Blob verilerine erişim için Azure rolü atama

Azure AD kimlik bilgileriyle Azure portal blob verilerine erişmek için kullanıcının aşağıdaki rol atamalarına sahip olması gerekir:

• Blob Verileri Katkıda Bulunanı gibi Depolama erişim rolü
• Azure Resource Manager Okuyucu rolü

Bu rolleri bir kullanıcıya atama hakkında bilgi edinmek için azure rollerini kullanarak Azure rollerini atama konusunda sağlanan yönergeleri Azure portal.

Okuyucu rolü, Azure Resource Manager depolama hesabı kaynaklarını görüntülemelerine izin vermelerine izin vermenizi sağlar ancak bunları değiştirmez. Azure'daki verilere okuma izinleri Depolama yalnızca hesap yönetimi kaynakları için sağlar. Kullanıcıların blob kapsayıcılarında gezinmesi için Okuyucu rolü Azure portal.

Örneğin, Depolama Blob Verileri Katkıda Bulunanı rolünü Mary adlı bir kapsayıcı düzeyinde atarsanız, Mary'ye bu kapsayıcıda yer alan tüm bloblara okuma, yazma ve silme erişimi verilmiş olur. Ancak Mary bir blobu Azure portal görüntülemek istiyorsa, Depolama Blob Verileri Katkıda Bulunanı rolü, blobu görüntülemek için portaldan bloba gitmek için yeterli izinleri sağlamaz. Portalda gezinmek ve orada görünen diğer kaynakları görüntülemek için ek izinler gerekir.

Bir kullanıcıya Azure AD kimlik bilgileriyle Azure portal okuyucu rolü atanabilir. Ancak, bir kullanıcıya Microsoft.Depolama/storageAccounts/listKeys/action izinleri ile bir rol atanmışsa, kullanıcı Paylaşılan Anahtar yetkilendirmesi aracılığıyla depolama hesabı anahtarları ile portalı kullanabilir. Depolama hesabı anahtarlarını kullanmak için depolama hesabı için Paylaşılan Anahtar erişimine izin verilmesi gerekir. Paylaşılan Anahtar erişimine izin verilmesi veya erişimine izin verilmeme hakkında daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.

Ayrıca Okuyucu rolünün Azure Resource Manager ek izinler sağlayan bir rol de atabilirsiniz. Mümkün olan en az izinlerin atanarak güvenlik için en iyi yöntem olarak kullanılması önerilir. Daha fazla bilgi için bkz. Azure RBAC için en iyi yöntemler.

PowerShell ile bir güvenlik sorumlusuna Azure rolü atamak için New-AzRoleAssignment komutunu arayın. Komutu çalıştırmak için, microsoft.Authorization/roleAssignments/write izinlerini içeren bir rolün size karşılık gelen kapsamda veya daha üst bir kapsamda atanmış olması gerekir.

Komutun biçimi atamanın kapsamına göre farklılık gösterebilir, ancak -ObjectId ve -RoleDefinitionName gerekli parametrelerdir. Gerekli değildir ancak parametresi için bir değer geçirmenin en az ayrıcalık ilkesini korumak -Scope için önemle tavsiye edilir. Rolleri ve kapsamları sınırlandırarak, güvenlik sorumlusu risk altında olursa risk altında olan kaynakları sınırlandırmış oluruz.

parametresi, -ObjectId rolün Azure Active Directory (AAD) kullanıcı, grup veya hizmet sorumlusu nesne kimliğidir. Tanımlayıcıyı almak için Get-AzADUser kullanarak aşağıdaki Azure Active Directory filtresini kullanabilirsiniz.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

İlk yanıt güvenlik sorumlularını, ikinci yanıt ise güvenlik sorumlusun nesne kimliğini döndürür.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

Parametre -RoleDefinitionName değeri sorumluya atanacak RBAC rolünün adıdır. Azure AD kimlik bilgileriyle Azure portal blob verilerine erişmek için kullanıcının aşağıdaki rol atamalarına sahip olması gerekir:

• Blob Verileri Katkıda Bulunanı veya Depolama Blob Veri Okuyucusu gibi Depolama erişim rolü
• Azure Resource Manager Okuyucu rolü

Kapsamı blob kapsayıcısı veya depolama hesabı olan bir rolü atamak için parametresi için kaynağın kapsamını içeren bir dize belirtmeniz -Scope gerekir. Bu eylem, bir kullanıcıya iş işlevlerini gerçekleştirmek için gereken en düşük erişim düzeyinin verildiği bilgi güvenliği kavramı olan en düşük ayrıcalık ilkesiyle uyumlu olur. Bu uygulama, gereksiz ayrıcalıkların neden olduğu olası yanlışlıkla veya kasıtlı zarar riskini azaltır.

Kapsayıcının kapsamı şu şekildedir:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container-name>

Depolama hesabının kapsamı şu formdadır:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>

Depolama hesabına kapsamlı bir rol atamak için parametresi için kapsayıcının kapsamını içeren bir dize --scope belirtin.

Aşağıdaki örnek, bir kullanıcıya Depolama Blob Verileri Katkıda Bulunanı rolünün kapsamını sample-container adlı bir kapsayıcı olarak atar. Köşeli ayraç içindeki yer tutucu değerleri ve örnek değerleri kendi değerleriniz ile değiştir mutlaka değiştirin:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/sample-container"

Aşağıdaki örnek, nesne Depolama blob veri okuyucusu rolünü kullanıcıya atar. Rol ataması kapsamında storage-account adlı bir depolama hesabı yer amaktadır. Köşeli ayraç içindeki yer tutucu değerleri ve örnek değerleri kendi değerleriniz ile değiştir mutlaka değiştirin:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/storage-account"

Çıkışınızın aşağıdakine benzer olması gerekir:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Abonelik veya kaynak grubu kapsamında PowerShell ile rol atama hakkında bilgi için bkz. Azure rollerini Azure PowerShell.

Azure CLI ile bir güvenlik sorumlusuna Azure rolü atamak için az role assignment create komutunu kullanın. Komutun biçimi atamanın kapsamına göre farklılık gösterebilir. Komutun biçimi atamanın kapsamına göre farklılık gösterebilir. Komutu çalıştırmak için, microsoft.Authorization/roleAssignments/write izinlerini içeren bir rolün size karşılık gelen kapsamda veya daha üst bir kapsamda atanmış olması gerekir.

Kapsayıcı kapsamına sahip bir rol atamak için parametresi için kapsayıcının kapsamını içeren bir dize --scope belirtin. Kapsayıcının kapsamı şu şekildedir:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container-name>

Aşağıdaki örnek, kapsayıcı Depolama bir kullanıcıya Blob Verileri Katkıda Bulunanı rolünü atar. Köşeli ayraç içindeki yer tutucu değerleri ve örnek değerleri kendi değerleriniz ile değiştir mutlaka değiştirin:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>"

Abonelik, kaynak grubu veya depolama hesabı kapsamında PowerShell ile rol atama hakkında bilgi için bkz. Azure CLI kullanarak Azure rolleri atama.

Azure rolü atamak için bir Azure Resource Manager kullanmayı öğrenmek için bkz. Azure rollerini Azure Resource Manager atama.