تعيين دور Azure للوصول إلى بيانات blob

تخول Microsoft Entra حقوق الوصول إلى الموارد الآمنة من خلال التحكم في الوصول المستند إلى الدور Azure (Azure RBAC). يُحدد Azure Storage مجموعة من الأدوار المضمنة في Azure التي تشمل مجموعات شائعة من الأذونات المستخدمة للوصول إلى بيانات الكائنات الثنائية كبيرة الحجم.

عند تعيين دور Azure إلى أساس أمان Microsoft Entra، يمنح Azure الوصول إلى هذه الموارد لكيان الأمان هذا. يمكن أن يكون أساس أمان Microsoft Entra مستخدما أو مجموعة أو كيان خدمة تطبيق أو هوية مدارة لموارد Azure.

لمعرفة المزيد حول استخدام معرف Microsoft Entra لتخويل الوصول إلى بيانات الكائن الثنائي كبير الحجم، راجع تخويل الوصول إلى الكائنات الثنائية كبيرة الحجم باستخدام معرف Microsoft Entra.

إشعار

توضح هذه المقالة كيفية تعيين دور Azure للوصول إلى بيانات الكائنات الثنائية كبيرة الحجم في حساب تخزين. لمعرفة المزيد حول تعيين الأدوار لعمليات الإدارة في Azure Storage، راجع موفر موارد Azure Storage للوصول إلى موارد الإدارة .

تعيين دور Azure

يمكنك استخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI أو قالب Azure Resource Manager لتعيين دور للوصول إلى البيانات.

مدخل Microsoft Azure

للوصول إلى بيانات الكائن الثنائي كبير الحجم في مدخل Microsoft Azure باستخدام بيانات اعتماد Microsoft Entra، يجب أن يكون لدى المستخدم تعيينات الدور التالية:

• دور الوصول إلى البيانات، مثل قارئ بيانات تخزين بيانات الكائنات الثنائية كبيرة الحجم أو مساهم بيانات تخزين الكائنات الثنائية كبيرة الحجم
• دور قارئ Azure Resource Manager كحد أدنى

لمعرفة كيفية تعيين هذه الأدوار للمستخدم، اتبع الإرشادات الواردة في تعيين أدوار Azure باستخدام مدخل Microsoft Azure.

دور القارئ هو دور Azure Resource Manager يسمح للمستخدمين بعرض موارد حساب التخزين، لكن دون تعديلها. لا يوفر أذونات قراءة للبيانات في Azure Storage، ولكن فقط لموارد إدارة الحساب. يعد دور القارئ ضرورياً حتى يتمكن المستخدمون من الانتقال إلى حاويات الكائن الثنائي كبير الحجم في مدخل Microsoft Azure.

على سبيل المثال، إذا قمت بتعيين دور مساهم تخزين بيانات الكائنات الثنائية كبيرة الحجم للمستخدم Mary على مستوى حاوية يُسمى عينة-حاوية، فقد تم منح Mary حق الوصول للقراءة والكتابة والحذف لجميع الكائنات الثنائية كبيرة الحجم الموجودة في تلك الحاوية. ومع ذلك، إذا أرادت ماري عرض كائن ثنائي كبير الحجم في مدخل Microsoft Azure، فلن يوفر دور Storage Blob Data Contributor في حد ذاته أذونات كافية للتنقل عبر المدخل إلى الكائن الثنائي كبير الحجم لعرضه. الأذونات الإضافية مطلوبة للتنقل عبر المدخل وعرض الموارد الأخرى المرئية هناك.

يجب تعيين دور القارئ للمستخدم لاستخدام مدخل Microsoft Azure مع بيانات اعتماد Microsoft Entra. ومع ذلك، إذا تم تعيين دور للمستخدم باستخدام أذونات Microsoft.Storage/storageAccounts/listKeys/action ، فيمكن للمستخدم استخدام المدخل مع مفاتيح حساب التخزين، عبر تخويل المفتاح المشترك. لاستخدام مفاتيح حساب التخزين، يجب السماح بالوصول إلى المفتاح المشترك لحساب التخزين. لمزيد من المعلومات حول السماح بالوصول إلى المفتاح المشترك أو عدم السماح به، راجع منع تخويل المفتاح المشترك لحساب Azure Storage.

