tilldelade till dig i motsvarande omfång eller högre.

Om du vill tilldela en roll som är begränsad till en container anger du en sträng som innehåller containerns omfång för --scope parametern . Omfånget för en container har följande format:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container-name>

I följande exempel tilldelas Storage rollen Blob Data-deltagare till en användare, begränsad till containernivån. Ersätt exempelvärdena och platshållarvärdena inom hakparentes med dina egna värden:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>"

Information om hur du tilldelar roller med PowerShell i prenumerations-, resursgrupps- eller lagringskontoomfånget finns i Tilldela Azure-roller med Hjälp av Azure CLI.

Information om hur du använder en Azure Resource Manager för att tilldela en Azure-rollfinns i Tilldela Azure-roller med hjälp Azure Resource Manager mallar .