Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten

Microsoft Entra autorisiert Rechte für den Zugriff auf geschützte Ressourcen über die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Azure Storage definiert eine Reihe von in Azure integrierten Rollen mit allgemeinen Berechtigungssätzen für den Zugriff auf Blob-Daten.

Wenn einem Microsoft Entra-Sicherheitsprinzipal eine Azure-Rolle zugewiesen wird, gewährt Azure diesem Sicherheitsprinzipal Zugriff auf diese Ressourcen. Ein Microsoft Entra-Sicherheitsprinzipal kann ein Benutzer/eine Benutzerin, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Identität für Azure-Ressourcen sein.

Weitere Informationen zur Verwendung von Microsoft Entra ID zum Autorisieren des Zugriffs auf Blob-Daten finden Sie unter Autorisieren des Zugriffs auf Blob-Daten mithilfe von Microsoft Entra ID.

Hinweis

In diesem Artikel wird gezeigt, wie Sie eine Azure-Rolle für den Zugriff auf Blob-Daten in einem Speicherkonto zuweisen. Informationen zum Zuweisen von Rollen für Verwaltungsvorgänge in Azure Storage finden Sie unter Verwenden des Azure Storage-Ressourcenanbieters für den Zugriff auf Verwaltungsressourcen.

Zuweisen einer Azure-Rolle

Sie können das Azure-Portal, PowerShell, die Azure CLI oder eine Azure Resource Manager-Vorlage verwenden, um eine Rolle für den Datenzugriff zuzuweisen.

Azure portal

Für den Zugriff auf Blob-Daten im Azure-Portal mit Microsoft Entra-Anmeldeinformationen müssen Benutzer über die folgenden Rollenzuweisungen verfügen:

• Eine Datenzugriffsrolle, z. B. Storage-Blobdatenleser oder Mitwirkender an Storage-Blobdaten
• Mindestens die Azure Resource Manager-Rolle Leser

Wenn Sie erfahren möchten, wie Sie diese Rollen einem Benutzer zuweisen, führen Sie die Anleitungen unter Zuweisen von Azure-Rollen über das Azure-Portal aus.

Die Rolle Leser ist eine Azure Resource Manager-Rolle, die es Benutzern ermöglicht, Ressourcen im Speicherkonto anzuzeigen, ohne sie ändern zu können. Sie bietet keine Leseberechtigungen für Daten in Azure Storage, sondern nur für Ressourcen zur Kontoverwaltung. Die Rolle Leser ist erforderlich, damit Benutzer im Azure-Portal zu Blobcontainern navigieren können.

Wenn Sie beispielsweise der Benutzerin Mary die Rolle Mitwirkender an Storage-Warteschlangendaten auf der Ebene eines Containers namens sample-container zuweisen, erhält Mary Lese-, Schreib- und Löschzugriff auf alle Blobs in diesem Container. Wenn Mary jedoch ein Blob im Azure-Portal anzeigen möchte, bietet die Rolle Mitwirkender an Storage-Blobdaten allein nicht genügend Berechtigungen, um im Portal zum Blob zu navigieren und ihn anzuzeigen. Die zusätzlichen Berechtigungen sind erforderlich, um durch das Portal zu navigieren und die anderen dort sichtbaren Ressourcen anzuzeigen.

Den Benutzern muss die Rolle Leser zugewiesen werden, damit sie das Azure-Portal mit Microsoft Entra-Anmeldeinformationen nutzen können. Wenn Benutzern/Benutzerinnen aber eine Rolle mit den Berechtigungen Microsoft.Storage/storageAccounts/listKeys/action zugewiesen wurde, können sie das Portal mit den Speicherkontoschlüsseln über die Autorisierung mit gemeinsam verwendeten Schlüsseln nutzen. Um die Speicherkontoschlüssel verwenden zu können, muss der Zugriff mit gemeinsam verwendeten Schlüsseln für das Speicherkonto zulässig sein. Weitere Informationen zum Erlauben oder Verweigern des Zugriffs auf gemeinsam verwendete Schlüssel finden Sie unter Verhindern der Autorisierung mit gemeinsam verwendeten Schlüsseln für ein Azure Storage-Konto.

