Blob verilerine erişim için bir Azure rolü atama

Azure Active Directory (azure AD), azure rol tabanlı erişim denetimi (azure RBAC)aracılığıyla güvenli kaynaklara erişim hakları verir. azure Depolama, blob verilerine erişmek için kullanılan ortak izin kümelerini çevreleyen azure yerleşik rollerinin bir kümesini tanımlar.

Azure AD güvenlik sorumlusuna bir Azure rolü atandığında Azure, bu güvenlik sorumlusu için bu kaynaklara erişim izni verir. Azure AD güvenlik sorumlusu, bir Kullanıcı, Grup, uygulama hizmeti sorumlusu veya Azure kaynakları için yönetilen bir kimlikolabilir.

Blob verilerine erişim yetkisi vermek için Azure AD kullanma hakkında daha fazla bilgi edinmek için bkz. Azure Active Directory kullanarak bloblara erişim yetkisi verme.

Not

Bu makalede, bir depolama hesabındaki blob verilerine erişim için bir Azure rolünün nasıl atanacağı gösterilmektedir. azure Depolama 'de yönetim işlemlerine rol atama hakkında bilgi edinmek için bkz. azure Depolama kaynak sağlayıcısını kullanarak yönetim kaynaklarına erişme.

Azure rolü atama

Veri erişimi için bir rol atamak üzere Azure portal, PowerShell, Azure CLı veya Azure Resource Manager şablonunu kullanabilirsiniz.

Azure AD kimlik bilgileriyle Azure portal blob verilerine erişmek için, bir kullanıcının aşağıdaki rol atamalarına sahip olması gerekir:

  • Depolama Blob verileri katılımcısı gibi bir veri erişim rolü
  • Azure Resource Manager okuyucu rolü

Bu rolleri bir kullanıcıya nasıl atayacağınızı öğrenmek için Azure Portal kullanarak Azure rolleri atamabölümünde belirtilen yönergeleri izleyin.

Okuyucu rolü, kullanıcıların depolama hesabı kaynaklarını görüntülemesine izin veren, ancak değiştirmelerini sağlayan bir Azure Resource Manager roldür. Azure Depolama 'daki verilere yönelik okuma izinleri sağlamaz, ancak yalnızca hesap yönetimi kaynakları içindir. Kullanıcıların Azure portal blob kapsayıcılarına gidebilmesi için okuyucu rolü gereklidir.

örneğin, örnek kapsayıcı adlı bir kapsayıcı düzeyinde kullanıcı Mary 'ye Depolama Blob veri katılımcısı rolünü atarsanız, Mary 'nin bu kapsayıcıdaki tüm bloblara okuma, yazma ve silme erişimi verilir. öte yandan, Mary Azure portal bir blobu görüntülemek istiyorsa Depolama, kendisini görüntülemek için portal üzerinde bir blob veri katılımcısı rolü arasında gezinmek için yeterli izin vermez. Portalda gezinmek ve görünen diğer kaynakları görüntülemek için ek izinler gereklidir.

Azure AD kimlik bilgileriyle Azure portal kullanmak için bir kullanıcıya okuyucu rolü atanmalıdır. ancak, bir kullanıcıya Microsoft. Depolama/storageaccounts/listkeys/action izinleri atanmışsa, kullanıcı portalı paylaşılan anahtar yetkilendirmesi aracılığıyla depolama hesabı anahtarlarıyla kullanabilir. Depolama hesabı anahtarlarını kullanmak için, depolama hesabı için paylaşılan anahtar erişimine izin verilmelidir. paylaşılan anahtar erişimine izin verme veya erişimi engelleme hakkında daha fazla bilgi için bkz. Azure Depolama hesabının paylaşılan anahtar yetkilendirmesini önleme.

Ayrıca, okuyucu rolünden daha fazla ek izin sağlayan bir Azure Resource Manager rolü de atayabilirsiniz. En az olası izinlerin atanması en iyi güvenlik uygulaması olarak önerilir. Daha fazla bilgi için bkz. Azure RBAC Için en iyi uygulamalar.

Not

Veri erişimi için kendinize bir rol atamadan önce, Azure portal Azure portal aracılığıyla Depolama hesabınızdaki verilere erişebilirsiniz. bu nedenle, veri erişimi için hesap anahtarını da kullanabilir. Daha fazla bilgi için bkz. Azure Portal blob verilerine erişimi yetkilendirmeyi seçme.

Azure portal Depolama Gezgini önizleme sürümü, blob verilerini görüntülemek ve değiştirmek için Azure AD kimlik bilgilerini kullanmayı desteklemez. Azure portal Depolama Gezgini, her zaman verilere erişmek için hesap anahtarlarını kullanır. Azure portal Depolama Gezgini kullanmak için, Microsoft. Depolama/storageaccounts/listkeys/action içeren bir rol atanması gerekir.

azure Depolama azure rol atamaları hakkında aşağıdaki noktaları göz önünde bulundurun:

  • azure Depolama hesabı oluşturduğunuzda, azure AD aracılığıyla verilere erişim için otomatik olarak izinler atanmamıştır. azure Depolama için kendinize açık bir azure rolü atamanız gerekir. Aboneliğinizi aboneliğiniz, kaynak grubunuz, depolama hesabınız veya Kapsayıcınız düzeyinde atayabilirsiniz.
  • Depolama hesabı bir Azure Resource Manager salt okuma kilidi ile kilitliyse kilit, depolama hesabı veya kapsayıcı kapsamındaki Azure rollerinin atanmasını engeller.
  • Azure AD aracılığıyla verilere erişim izni vermek için gerekli izinleri ayarladıysanız ve verilere erişemezsin, örneğin, "Authorizationpermissionuyuşmazlık" hatası alıyorsunuz. Çoğaltma yapmak için Azure AD 'de yaptığınız izin değişikliklerinin yeterince zaman ayırdığınızdan emin olun ve erişiminizi engelleyen hiçbir reddetme atamadığınıza sahip olduğunuzdan emin olun. bkz. Azure reddetme atamalarını anlama.

Sonraki adımlar