Zuweisen einer Azure-Rolle für den Zugriff auf Warteschlangendaten

Microsoft Entra autorisiert Rechte für den Zugriff auf geschützte Ressourcen über die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Azure Storage definiert eine Reihe von in Azure integrierten Rollen mit allgemeinen Berechtigungssätzen für den Zugriff auf Warteschlangendaten.

Wenn einem Microsoft Entra-Sicherheitsprinzipal eine Azure-Rolle zugewiesen wird, gewährt Azure diesem Sicherheitsprinzipal Zugriff auf diese Ressourcen. Ein Microsoft Entra-Sicherheitsprinzipal kann ein Benutzer, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Identität für Azure-Ressourcen sein.

Weitere Informationen zur Verwendung von Microsoft Entra ID zum Autorisieren des Zugriffs auf Warteschlangendaten finden Sie unter Autorisieren des Zugriffs auf Warteschlangen mithilfe von Microsoft Entra ID.

Hinweis

In diesem Artikel wird gezeigt, wie Sie eine Azure-Rolle für den Zugriff auf Warteschlangendaten in einem Speicherkonto zuweisen. Informationen zum Zuweisen von Rollen für Verwaltungsvorgänge in Azure Storage finden Sie unter Verwenden des Azure Storage-Ressourcenanbieters für den Zugriff auf Verwaltungsressourcen.

Zuweisen einer Azure-Rolle

Sie können das Azure-Portal, PowerShell, die Azure CLI oder eine Azure Resource Manager-Vorlage verwenden, um eine Rolle für den Datenzugriff zuzuweisen.

Azure portal

Für den Zugriff auf Warteschlangendaten im Azure-Portal mit Microsoft Entra-Anmeldeinformationen müssen Benutzer*innen über die folgenden Rollenzuweisungen verfügen:

• Eine Datenzugriffsrolle, z. B. Mitwirkender an Storage-Warteschlangendaten
• Die Azure Resource Manager-Rolle Leser

Wenn Sie erfahren möchten, wie Sie diese Rollen einem Benutzer zuweisen, führen Sie die Anleitungen unter Zuweisen von Azure-Rollen über das Azure-Portal aus.

Die Rolle Leser ist eine Azure Resource Manager-Rolle, die es Benutzern ermöglicht, Ressourcen im Speicherkonto anzuzeigen, ohne sie ändern zu können. Sie bietet keine Leseberechtigungen für Daten in Azure Storage, sondern nur für Ressourcen zur Kontoverwaltung. Die Rolle Leser ist erforderlich, damit Benutzer im Azure-Portal zu Warteschlangen und Nachrichten navigieren können.

Wenn Sie beispielsweise dem Benutzer Mario auf der Ebene der Warteschlange sample-queue die Rolle Mitwirkender an Storage-Warteschlangendaten zuweisen, erhält Mario Lese-, Schreib- und Löschzugriff auf diese Warteschlange. Wenn Mario jedoch eine Warteschlange im Azure-Portal anzeigen möchte, bietet die Rolle Mitwirkender an Storage-Warteschlangendaten allein nicht genügend Berechtigungen, um über das Portal zur Warteschlange zu navigieren, um sie anzuzeigen. Die zusätzlichen Berechtigungen sind erforderlich, um durch das Portal zu navigieren und die anderen dort sichtbaren Ressourcen anzuzeigen.

Den Benutzer*innen muss die Rolle Leser zugewiesen werden, damit sie das Azure-Portal mit Microsoft Entra-Anmeldeinformationen nutzen können. Wenn ihm aber eine Rolle mit den Berechtigungen Microsoft.Storage/storageAccounts/listKeys/action zugewiesen wurde, kann er das Portal mit den Speicherkontoschlüsseln über die Autorisierung mit gemeinsam verwendeten Schlüsseln nutzen. Um die Speicherkontoschlüssel verwenden zu können, muss der Zugriff mit gemeinsam verwendeten Schlüsseln für das Speicherkonto zulässig sein. Weitere Informationen zum Erlauben oder Verweigern des Zugriffs auf gemeinsam verwendete Schlüssel finden Sie unter Verhindern der Autorisierung mit gemeinsam verwendeten Schlüsseln für ein Azure Storage-Konto.