Sie können auch eine Azure Resource Manager-Rolle zuweisen, die zusätzliche Berechtigungen über die Rolle Leser hinaus bietet. Das Zuweisen der geringstmöglichen Berechtigungen wird als bewährte Sicherheitsmethode empfohlen. Weitere Informationen finden Sie unter Bewährte Methoden für Azure RBAC.

Hinweis

Bevor Sie sich eine Rolle für den Datenzugriff zuweisen, können Sie bereits über das Azure-Portal auf Daten in Ihrem Speicherkonto zugreifen, da das Azure-Portal auch den Kontoschlüssel für den Datenzugriff nutzen kann. Weitere Informationen finden Sie unter Auswählen der Autorisierung des Zugriffs auf Blobdaten im Azure-Portal.

PowerShell

Wenn Sie eine Azure-Rolle einem Sicherheitsprinzipal mit PowerShell zuweisen möchten, rufen Sie den Befehl New-AzRoleAssignment auf. Zur Ausführung des Befehls muss Ihnen eine Rolle mit mindestens den Berechtigungen Microsoft.Authorization/roleAssignments/write im entsprechenden Bereich zugewiesen sein.

Das Format des Befehls kann je nach Bereich der Zuweisung unterschiedlich sein, doch -ObjectId und -RoleDefinitionName sind erforderliche Parameter. Es muss zwar kein Wert für den Parameter -Scope übergeben werden, doch wird dies dringend empfohlen, um das Prinzip der geringsten Rechte zu wahren. Durch das Einschränken von Rollen und Bereichen begrenzen Sie die Ressourcen, die bei einer Kompromittierung des Sicherheitsprinzipals gefährdet sind.

Der -ObjectId-Parameter ist die Microsoft Entra-Objekt-ID des Benutzers/der Benutzerin, der Gruppe oder des Dienstprinzipals, dem bzw. der die Rolle zugewiesen wird. Zum Abrufen des Bezeichners können Sie get-AzADUser verwenden, um Microsoft Entra-Benutzer, wie im folgenden Beispiel gezeigt, zu filtern.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Die erste Antwort gibt den Sicherheitsprinzipal und die zweite die Objekt-ID des Sicherheitsprinzipals zurück.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

Der Parameterwert -RoleDefinitionName ist der Name der RBAC-Rolle, die dem Prinzipal zugewiesen werden muss. Für den Zugriff auf Blob-Daten im Azure-Portal mit Microsoft Entra-Anmeldeinformationen müssen Benutzer über die folgenden Rollenzuweisungen verfügen:

• Eine Datenzugriffsrolle, z. B. Mitwirkender an Storage-Blobdaten oder Storage-Blobdatenleser
• Die Azure Resource Manager-Rolle Leser

Zum Zuweisen einer auf einen Blobcontainer oder ein Speicherkonto begrenzten Rolle sollten Sie eine Zeichenfolge für den Parameter -Scope angeben, die den Ressourcenbereich enthält. Diese Aktion entspricht dem Prinzip der geringsten Rechte, einem Informationssicherheitskonzept, bei dem einem Benutzer die geringstmögliche Zugriffsberechtigung zum Ausführen seiner Aufgaben gewährt wird. Diese Vorgehensweise verringert das potenzielle Risiko von versehentlichen oder absichtlichen Schäden, die durch unnötige Berechtigungen verursacht werden können.

Der Bereich für einen Container weist folgendes Format auf:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Der Bereich für ein Speicherkonto weist folgendes Format auf:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Geben Sie zum Zuweisen einer auf ein Speicherkonto begrenzten Rolle für den Parameter --scope eine Zeichenfolge an, die den Containerbereich enthält.

