Microsoft Entra Id kullanarak tablolara erişimi yetkilendirme

Azure Depolama, tablo verilerine yönelik istekleri yetkilendirmek için Microsoft Entra Id kullanılmasını destekler. Microsoft Entra Id ile Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak bir kullanıcı, grup veya uygulama hizmet sorumlusu olabilecek bir güvenlik sorumlusuna izinler verilmektedir. OAuth 2.0 belirtecini döndürmek için güvenlik sorumlusunun kimliği Microsoft Entra Id tarafından doğrulanır. Bundan sonra belirteç, Tablo hizmetine karşı bir isteği yetkilendirmek için kullanılabilir.

Microsoft Entra ID ile Azure Depolama istekleri yetkilendirmek, Paylaşılan Anahtar yetkilendirmesi üzerinden üstün güvenlik ve kullanım kolaylığı sağlar. Microsoft, gerekli en düşük ayrıcalıklarla erişimi güvenceye almak için mümkün olduğunda tablo uygulamalarınızla Microsoft Entra yetkilendirmesini kullanmanızı önerir.

Microsoft Entra Id ile yetkilendirme, tüm genel bölgelerde ve ulusal bulutlarda genel amaçlı olarak kullanılabilir. Yalnızca Azure Resource Manager dağıtım modeliyle oluşturulan depolama hesapları Microsoft Entra yetkilendirmesini destekler.

Tablolar için Microsoft Entra Id'ye genel bakış

Bir güvenlik sorumlusu (kullanıcı, grup veya uygulama) bir tablo kaynağına erişmeye çalıştığında, istek yetkilendirilmelidir. Microsoft Entra Id ile kaynağa erişim iki adımlı bir işlemdir. İlk olarak, güvenlik sorumlusunun kimliği doğrulanır ve bir OAuth 2.0 belirteci döndürülür. Ardından, belirteç Tablo hizmetine bir isteğin parçası olarak geçirilir ve hizmet tarafından belirtilen kaynağa erişimi yetkilendirmek için kullanılır.

Kimlik doğrulama adımı, bir uygulamanın çalışma zamanında OAuth 2.0 erişim belirteci istemesini gerektirir. Bir uygulama Azure VM, sanal makine ölçek kümesi veya Azure İşlevleri uygulaması gibi bir Azure varlığından çalışıyorsa, tablolara erişmek için yönetilen kimlik kullanabilir.

Yetkilendirme adımı için güvenlik sorumlusuna bir veya daha fazla Azure rolü atanmalıdır. Azure Depolama, tablo verileri için ortak izin kümelerini kapsayan Azure rolleri sağlar. Güvenlik sorumlusuna atanan roller, sorumlunun sahip olacağı izinleri belirler. Tablo erişimi için Azure rolleri atama hakkında daha fazla bilgi edinmek için bkz . Tablo verilerine erişim için Azure rolü atama.

Aşağıdaki tablo, çeşitli senaryolarda verilere erişim yetkisi vermek için ek bilgilere işaret eder:

Dil	.NET	Java	JavaScript	Python	Go
Microsoft Entra ID ile kimlik doğrulamasına genel bakış	Azure hizmetleriyle .NET uygulamalarının kimliğini doğrulama	Java ve Azure Identity ile Azure kimlik doğrulaması	Azure SDK'sını kullanarak Azure'da JavaScript uygulamalarının kimliğini doğrulama	Azure SDK'sını kullanarak Azure'da Python uygulamalarının kimliğini doğrulama
Geliştirici hizmet sorumlularını kullanarak kimlik doğrulaması	Hizmet sorumlularını kullanarak yerel geliştirme sırasında Azure hizmetlerinde .NET uygulamalarının kimliğini doğrulama	Hizmet sorumlusuyla Azure kimlik doğrulaması	Hizmet sorumlusuyla JS uygulamalarını Azure hizmetlerine kimlik doğrulama	Hizmet sorumlularını kullanarak yerel geliştirme sırasında Azure hizmetlerinde Python uygulamalarının kimliğini doğrulama	Hizmet sorumlusuyla Go için Azure SDK kimlik doğrulaması
Geliştirici veya kullanıcı hesaplarını kullanarak kimlik doğrulaması	Geliştirici hesaplarını kullanarak yerel geliştirme sırasında Azure hizmetlerinde .NET uygulamalarının kimliğini doğrulama	Kullanıcı kimlik bilgileriyle Azure kimlik doğrulaması	Geliştirme hesaplarıyla JS uygulamalarını Azure hizmetlerine kimlik doğrulama	Geliştirici hesaplarını kullanarak yerel geliştirme sırasında Azure hizmetlerinde Python uygulamalarının kimliğini doğrulama	Go için Azure SDK ile Azure kimlik doğrulaması
Azure tarafından barındırılan uygulamalardan kimlik doğrulaması	.NET için Azure SDK ile Azure'da barındırılan uygulamaların Kimliğini Azure kaynaklarına doğrulama	Azure tarafından barındırılan Java uygulamalarının kimliğini doğrulama	Azure tarafından barındırılan JavaScript uygulamalarının kimliğini JavaScript için Azure SDK ile Azure kaynaklarına doğrulama	Python için Azure SDK ile Azure'da barındırılan uygulamaların Azure kaynaklarına kimliğini doğrulama	Yönetilen kimlik kullanarak Go için Azure SDK ile kimlik doğrulaması
Şirket içi uygulamalardan kimlik doğrulaması	Şirket içinde barındırılan .NET uygulamalarından Azure kaynaklarında kimlik doğrulaması		Azure kaynaklarında şirket içi JavaScript uygulamalarının kimliğini doğrulama	Şirket içinde barındırılan Python uygulamalarından Azure kaynaklarında kimlik doğrulaması
Kimlik istemci kitaplığına genel bakış	.NET için Azure Identity istemci kitaplığı	Java için Azure Identity istemci kitaplığı	JavaScript için Azure Identity istemci kitaplığı	Python için Azure Identity istemci kitaplığı	Go için Azure Identity istemci kitaplığı

