تعيين دور Azure للوصول إلى بيانات blob

تخول Microsoft Entra حقوق الوصول إلى الموارد الآمنة من خلال التحكم في الوصول المستند إلى الدور Azure (Azure RBAC). يُحدد Azure Storage مجموعة من الأدوار المضمنة في Azure التي تشمل مجموعات شائعة من الأذونات المستخدمة للوصول إلى بيانات الكائنات الثنائية كبيرة الحجم.

عند تعيين دور Azure إلى أساس أمان Microsoft Entra، يمنح Azure الوصول إلى هذه الموارد لكيان الأمان هذا. يمكن أن يكون أساس أمان Microsoft Entra مستخدما أو مجموعة أو كيان خدمة تطبيق أو هوية مدارة لموارد Azure.

لمعرفة المزيد حول استخدام معرف Microsoft Entra لتخويل الوصول إلى بيانات الكائن الثنائي كبير الحجم، راجع تخويل الوصول إلى الكائنات الثنائية كبيرة الحجم باستخدام معرف Microsoft Entra.

إشعار

توضح هذه المقالة كيفية تعيين دور Azure للوصول إلى بيانات الكائنات الثنائية كبيرة الحجم في حساب تخزين. لمعرفة المزيد حول تعيين الأدوار لعمليات الإدارة في Azure Storage، راجع موفر موارد Azure Storage للوصول إلى موارد الإدارة .

تعيين دور Azure

يمكنك استخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI أو قالب Azure Resource Manager لتعيين دور للوصول إلى البيانات.

للوصول إلى بيانات الكائن الثنائي كبير الحجم في مدخل Microsoft Azure باستخدام بيانات اعتماد Microsoft Entra، يجب أن يكون لدى المستخدم تعيينات الدور التالية:

  • دور الوصول إلى البيانات، مثل قارئ بيانات تخزين بيانات الكائنات الثنائية كبيرة الحجم أو مساهم بيانات تخزين الكائنات الثنائية كبيرة الحجم
  • دور قارئ Azure Resource Manager كحد أدنى

لمعرفة كيفية تعيين هذه الأدوار للمستخدم، اتبع الإرشادات الواردة في تعيين أدوار Azure باستخدام مدخل Microsoft Azure.

دور القارئ هو دور Azure Resource Manager يسمح للمستخدمين بعرض موارد حساب التخزين، لكن دون تعديلها. لا يوفر أذونات قراءة للبيانات في Azure Storage، ولكن فقط لموارد إدارة الحساب. يعد دور القارئ ضرورياً حتى يتمكن المستخدمون من الانتقال إلى حاويات الكائن الثنائي كبير الحجم في مدخل Microsoft Azure.

على سبيل المثال، إذا قمت بتعيين دور مساهم تخزين بيانات الكائنات الثنائية كبيرة الحجم للمستخدم Mary على مستوى حاوية يُسمى عينة-حاوية، فقد تم منح Mary حق الوصول للقراءة والكتابة والحذف لجميع الكائنات الثنائية كبيرة الحجم الموجودة في تلك الحاوية. ومع ذلك، إذا أرادت ماري عرض كائن ثنائي كبير الحجم في مدخل Microsoft Azure، فلن يوفر دور Storage Blob Data Contributor في حد ذاته أذونات كافية للتنقل عبر المدخل إلى الكائن الثنائي كبير الحجم لعرضه. الأذونات الإضافية مطلوبة للتنقل عبر المدخل وعرض الموارد الأخرى المرئية هناك.

يجب تعيين دور القارئ للمستخدم لاستخدام مدخل Microsoft Azure مع بيانات اعتماد Microsoft Entra. ومع ذلك، إذا تم تعيين دور للمستخدم باستخدام أذونات Microsoft.Storage/storageAccounts/listKeys/action ، فيمكن للمستخدم استخدام المدخل مع مفاتيح حساب التخزين، عبر تخويل المفتاح المشترك. لاستخدام مفاتيح حساب التخزين، يجب السماح بالوصول إلى المفتاح المشترك لحساب التخزين. لمزيد من المعلومات حول السماح بالوصول إلى المفتاح المشترك أو عدم السماح به، راجع منع تخويل المفتاح المشترك لحساب Azure Storage.

يمكنك أيضا تعيين دور Azure Resource Manager الذي يوفر أذونات إضافية تتجاوز دور القارئ . يوصى بتعيين أقل الأذونات الممكنة كأفضل ممارسة أمنية. لمزيد من المعلومات، راجع أفضل ممارسة للتحكم في الوصول استناداً إلى الدور في Azure AD.

إشعار

قبل تعيين دور للوصول إلى البيانات، ستتمكن من الوصول إلى البيانات الموجودة في حساب التخزين الخاص بك عبر مدخل Microsoft Azure لأن مدخل Microsoft Azure يمكنه أيضاً استخدام مفتاح الحساب للوصول إلى البيانات. لمزيد من المعلومات، راجع اختيار كيفية تخويل الوصول إلى بيانات الكائنات الثنائية كبيرة الحجم في مدخل Microsoft Azure.

ضع في اعتبارك النقاط التالية حول تعيينات دور Azure في Azure Storage:

  • عند إنشاء حساب Azure Storage، لا يتم تعيين أذونات تلقائيا للوصول إلى البيانات عبر معرف Microsoft Entra. يجب أن تعين لنفسك بوضوح دور Azure إلى Azure Storage. يمكنك تعيينه على مستوى الاشتراك أو مجموعة الموارد أو حساب التخزين أو الحاوية.
  • عند تعيين أدوار أو إزالة تعيينات الأدوار، قد يستغرق الأمر ما يصل إلى 10 دقائق حتى تصبح التغييرات سارية المفعول.
  • يمكن تعيين الأدوار المضمنة مع إجراءات البيانات في نطاق مجموعة الإدارة. ومع ذلك، في سيناريوهات نادرة قد يكون هناك تأخير كبير (حتى 12 ساعة) قبل أن تكون أذونات إجراء البيانات فعالة لبعض أنواع الموارد. سيتم تطبيق الأذونات في النهاية. بالنسبة للأدوار المضمنة مع إجراءات البيانات، لا ينصح بإضافة تعيينات الأدوار أو إزالتها في نطاق مجموعة الإدارة للسيناريوهات التي يكون فيها تنشيط الأذونات أو إبطالها في الوقت المناسب، مثل Microsoft Entra إدارة الهويات المتميزة (PIM)، مطلوبا.
  • إذا كان حساب التخزين مؤمناً باستخدام قفل Azure Resource Manager للقراءة فقط، فإن القفل يمنع تعيين أدوار Azure التي تم تحديد نطاقها إلى حساب التخزين أو حاوية.
  • إذا قمت بتعيين أذونات السماح المناسبة للوصول إلى البيانات عبر معرف Microsoft Entra ولم تتمكن من الوصول إلى البيانات، على سبيل المثال تتلقى خطأ "AuthorizationPermissionMismatch". تأكد من السماح بوقت كاف لتغييرات الأذونات التي أجريتها في معرف Microsoft Entra للنسخ المتماثل، وتأكد من عدم وجود أي تعيينات رفض تمنع وصولك، راجع فهم تعيينات رفض Azure.

إشعار

يمكنك إنشاء أدوار التحكم في الوصول استناداً إلى الدور في Azure مخصصة للوصول الدقيق إلى بيانات الكائنات الثنائية كبيرة الحجم. لمزيد من المعلومات، راجع أدوار Azure المخصصة.

الخطوات التالية