Im folgenden Beispiel wird einer Person die vStorage Blob Data Contributor zugewiesen. Die Rollenzuweisung ist auf die Containerebene festgelegt. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern (<>) durch Ihre eigenen Werte:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Im folgenden Beispiel wird einem Benutzer durch Angabe der Objekt-ID die Rolle Storage-Blobdatenleser zugewiesen. Die Rollenzuweisung ist auf die Speicherkontoebene eingestellt. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern (<>) durch Ihre eigenen Werte:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Die Ausgabe sollte in etwa wie folgt aussehen:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Informationen zum Zuweisen von Rollen mit PowerShell im Abonnement- oder Ressourcengruppenbereich finden Sie unter Zuweisen von Azure-Rollen mithilfe von Azure PowerShell.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl Erstellen einer Azure Rollenzuweisung, um einem Sicherheitsprinzipal eine Azure-Rolle mit einer Azure CLI zuzuweisen. Das Format des Befehls kann je nach Bereich der Zuweisung unterschiedlich sein. Zur Ausführung des Befehls muss Ihnen eine Rolle mit mindestens den Berechtigungen Microsoft.Authorization/roleAssignments/write im entsprechenden Bereich zugewiesen sein.

Geben Sie zum Zuweisen einer auf einen Container begrenzten Rolle für den Parameter --scope eine Zeichenfolge an, die den Containerbereich enthält. Der Bereich für einen Container weist folgendes Format auf:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Im folgenden Beispiel wird einer Person die vStorage Blob Data Contributor zugewiesen. Die Rollenzuweisung ist auf die Containerebene festgelegt. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern (<>) durch Ihre eigenen Werte:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Im folgenden Beispiel wird einem Benutzer durch Angabe der Objekt-ID die Rolle Storage-Blobdatenleser zugewiesen. Weitere Informationen zu den Parametern --assignee-object-id und --assignee-principal-type finden Sie unter az-Rollenzuweisung. In diesem Beispiel gilt Rollenzuweisung auf Speicherkontoebene. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern (<>) durch Ihre eigenen Werte:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Informationen zum Zuweisen von Rollen mit der Azure-Befehlszeilenschnittstelle auf Abonnement-, Ressourcengruppen- oder Speicherkontoebene finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure-Befehlszeilenschnittstelle.

Vorlage

Informationen zur Verwendung einer Azure Resource Manager-Vorlage zum Zuweisen einer Azure-Rolle finden Sie unter Zuweisen von Azure-Rollen mithilfe von Azure Resource Manager-Vorlagen.

Beachten Sie die folgenden Punkte zu Azure-Rollenzuweisungen in Azure Storage:

• Wenn Sie ein Azure Storage-Konto erstellen, erhalten Sie nicht automatisch Berechtigungen für den Zugriff auf Daten über Microsoft Entra ID. Sie müssen sich selbst explizit eine Azure-Rolle für Azure Storage zuweisen. Sie können sie auf Ebene Ihres Abonnements, einer Ressourcengruppe, eines Speicherkontos oder eines Containers zuordnen.
• Beim Zuweisen von Rollen oder Entfernen von Rollenzuweisungen kann es bis zu 10 Minuten dauern, bis Änderungen wirksam werden.
• Wenn das Speicherkonto mit einem Schreibschutz von Azure Resource Manager gesperrt wurde, verhindert diese Sperre die Zuweisung von Azure-Rollen, die für das Speicherkonto oder einen Container gelten.
• Wenn Sie die entsprechenden Berechtigungen für den Zugriff auf Daten über Microsoft Entra ID festgelegt haben und nicht auf die Daten zugreifen können, erhalten Sie z. B. den Fehler „AuthorizationPermissionMismatch“. Stellen Sie sicher, dass Sie genügend Zeit für die Replikation Ihrer Änderungen an den Berechtigungen haben, die Sie in Microsoft Entra ID vorgenommen haben. Stellen Sie auch sicher, dass Ihr Zugriff nicht durch Ablehnungszuweisungen blockiert wird. Weitere Informationen finden Sie unter Grundlegendes zu Azure-Ablehnungszuweisungen.

Hinweis

Sie können benutzerdefinierte Azure RBAC-Rollen für den präzisen Zugriff auf Blobdaten erstellen. Weitere Informationen finden Sie unter Benutzerdefinierte Azure-Rollen.

Nächste Schritte

• Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?
• Bewährte Methoden für Azure RBAC