Erişim hakları için Azure rolleri atama

Microsoft Entra, Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla güvenli kaynaklara erişim haklarını yetkiler. Azure Depolama, tablo verilerine erişmek için kullanılan ortak izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar. Tablo verilerine erişim için özel roller de tanımlayabilirsiniz.

Microsoft Entra güvenlik sorumlusuna bir Azure rolü atandığında, Azure bu güvenlik sorumlusu için bu kaynaklara erişim verir. Microsoft Entra güvenlik sorumlusu bir kullanıcı, grup, uygulama hizmet sorumlusu veya Azure kaynakları için yönetilen kimlik olabilir.

Kaynak kapsamı

Azure RBAC rolünü bir güvenlik sorumlusuna atamadan önce, güvenlik sorumlusunun sahip olması gereken erişim kapsamını belirleyin. En iyi yöntemler, yalnızca mümkün olan en dar kapsamı vermenin her zaman en iyi yöntem olduğunu belirler. Daha geniş bir kapsamda tanımlanan Azure RBAC rolleri, altındaki kaynaklar tarafından devralınır.

Azure tablo kaynaklarına erişimi en dar kapsamdan başlayarak aşağıdaki düzeylerde kapsam olarak ayarlayabilirsiniz:

• Tek bir tablo. Bu kapsamda, bir rol ataması belirtilen tabloya uygulanır.
• Depolama hesabı. Bu kapsamda, bir rol ataması hesaptaki tüm tablolara uygulanır.
• Kaynak grubu. Bu kapsamda, rol ataması kaynak grubundaki tüm depolama hesaplarındaki tüm tablolara uygulanır.
• Abonelik. Bu kapsamda, bir rol ataması abonelikteki tüm kaynak gruplarındaki tüm depolama hesaplarındaki tüm tablolara uygulanır.
• Bir yönetim grubu. Bu kapsamda, bir rol ataması, yönetim grubundaki tüm aboneliklerdeki tüm kaynak gruplarındaki tüm depolama hesaplarındaki tüm tablolara uygulanır.

Azure RBAC rol atamalarının kapsamı hakkında daha fazla bilgi için bkz . Azure RBAC kapsamını anlama.

Tablolar için Azure yerleşik rolleri

Azure RBAC, Microsoft Entra Id ve OAuth kullanarak tablo verilerine erişim yetkisi vermek için yerleşik roller sağlar. Azure Depolama tablolarına izinler sağlayan yerleşik roller şunlardır:

• Depolama Tablo Verileri Katkıda Bulunanı: Tablo depolama kaynaklarına okuma/yazma/silme izinleri vermek için kullanın.
• Depolama Tablo Veri Okuyucusu: Tablo depolama kaynaklarına salt okunur izinler vermek için kullanın.

Güvenlik sorumlusuna Azure yerleşik rolünü atamayı öğrenmek için bkz . Tablo verilerine erişim için Azure rolü atama. Azure RBAC rollerini ve izinlerini listelemeyi öğrenmek için bkz . Azure rol tanımlarını listeleme.

Azure Depolama için yerleşik rollerin nasıl tanımlandığı hakkında daha fazla bilgi için bkz. Rol tanımlarını anlama. Azure özel rolleri oluşturma hakkında bilgi için bkz . Azure özel rolleri.

Yalnızca veri erişimi için açıkça tanımlanan roller, güvenlik sorumlusunın tablo verilerine erişmesine izin verir. Sahip, Katkıda Bulunan ve Depolama Hesabı Katkıda Bulunanı gibi yerleşik roller, bir güvenlik sorumlusunun depolama hesabını yönetmesine izin verir, ancak Microsoft Entra Id aracılığıyla bu hesaptaki tablo verilerine erişim sağlamaz. Ancak, bir rol Microsoft.Depolama içeriyorsa /storageAccounts/listKeys/action, ardından bu rolün atandığı bir kullanıcı, hesap erişim anahtarlarıyla Paylaşılan Anahtar yetkilendirmesi yoluyla depolama hesabındaki verilere erişebilir.

Hem veri hizmetleri hem de yönetim hizmeti için Azure Depolama için Azure yerleşik rolleri hakkında ayrıntılı bilgi için Azure RBAC için Azure yerleşik rolleri bölümündeki Depolama bölümüne bakın. Ayrıca, Azure'da izin sağlayan farklı rol türleri hakkında bilgi için bkz . Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri.

Önemli

Azure rol atamalarının yayılması 30 dakika kadar sürebilir.

Veri işlemleri için erişim izinleri

Belirli Tablo hizmeti işlemlerini çağırmak için gereken izinler hakkında ayrıntılı bilgi için bkz . Veri işlemlerini çağırma izinleri.

Sonraki adımlar

• Azure Depolama’daki verilere erişimi yetkilendirme
• Tablo verilerine erişim için Azure rolü atama