Använda Azure Storage-resursprovidern för att få åtkomst till hanteringsresurser
Azure Resource Manager är Azures tjänst för distribution och hantering. Azure Storage-resursprovidern är en tjänst som baseras på Azure Resource Manager och som ger åtkomst till hanteringsresurser för Azure Storage. Du kan använda Azure Storage-resursprovidern för att skapa, uppdatera, hantera och ta bort resurser som lagringskonton, privata slutpunkter och kontoåtkomstnycklar. Mer information om Azure Resource Manager finns i Översikt över Azure Resource Manager.
Du kan använda Azure Storage-resursprovidern för att utföra åtgärder som att skapa eller ta bort ett lagringskonto eller hämta en lista över lagringskonton i en prenumeration. Om du vill auktorisera begäranden mot Azure Storage-resursprovidern använder du Microsoft Entra-ID. Den här artikeln beskriver hur du tilldelar behörigheter till hanteringsresurser och pekar på exempel som visar hur du gör begäranden mot Azure Storage-resursprovidern.
Hanteringsresurser jämfört med dataresurser
Microsoft tillhandahåller två REST-API:er för att arbeta med Azure Storage-resurser. Dessa API:er utgör grunden för alla åtgärder som du kan utföra mot Azure Storage. Med REST-API:et för Azure Storage kan du arbeta med data i ditt lagringskonto, inklusive blob-, kö-, fil- och tabelldata. Med REST-API:et för Azure Storage-resursprovidern kan du arbeta med lagringskontot och relaterade resurser.
En begäran som läser eller skriver blobdata kräver andra behörigheter än en begäran som utför en hanteringsåtgärd. Azure RBAC ger detaljerad kontroll över behörigheter till båda typerna av resurser. När du tilldelar en Azure-roll till ett säkerhetsobjekt kontrollerar du att du förstår vilka behörigheter som huvudkontot kommer att beviljas. En detaljerad referens som beskriver vilka åtgärder som är associerade med varje inbyggd Azure-roll finns i Inbyggda Azure-roller.
Azure Storage stöder användning av Microsoft Entra-ID för att auktorisera begäranden mot Blob- och Queue Storage. Information om Azure-roller för blob- och ködataåtgärder finns i Auktorisera åtkomst till blobar och köer med hjälp av Active Directory.
Tilldela hanteringsbehörigheter med rollbaserad åtkomstkontroll i Azure (Azure RBAC)
Varje Azure-prenumeration har ett associerat Microsoft Entra-ID som hanterar användare, grupper och program. En användare, grupp eller ett program kallas även för ett säkerhetsobjekt i kontexten för Microsofts identitetsplattform. Du kan bevilja åtkomst till resurser i en prenumeration till ett säkerhetsobjekt som definieras i Active Directory med hjälp av rollbaserad åtkomstkontroll i Azure (Azure RBAC).
När du tilldelar en Azure-roll till ett säkerhetsobjekt anger du också i vilken omfattning behörigheterna som rollen beviljar gäller. För hanteringsåtgärder kan du tilldela en roll på prenumerationsnivå, resursgrupp eller lagringskonto. Du kan tilldela en Azure-roll till ett säkerhetsobjekt med hjälp av Azure-portalen, det klassiska Azure CLI, PowerShell eller REST-API:et för Azure Storage-resursprovidern.
Mer information finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC)? och Azure-roller, Microsoft Entra-roller och klassiska administratörsroller för prenumerationer.
Inbyggda roller för hanteringsåtgärder
Azure tillhandahåller inbyggda roller som ger behörighet att anropa hanteringsåtgärder. Azure Storage tillhandahåller även inbyggda roller som är specifikt för användning med Azure Storage-resursprovidern.
Inbyggda roller som ger behörighet att anropa lagringshanteringsåtgärder innehåller de roller som beskrivs i följande tabell:
| Azure-roll | Description | Vill du ha åtkomst till kontonycklar? |
|---|---|---|
| Ägare | Kan hantera alla lagringsresurser och åtkomst till resurser. | Ja, ger behörighet att visa och återskapa lagringskontonycklarna. |
| Deltagare | Kan hantera alla lagringsresurser, men kan inte hantera åtkomst till resurser. | Ja, ger behörighet att visa och återskapa lagringskontonycklarna. |
| Läsare | Kan visa information om lagringskontot, men kan inte visa kontonycklarna. | Nej. |
| Lagringskontodeltagare | Kan hantera lagringskontot, hämta information om prenumerationens resursgrupper och resurser och skapa och hantera distributioner av prenumerationsresurser. | Ja, ger behörighet att visa och återskapa lagringskontonycklarna. |
| Administratör för användaråtkomst | Kan hantera åtkomst till lagringskontot. | Ja, tillåter ett säkerhetsobjekt att tilldela behörigheter till sig själva och andra. |
| Virtuell datordeltagare | Kan hantera virtuella datorer, men inte det lagringskonto som de är anslutna till. | Ja, ger behörighet att visa och återskapa lagringskontonycklarna. |
Den tredje kolumnen i tabellen anger om den inbyggda rollen stöder åtgärden Microsoft.Storage/storageAccounts/listkeys/action. Den här åtgärden ger behörighet att läsa och återskapa lagringskontonycklarna. Behörigheter för åtkomst till Azure Storage-hanteringsresurser innehåller inte heller behörighet att komma åt data. Men om en användare har åtkomst till kontonycklarna kan de använda kontonycklarna för att få åtkomst till Azure Storage-data via auktorisering av delad nyckel.
Anpassade roller för hanteringsåtgärder
Azure har också stöd för att definiera anpassade Azure-roller för åtkomst till hanteringsresurser. Mer information om anpassade roller finns i Anpassade Azure-roller.
Kodexempel
Kodexempel som visar hur du auktoriserar och anropar hanteringsåtgärder från Azure Storage-hanteringsbiblioteken finns i följande exempel:
Azure Resource Manager jämfört med klassiska distributioner
Resource Manager och de klassiska distributionsmodellerna är två olika sätt att distribuera och hantera dina Azure-lösningar. Microsoft rekommenderar att du använder Azure Resource Manager-distributionsmodellen när du skapar ett nytt lagringskonto. Om möjligt rekommenderar Microsoft också att du återskapar befintliga klassiska lagringskonton med Resource Manager-modellen. Även om du kan skapa ett lagringskonto med den klassiska distributionsmodellen är den klassiska modellen mindre flexibel och kommer så småningom att bli inaktuell.
Mer information om Azure-distributionsmodeller finns i Resource Manager och klassisk distribution.