Kuyruk verilerine erişim için Azure rolü atama

Microsoft Entra, Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla güvenli kaynaklara erişim haklarını yetkiler. Azure Depolama, kuyruk verilerine erişmek için kullanılan yaygın izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar.

Microsoft Entra güvenlik sorumlusuna bir Azure rolü atandığında, Azure bu güvenlik sorumlusu için bu kaynaklara erişim verir. Microsoft Entra güvenlik sorumlusu bir kullanıcı, grup, uygulama hizmet sorumlusu veya Azure kaynakları için yönetilen kimlik olabilir.

Kuyruk verilerine erişimi yetkilendirmek için Microsoft Entra Id kullanma hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra Id kullanarak kuyruklara erişimi yetkilendirme.

Dekont

Bu makalede, depolama hesabındaki kuyruk verilerine erişim için Azure rolü atama adımları gösterilmektedir. Azure Depolama'da yönetim işlemlerine rol atama hakkında bilgi edinmek için bkz. Yönetim kaynaklarına erişmek için Azure Depolama kaynak sağlayıcısını kullanma.

Azure rolü atama

Veri erişimi için bir rol atamak için Azure portalı, PowerShell, Azure CLI veya Azure Resource Manager şablonunu kullanabilirsiniz.

Azure portalı

Azure portalında Microsoft Entra kimlik bilgileriyle kuyruk verilerine erişmek için kullanıcının aşağıdaki rol atamalarına sahip olması gerekir:

• Depolama Kuyruk Verileri Katkıda Bulunanı gibi bir veri erişim rolü
• Azure Resource Manager Okuyucusu rolü

Bu rolleri bir kullanıcıya nasıl atayacağınızı öğrenmek için Azure portalını kullanarak Azure rolleri atama başlığında sağlanan yönergeleri izleyin.

Okuyucu rolü, kullanıcıların depolama hesabı kaynaklarını görüntülemesine izin veren ancak değiştirmelerine izin veren bir Azure Resource Manager rolüdür. Azure Depolama'daki verilere okuma izinleri sağlamaz, yalnızca hesap yönetimi kaynaklarına yöneliktir. Kullanıcıların Azure portalında kuyruklara ve iletilere gidebilmesi için Okuyucu rolü gereklidir.

Örneğin, Depolama Kuyruk Verileri Katkıda Bulunanı rolünü Kullanıcı Mary'ye sample-queue adlı bir kuyruk düzeyinde atarsanız, Mary'ye bu kuyruğa okuma, yazma ve silme erişimi verilir. Ancak Mary, Azure portalında bir kuyruğu görüntülemek istiyorsa, Depolama Kuyruk Verileri Katkıda Bulunanı rolü portaldan kuyruğa gitmek için yeterli izinleri sağlamaz. Portalda gezinmek ve orada görünen diğer kaynakları görüntülemek için ek izinler gereklidir.

Kullanıcıya Azure portalını Microsoft Entra kimlik bilgileriyle kullanabilmesi için Okuyucu rolü atanmalıdır. Ancak, kullanıcıya Microsoft.Depolama ile bir rol atanmışsa/storageAccounts/listKeys/action izinleri, kullanıcı Paylaşılan Anahtar yetkilendirmesi aracılığıyla depolama hesabı anahtarlarıyla portalı kullanabilir. Depolama hesabı anahtarlarını kullanmak için, depolama hesabı için Paylaşılan Anahtar erişimine izin verilmelidir. Paylaşılan Anahtar erişimine izin verme veya erişimi reddetme hakkında daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.

Okuyucu rolünün ötesinde ek izinler sağlayan bir Azure Resource Manager rolü de atayabilirsiniz. Mümkün olan en düşük izinleri atamak, en iyi güvenlik uygulaması olarak önerilir. Daha fazla bilgi için bkz. Azure RBAC için en iyi deneyimler.

Dekont

Kendinize veri erişimi için bir rol atamadan önce, Azure portalı veri erişimi için hesap anahtarını da kullanabileceğinden, depolama hesabınızdaki verilere Azure portalı üzerinden erişebilirsiniz. Daha fazla bilgi için bkz . Azure portalında kuyruk verilerine erişimi yetkilendirmeyi seçme.

PowerShell

Güvenlik sorumlusuna Azure rolü atamak için New-AzRoleAssignment komutunu çağırın. Komutun biçimi atamanın kapsamına göre farklılık gösterebilir. Komutu çalıştırmak için, ilgili kapsamda veya üzerinde size atanmış Microsoft.Authorization/roleAssignments/write izinlerini içeren bir rolünüz olmalıdır.

Kuyruğa kapsamı belirlenmiş bir rol atamak için, parametresi için --scope kuyruğun kapsamını içeren bir dize belirtin. Kuyruğun kapsamı şu biçimdedir:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

Aşağıdaki örnek, Depolama Kuyruk Verileri Katkıda Bulunanı rolünü bir kullanıcıya atar ve kapsamı sample-queue adlı bir kuyruğa atayın. Örnek değerleri ve köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirdiğinden emin olun:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/sample-queue"

Abonelik, kaynak grubu veya depolama hesabı kapsamında PowerShell ile rol atama hakkında bilgi için bkz . Azure PowerShell kullanarak Azure rolleri atama.

Azure CLI

Güvenlik sorumlusuna Azure rolü atamak için az role assignment create komutunu kullanın. Komutun biçimi atamanın kapsamına göre farklılık gösterebilir. Komutun biçimi atamanın kapsamına göre farklılık gösterebilir. Komutu çalıştırmak için, ilgili kapsamda veya üzerinde size atanmış Microsoft.Authorization/roleAssignments/write izinlerini içeren bir rolünüz olmalıdır.

Kuyruğa kapsamı belirlenmiş bir rol atamak için, parametresi için --scope kuyruğun kapsamını içeren bir dize belirtin. Kuyruğun kapsamı şu biçimdedir:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

Aşağıdaki örnek, Depolama Kuyruk Verileri Katkıda Bulunanı rolünü kuyruğa göre belirlenmiş bir kullanıcıya atar. Örnek değerleri ve köşeli ayraç içindeki yer tutucu değerlerini kendi değerlerinizle değiştirdiğinden emin olun:

az role assignment create \
    --role "Storage Queue Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue>"

Abonelik, kaynak grubu veya depolama hesabı kapsamında PowerShell ile rol atama hakkında bilgi için bkz . Azure CLI kullanarak Azure rolleri atama.

Şablon

Azure rolü atamak için Azure Resource Manager şablonunu kullanmayı öğrenmek için bkz . Azure Resource Manager şablonlarını kullanarak Azure rolleri atama.

Azure Depolama Azure rol atamaları hakkında aşağıdaki noktaları aklınızda bulundurun:

• Bir Azure Depolama hesabı oluşturduğunuzda, Microsoft Entra Kimliği aracılığıyla verilere erişim izinleri otomatik olarak atanmamış olur. Azure Depolama için kendinize açıkça bir Azure rolü atamanız gerekir. Aboneliğiniz, kaynak grubunuz, depolama hesabınız veya kuyruğunuz düzeyinde atayabilirsiniz.
• Depolama hesabı bir Azure Resource Manager salt okunur kilidiyle kilitlenmişse, kilit depolama hesabı veya kuyruk kapsamındaki Azure rollerinin atanmasını engeller.

Sonraki adımlar

• Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?
• Azure RBAC için en iyi yöntemler