تعيين دور Azure للوصول إلى بيانات الجدول

مقالة
10/18/2023

تخول Microsoft Entra حقوق الوصول إلى الموارد الآمنة من خلال التحكم في الوصول المستند إلى الدور Azure (Azure RBAC). يحدد Azure Storage مجموعة من أدوار Azure المدمجة التي تشمل مجموعات شائعة من الأذونات المستخدمة للوصول إلى بيانات الجدول في Azure Storage.

عند تعيين دور Azure إلى أساس أمان Microsoft Entra، يمنح Azure الوصول إلى هذه الموارد لكيان الأمان هذا. قد يكون أساس أمان Microsoft Entra مستخدما أو مجموعة أو كيان خدمة تطبيق أو هوية مدارة لموارد Azure.

لمعرفة المزيد حول استخدام معرف Microsoft Entra لتخويل الوصول إلى بيانات الجدول، راجع تخويل الوصول إلى الجداول باستخدام معرف Microsoft Entra.

تعيين دور Azure

يمكنك استخدام PowerShell أو Azure CLI أو قالب Azure Resource Manager لتعيين دور للوصول إلى البيانات.

هام

لا يدعم مدخل Azure حاليا تعيين دور Azure RBAC الذي تم تحديد نطاقه إلى الجدول. لتعيين دور باستخدام نطاق الجدول، استخدم PowerShell أو Azure CLI أو Azure Resource Manager.

يمكنك استخدام مدخل Azure لتعيين دور يمنح حق الوصول إلى بيانات الجدول إلى مورد Azure Resource Manager، مثل حساب التخزين أو مجموعة الموارد أو الاشتراك.

لتعيين دور Azure لمسؤول أمان، اتصل بأمر New -AzRoleAssignment . يمكن أن يختلف تنسيق الأمر بناءً على نطاق المهمة. لتشغيل الأمر، يجب أن يكون لديك دور يتضمن أذونات Microsoft.Authorization/roleAssignments/write المُعينة لك في النطاق المتوافق أو الأعلى.

لتعيين دور محدد للجدول، حدد سلسلة تحتوي على نطاق الجدول للمعلمة --scope. يكون نطاق الجدول على شكل:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

يعين المثال التالي دور مساهم بيانات قائمة انتظار التخزين للمستخدم، الذي تم تحديد نطاقه إلى الجدول. تأكد من استبدال قيم العينة وقيم العناصر النائبة بين قوسين بقيمك الخاصة:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

للحصول على معلومات حول تعيين الأدوار باستخدام PowerShell في نطاق الاشتراك أو مجموعة الموارد أو حساب التخزين، راجع تعيين أدوار Azure باستخدام Azure PowerShell.

لتعيين دور Azure لمسؤول أمان، استخدم أمر az role assign create. يمكن أن يختلف تنسيق الأمر بناءً على نطاق المهمة. يمكن أن يختلف تنسيق الأمر بناءً على نطاق المهمة. لتشغيل الأمر، يجب أن يكون لديك دور يتضمن أذونات Microsoft.Authorization/roleAssignments/write المُعينة لك في النطاق المتوافق أو الأعلى.

لتعيين دور محدد للجدول، حدد سلسلة تحتوي على نطاق الجدول للمعلمة --scope. يكون نطاق الجدول على شكل:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

يعين المثال التالي دور مساهم بيانات جدول التخزين للمستخدم، الذي تم تحديد نطاقه إلى مستوى الجدول. تأكد من استبدال قيم العينة وقيم العناصر النائبة بين قوسين بقيمك الخاصة:

az role assignment create \
    --role "Storage Table Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

للحصول على معلومات حول تعيين الأدوار باستخدام PowerShell في نطاق الاشتراك أو مجموعة الموارد أو حساب التخزين، راجع تعيين أدوار Azure باستخدام واجهة سطر أوامر Azure.

ضع في اعتبارك النقاط التالية حول تعيينات دور Azure في Azure Storage:

عند إنشاء حساب Azure Storage، لا يتم تعيين أذونات تلقائيا للوصول إلى البيانات عبر معرف Microsoft Entra. يجب أن تعين لنفسك بوضوح دور Azure إلى Azure Storage. يمكنك تعيينه على مستوى اشتراكك أو مجموعة الموارد أو حساب التخزين أو الجدول.
في حالة قفل حساب التخزين باستخدام قفل للقراءة فقط من Azure Resource Manager، فإن القفل يمنع تعيين أدوار Azure التي تحدد نطاقها إلى حساب التخزين أو الجدول.

Share via

تعيين دور Azure للوصول إلى بيانات الجدول

تعيين دور Azure

الخطوات التالية

الموارد الإضافية