Sie können auch eine Azure Resource Manager-Rolle zuweisen, die zusätzliche Berechtigungen über die Rolle Leser hinaus bietet. Das Zuweisen der geringstmöglichen Berechtigungen wird als bewährte Sicherheitsmethode empfohlen. Weitere Informationen finden Sie unter Bewährte Methoden für Azure RBAC.

Hinweis

Bevor Sie sich eine Rolle für den Datenzugriff zuweisen, können Sie bereits über das Azure-Portal auf Daten in Ihrem Speicherkonto zugreifen, da das Azure-Portal auch den Kontoschlüssel für den Datenzugriff nutzen kann. Weitere Informationen finden Sie unter Auswählen der Autorisierung des Zugriffs auf Warteschlangendaten im Azure-Portal.

PowerShell

Wenn Sie eine Azure-Rolle einem Sicherheitsprinzipal zuweisen möchten, rufen Sie den Befehl New-AzRoleAssignment auf. Das Format des Befehls kann je nach Bereich der Zuweisung unterschiedlich sein. Zur Ausführung des Befehls müssen Sie über eine Rolle verfügen, die Microsoft.Authorization/roleAssignments/write-Berechtigungen enthält, die Ihnen im entsprechenden Bereich oder höher zugewiesen wurden.

Geben Sie zum Zuweisen einer auf eine Warteschlange begrenzten Rolle für den Parameter --scope eine Zeichenfolge an, die den Warteschlangenbereich enthält. Der Bereich für eine Warteschlange weist folgendes Format auf:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

Im folgenden Beispiel wird die Rolle Mitwirkender an Storage-Warteschlangendaten einem Benutzer zugewiesen und auf eine Warteschlange mit dem Namen sample-queue begrenzt. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern durch Ihre eigenen Werte:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/sample-queue"

Informationen zum Zuweisen von Rollen mit PowerShell im Abonnement-, Ressourcengruppen- oder Speicherkontobereich finden Sie unter Zuweisen von Azure-Rollen mithilfe von Azure PowerShell.

Azure-Befehlszeilenschnittstelle

Verwenden Sie den Befehl az role assignment create, um einem Sicherheitsprinzipal eine Azure-Rolle zuzuweisen. Das Format des Befehls kann je nach Bereich der Zuweisung unterschiedlich sein. Das Format des Befehls kann je nach Bereich der Zuweisung unterschiedlich sein. Zur Ausführung des Befehls müssen Sie über eine Rolle verfügen, die Microsoft.Authorization/roleAssignments/write-Berechtigungen enthält, die Ihnen im entsprechenden Bereich oder höher zugewiesen wurden.

Geben Sie zum Zuweisen einer auf eine Warteschlange begrenzten Rolle für den Parameter --scope eine Zeichenfolge an, die den Warteschlangenbereich enthält. Der Bereich für eine Warteschlange weist folgendes Format auf:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

Im folgenden Beispiel wird die Rolle Mitwirkender an Storage-Warteschlangendaten einem Benutzer zugewiesen und auf die Ebene der Warteschlange begrenzt. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern durch Ihre eigenen Werte:

az role assignment create \
    --role "Storage Queue Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue>"

Informationen zum Zuweisen von Rollen mit PowerShell im Abonnement-, Ressourcengruppen- oder Speicherkontobereich finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure CLI.

Vorlage

Informationen zur Verwendung einer Azure Resource Manager-Vorlage zum Zuweisen einer Azure-Rolle finden Sie unter Zuweisen von Azure-Rollen mithilfe von Azure Resource Manager-Vorlagen.

Beachten Sie die folgenden Punkte zu Azure-Rollenzuweisungen in Azure Storage:

• Wenn Sie ein Azure Storage-Konto erstellen, erhalten Sie nicht automatisch Berechtigungen für den Zugriff auf Daten über Microsoft Entra ID. Sie müssen sich selbst explizit eine Azure-Rolle für Azure Storage zuweisen. Sie können sie auf Ebene Ihres Abonnements, einer Ressourcengruppe, eines Speicherkontos oder einer Warteschlange zuweisen.
• Wenn das Speicherkonto mit einem Schreibschutz von Azure Resource Manager gesperrt wurde, verhindert diese Sperre die Zuweisung von Azure-Rollen, die für das Speicherkonto oder eine Warteschlange gelten.

Nächste Schritte

• Was ist die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC)?
• Bewährte Methoden für Azure RBAC