يمكنك أيضا تعيين دور Azure Resource Manager الذي يوفر أذونات إضافية تتجاوز دور القارئ . يوصى بتعيين أقل الأذونات الممكنة كأفضل ممارسة أمنية. لمزيد من المعلومات، راجع أفضل ممارسة للتحكم في الوصول استناداً إلى الدور في Azure AD.

إشعار

قبل تعيين دور للوصول إلى البيانات، ستتمكن من الوصول إلى البيانات الموجودة في حساب التخزين الخاص بك عبر مدخل Microsoft Azure لأن مدخل Microsoft Azure يمكنه أيضاً استخدام مفتاح الحساب للوصول إلى البيانات. لمزيد من المعلومات، راجع اختيار كيفية تخويل الوصول إلى بيانات الكائنات الثنائية كبيرة الحجم في مدخل Microsoft Azure.

بوويرشيل

لتعيين دور Azure إلى الأمان الأساسي باستخدام PowerShell، استدعِ الأمر New-AzRoleAssignment. لتشغيل الأمر، يجب أن يكون لديك دور يتضمن أذونات Microsoft.Authorization/roleAssignments/write المعينة لك في النطاق المقابل أو أعلى.

يمكن أن يختلف تنسيق الأمر بناءً على نطاق المهمة، ولكن -ObjectId و-RoleDefinitionName معلمتان مطلوبتان. يوصى بشدة بتمرير قيمة للمعلمة -Scope، رغم أنها غير مطلوبة، للاحتفاظ بمبدأ أقل امتيازاً. من خلال الحد من الأدوار والنطاقات، يمكنك تحديد الموارد المعرضة للخطر إذا تم اختراق أساس الأمان من أي وقت مضى.

-ObjectId المعلمة هي معرف كائن Microsoft Entra للمستخدم أو المجموعة أو كيان الخدمة الذي يتم تعيين الدور إليه. لاسترداد المعرف، يمكنك استخدام Get-AzADUser لتصفية مستخدمي Microsoft Entra، كما هو موضح في المثال التالي.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

تُرجع الاستجابة الأولى الأمان الأساسي، وتُرجع الثانية معرّف عنصر الأمان الأساسي.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

قيمة المعلمة -RoleDefinitionName هي اسم دور التحكم في الوصول استناداً إلى الدور الذي يجب تعيينه إلى الأساسي. للوصول إلى بيانات الكائن الثنائي كبير الحجم في مدخل Microsoft Azure باستخدام بيانات اعتماد Microsoft Entra، يجب أن يكون لدى المستخدم تعيينات الدور التالية:

• دور الوصول إلى البيانات، مثل مساهم بيانات تخزين الكائنات الثنائية كبيرة الحجم أو قارئ بيانات تخزين الكائنات الثنائية كبيرة الحجم
• دور قارئ Resource Manager Azure

لتعيين دور تم تحديد نطاقه إلى حاوية كائن ثنائي كبير الحجم أو حساب تخزين، يجب عليك تحديد سلسلة تحتوي على نطاق المورد للمعلمة -Scope. يتوافق هذا الإجراء مع مبدأ أقل امتيازاً، وهو مفهوم أمان المعلومات يُمنح فيه المستخدم الحد الأدنى من الوصول المطلوب لأداء مهامه الوظيفية. تقلل هذه الممارسة من المخاطر المحتملة للضرر غير المقصود أو المقصود الذي يمكن أن تحدثه الامتيازات غير الضرورية.

نطاق حاوية في النموذج:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

يكون نطاق حساب التخزين في النموذج:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

لتعيين دور تم تحديد نطاقه إلى حساب تخزين، حدد سلسلة تحتوي على نطاق الحاوية للمعلمة --scope.

يعين المثال التالي دور Storage Blob Data Contributor إلى مستخدم. يتم تحديد نطاق تعيين الدور إلى مستوى الحاوية. تأكد من استبدال قيم العينة وقيم العنصر النائب بين قوسين (<>) بالقيم الخاصة بك:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

يقوم المثال التالي بتعيين دور قارئ بيانات تخزين الكائنات الثنائية كبيرة الحجم لمستخدم عن طريق تحديد معرّف العنصر. يتم تحديد نطاق تعيين الدور إلى مستوى حساب التخزين. تأكد من استبدال قيم العينة وقيم العنصر النائب بين قوسين (<>) بالقيم الخاصة بك:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

يجب أن يبدو الإخراج مشابهًا لما يلي:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

للحصول على معلومات حول تعيين الأدوار باستخدام PowerShell في نطاق الاشتراك أو مجموعة الموارد، راجع تعيين أدوار Azure باستخدام Azure PowerShell.

