Asignación de un rol de Azure para acceder a datos de tabla
Microsoft Entra autoriza los derechos de acceso a recursos protegidos mediante el control de acceso basado en roles de Azure (Azure RBAC). Azure Storage define un conjunto de roles integrados de Azure que abarcan conjuntos comunes de permisos utilizados para acceder a los datos de tablas.
Cuando un rol de Azure se asigna a una entidad de seguridad de Microsoft Entra, Azure concede a esa entidad de seguridad acceso a los recursos. Una entidad de seguridad de Microsoft Entra puede ser un usuario, un grupo, una entidad de servicio de aplicación o una identidad administrada para recursos de Azure.
Para obtener más información sobre el uso de Microsoft Entra ID para autorizar el acceso a los datos de tablas, consulte Autorización del acceso a tablas con Microsoft Entra ID.
Asignación de un rol de Azure
Puede usar PowerShell, la CLI de Azure o una plantilla de Azure Resource Manager para asignar un rol para el acceso a datos.
Importante
El Azure Portal no admite actualmente la asignación de un rol RBAC de Azure que esté en el ámbito de la tabla. Para asignar un rol con ámbito de tabla, use PowerShell, CLI de Azure o Azure Resource Manager.
Puede usar el Azure Portal para asignar un rol que conceda acceso a los datos de tabla a un recurso de Azure Resource Manager, como la cuenta de almacenamiento, el grupo de recursos o la suscripción.
Para asignar un rol de Azure a una entidad de seguridad, llame al comando New-AzRoleAssignment. El formato del comando puede variar en función del ámbito de la asignación. Para ejecutar el comando, debe tener un rol que incluya los permisos Microsoft.Authorization/roleAssignments/write asignados en el ámbito correspondiente o superior.
Para asignar un rol limitado a una tabla, especifique una cadena que contenga el ámbito de la tabla para el parámetro --scope. El ámbito de una tabla tiene este formato:
/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>
En el siguiente ejemplo se asigna el rol Colaborador de datos de Storage Queue a un usuario, limitado a una tabla. Asegúrese de reemplazar los valores de ejemplo y los valores de marcador de posición entre corchetes angulares por los suyos propios:
New-AzRoleAssignment -SignInName <email> `
-RoleDefinitionName "Storage Table Data Contributor" `
-Scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"
Para obtener información sobre cómo asignar roles con PowerShell en el ámbito de la suscripción, el grupo de recursos o la cuenta de almacenamiento, consulte Asignación de roles de Azure mediante Azure PowerShell.
Tenga en cuenta los siguientes puntos sobre las asignaciones de roles de Azure en Azure Storage:
- Al crear una cuenta de Azure Storage, no se le asignan automáticamente permisos para acceder a los datos a través de Microsoft Entra ID. Tiene que asignarse a sí mismo de forma explícita un rol de Azure para Azure Storage. Puede asignarlo a nivel de su suscripción, grupo de recursos, cuenta de almacenamiento o tabla.
- Si la cuenta de almacenamiento se bloquea con un bloqueo de solo lectura de Azure Resource Manager, el bloqueo evita la asignación de roles de Azure que estén limitados a la cuenta de almacenamiento o a una tabla.
Pasos siguientes
Comentaris
Properament: al llarg del 2024 eliminarem gradualment GitHub Issues com a mecanisme de retroalimentació del contingut i el substituirem per un nou sistema de retroalimentació. Per obtenir més informació, consulteu: https://aka.ms/ContentUserFeedback.
Envieu i consulteu els comentaris de