تعيين دور Azure للوصول إلى بيانات قائمة الانتظار

مقالة
10/18/2023

تخول Microsoft Entra حقوق الوصول إلى الموارد الآمنة من خلال التحكم في الوصول المستند إلى الدور Azure (Azure RBAC). يحدد Azure Storage مجموعة من أدوار Azure المدمجة التي تشمل مجموعات شائعة من الأذونات المستخدمة للوصول إلى بيانات قائمة الانتظار.

عند تعيين دور Azure إلى أساس أمان Microsoft Entra، يمنح Azure الوصول إلى هذه الموارد لكيان الأمان هذا. قد يكون أساس أمان Microsoft Entra مستخدما أو مجموعة أو كيان خدمة تطبيق أو هوية مدارة لموارد Azure.

لمعرفة المزيد حول استخدام معرف Microsoft Entra لتخويل الوصول إلى بيانات قائمة الانتظار، راجع تخويل الوصول إلى قوائم الانتظار باستخدام معرف Microsoft Entra.

إشعار

تُبين هذه المقالة كيفية تعيين دور Azure للوصول إلى بيانات قائمة الانتظار في حساب التخزين. لمعرفة المزيد حول تعيين الأدوار لعمليات الإدارة في Azure Storage، راجع موفر موارد Azure Storage للوصول إلى موارد الإدارة .

تعيين دور Azure

يمكنك استخدام مدخل Microsoft Azure أو PowerShell أو Azure CLI أو قالب Azure Resource Manager لتعيين دور للوصول إلى البيانات.

للوصول إلى بيانات قائمة الانتظار في مدخل Microsoft Azure باستخدام بيانات اعتماد Microsoft Entra، يجب أن يكون لدى المستخدم تعيينات الدور التالية:

دور الوصول إلى البيانات، مثل مساهم بيانات قائمة انتظار التخزين
دور قارئ Resource Manager Azure

لمعرفة كيفية تعيين هذه الأدوار للمستخدم، اتبع الإرشادات الواردة في تعيين أدوار Azure باستخدام مدخل Microsoft Azure.

دور القارئ هو دور Azure Resource Manager يسمح للمستخدمين بعرض موارد حساب التخزين، لكن دون تعديلها. لا يوفر أذونات قراءة للبيانات الموجودة في Azure Storage، لكن فقط لموارد إدارة الحساب. دور القارئ ضروري حتى يتمكن المستخدمون من الانتقال إلى قوائم الانتظار والرسائل في مدخل Microsoft Azure.

على سبيل المثال، إذا قمت بتعيين دور مساهم بيانات قائمة انتظار التخزين للمستخدم ماري على مستوى قائمة انتظار تسمى قائمة انتظار العينات ، فإن ماري تمنح حق القراءة والكتابة وحذف الوصول إلى قائمة الانتظار هذه. ومع ذلك، إذا أرادت ماري عرض قائمة انتظار في مدخل Microsoft Azure، فإن دور مساهم بيانات قائمة انتظار التخزين في حد ذاته لن يوفر أذونات كافية للتنقل عبر البوابة إلى قائمة الانتظار من أجل عرضها. الأذونات الإضافية مطلوبة للتنقل عبر المدخل وعرض الموارد الأخرى المرئية هناك.

يجب تعيين دور القارئ للمستخدم لاستخدام مدخل Microsoft Azure مع بيانات اعتماد Microsoft Entra. ومع ذلك، إذا تم تعيين دور للمستخدم باستخدام أذونات Microsoft.Storage/storageAccounts/listKeys/action، فيمكن للمستخدم استخدام المدخل مع مفاتيح حساب التخزين، عبر تخويل المفتاح المشترك. لاستخدام مفاتيح حساب التخزين، يجب السماح بالوصول إلى المفتاح المشترك لحساب التخزين. لمزيد من المعلومات حول السماح بالوصول إلى المفتاح المشترك أو عدم السماح به، راجع منع تخويل المفتاح المشترك لحساب Azure Storage.