Azure CLI

لتعيين دور Azure لمدير أمان، باستخدام واجهة سطر أوامر Azure استخدم أمر az role assignment create. يمكن أن يختلف تنسيق الأمر بناءً على نطاق المهمة. لتشغيل الأمر، يجب أن يكون لديك دور يتضمن أذونات Microsoft.Authorization/roleAssignments/write المعينة لك في النطاق المقابل أو أعلى.

لتعيين دور تم تحديد نطاقه إلى الحاوية، حدد سلسلة تحتوي على نطاق الحاوية للمعلمة --scope. نطاق حاوية في النموذج:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

يعين المثال التالي دور Storage Blob Data Contributor إلى مستخدم. يتم تحديد نطاق تعيين الدور إلى مستوى الحاوية. تأكد من استبدال قيم العينة وقيم العنصر النائب بين قوسين (<>) بالقيم الخاصة بك:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

يقوم المثال التالي بتعيين دور قارئ بيانات تخزين الكائنات الثنائية كبيرة الحجم لمستخدم عن طريق تحديد معرّف العنصر. لمعرفة المزيد حول --assignee-object-id المعلمات و --assignee-principal-type ، راجع تعيين دور az. في هذا المثال، يتم تحديد نطاق تعيين الدور إلى مستوى حساب التخزين. تأكد من استبدال قيم العينة وقيم العنصر النائب بين قوسين (<>) بالقيم الخاصة بك:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

للحصول على معلومات حول تعيين الأدوار باستخدام Azure CLI في نطاق الاشتراك أو مجموعة الموارد أو حساب التخزين، راجع تعيين أدوار Azure باستخدام Azure CLI.

القالب

لمعرفة كيفية استخدام قالب Azure Resource Manager لتعيين دور Azure، راجع تعيين أدوار Azure باستخدام قوالب Azure Resource Manager.

ضع في اعتبارك النقاط التالية حول تعيينات دور Azure في Azure Storage:

• عند إنشاء حساب Azure Storage، لا يتم تعيين أذونات تلقائيا للوصول إلى البيانات عبر معرف Microsoft Entra. يجب أن تعين لنفسك بوضوح دور Azure إلى Azure Storage. يمكنك تعيينه على مستوى الاشتراك أو مجموعة الموارد أو حساب التخزين أو الحاوية.
• عند تعيين أدوار أو إزالة تعيينات الأدوار، قد يستغرق الأمر ما يصل إلى 10 دقائق حتى تصبح التغييرات سارية المفعول.
• إذا كان حساب التخزين مؤمناً باستخدام قفل Azure Resource Manager للقراءة فقط، فإن القفل يمنع تعيين أدوار Azure التي تم تحديد نطاقها إلى حساب التخزين أو حاوية.
• إذا قمت بتعيين أذونات السماح المناسبة للوصول إلى البيانات عبر معرف Microsoft Entra ولم تتمكن من الوصول إلى البيانات، على سبيل المثال تتلقى خطأ "AuthorizationPermissionMismatch". تأكد من السماح بوقت كاف لتغييرات الأذونات التي أجريتها في معرف Microsoft Entra للنسخ المتماثل، وتأكد من عدم وجود أي تعيينات رفض تمنع وصولك، راجع فهم تعيينات رفض Azure.

إشعار

يمكنك إنشاء أدوار التحكم في الوصول استناداً إلى الدور في Azure مخصصة للوصول الدقيق إلى بيانات الكائنات الثنائية كبيرة الحجم. لمزيد من المعلومات، راجع أدوار Azure المخصصة.

الخطوات التالية

• ما المقصود بالتحكم في الوصول استناداً إلى الدور في Azure ‏(Azure RBAC)؟
• أفضل ممارسات التحكم في الوصول استناداً إلى الدور في Azure