يمكنك أيضاً تعيين دور Azure Resource Manager الذي يوفر أذونات إضافية تتجاوز دور القارئ. يوصى بتعيين أقل الأذونات الممكنة كأفضل ممارسة أمنية. لمزيد من المعلومات، راجع أفضل ممارسة للتحكم في الوصول استناداً إلى الدور في Azure AD.

إشعار

قبل تعيين دور للوصول إلى البيانات، ستتمكن من الوصول إلى البيانات الموجودة في حساب التخزين الخاص بك عبر مدخل Microsoft Azure لأن مدخل Microsoft Azure يمكنه أيضاً استخدام مفتاح الحساب للوصول إلى البيانات. لمزيد من المعلومات، راجع اختيار كيفية السماح بالوصول إلى بيانات قائمة الانتظار في مدخل Microsoft Azure.

لتعيين دور Azure لمسؤول أمان، اتصل بأمر New -AzRoleAssignment . يمكن أن يختلف تنسيق الأمر بناءً على نطاق المهمة. لتشغيل الأمر، يجب أن يكون لديك دور يتضمن أذونات Microsoft.Authorization/roleAssignments/write المُعينة لك في النطاق المتوافق أو الأعلى.

لتعيين دور محدد لقائمة انتظار، حدد سلسلة تحتوي على نطاق قائمة الانتظار لمعلمة --scope. يكون نطاق قائمة الانتظار في نموذج:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

يعين المثال التالي دور مساهم بيانات قائمة انتظار التخزين إلى مستخدم، يتم تحديده في قائمة انتظار تسمى قائمة انتظار العينة . تأكد من استبدال قيم العينة وقيم العناصر النائبة بين قوسين بقيمك الخاصة:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/sample-queue"

للحصول على معلومات حول تعيين الأدوار باستخدام PowerShell في نطاق الاشتراك أو مجموعة الموارد أو حساب التخزين، راجع تعيين أدوار Azure باستخدام Azure PowerShell.

لتعيين دور Azure لمسؤول أمان، استخدم أمر az role assign create. يمكن أن يختلف تنسيق الأمر بناءً على نطاق المهمة. يمكن أن يختلف تنسيق الأمر بناءً على نطاق المهمة. لتشغيل الأمر، يجب أن يكون لديك دور يتضمن أذونات Microsoft.Authorization/roleAssignments/write المُعينة لك في النطاق المتوافق أو الأعلى.

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

يعين المثال التالي دور مساهم بيانات قائمة انتظار التخزين للمستخدم، الذي تم تحديد نطاقه إلى مستوى قائمة الانتظار. تأكد من استبدال قيم العينة وقيم العناصر النائبة بين قوسين بقيمك الخاصة:

az role assignment create \
    --role "Storage Queue Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue>"

للحصول على معلومات حول تعيين الأدوار باستخدام PowerShell في نطاق الاشتراك أو مجموعة الموارد أو حساب التخزين، راجع تعيين أدوار Azure باستخدام واجهة سطر أوامر Azure.

ضع في اعتبارك النقاط التالية حول تعيينات دور Azure في Azure Storage:

عند إنشاء حساب Azure Storage، لا يتم تعيين أذونات تلقائيا للوصول إلى البيانات عبر معرف Microsoft Entra. يجب أن تعين لنفسك بوضوح دور Azure إلى Azure Storage. بمقدورك تعيينه على مستوى الاشتراك أو مجموعة الموارد أو حساب التخزين أو قائمة الانتظار.
إذا تم قفل حساب التخزين باستخدام قفل للقراءة فقط من Azure Resource Manager، فإن القفل يمنع تعيين أدوار Azure التي يتم تحديد نطاقها إلى حساب التخزين أو قائمة الانتظار.

Share via

تعيين دور Azure للوصول إلى بيانات قائمة الانتظار

تعيين دور Azure

الخطوات التالية

الموارد الإضافية