Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez

A Microsoft Entra az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyezi az erőforrások védelmére vonatkozó hozzáférési jogosultságokat. Az Azure Storage azure-beli beépített szerepkörök készletét határozza meg, amelyek a blobadatok eléréséhez használt általános engedélykészleteket foglalják magukban.

Ha egy Azure-szerepkör egy Microsoft Entra biztonsági taghoz van rendelve, az Azure hozzáférést biztosít ezekhez az erőforrásokhoz az adott biztonsági tag számára. A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz.

A Blob-adatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID használatával kapcsolatos további információkért lásd : Blobok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval.

Feljegyzés

Ez a cikk bemutatja, hogyan rendelhet hozzá Azure-szerepkört a blobadatokhoz való hozzáféréshez egy tárfiókban. Az Azure Storage felügyeleti műveleteihez tartozó szerepkörök hozzárendeléséről további információt az Azure Storage erőforrás-szolgáltatójának használata felügyeleti erőforrások eléréséhez című témakörben talál.

Azure-szerepkör hozzárendelése

Az Azure Portal, a PowerShell, az Azure CLI vagy egy Azure Resource Manager-sablon használatával szerepkört rendelhet az adathozzáféréshez.

Azure Portalra

Ahhoz, hogy a blobadatok az Azure Portalon Microsoft Entra-hitelesítő adatokkal legyenek elérhetők, a felhasználónak a következő szerepkör-hozzárendelésekkel kell rendelkeznie:

• Adathozzáférési szerepkör, például Storage Blob-adatolvasó vagy Storage Blob-adatszolgáltató
• Az Azure Resource Manager-olvasó szerepkör legalább

Ha meg szeretné tudni, hogyan rendelheti hozzá ezeket a szerepköröket egy felhasználóhoz, kövesse az Azure-szerepkörök hozzárendelése az Azure Portalon megadott utasításokat.

Az Olvasó szerepkör egy Azure Resource Manager-szerepkör, amely lehetővé teszi a felhasználók számára a tárfiók erőforrásainak megtekintését, de nem módosíthatják őket. Nem biztosít olvasási engedélyeket az Azure Storage-adatokhoz, csak a fiókkezelési erőforrásokhoz. Az Olvasó szerepkörre azért van szükség, hogy a felhasználók az Azure Portal blobtárolóira navigáljanak.

Ha például egy Mintatároló nevű tároló szintjén rendeli hozzá a Storage Blob Data Közreműködő szerepkört Mary felhasználóhoz, akkor Mary olvasási, írási és törlési hozzáférést kap a tárolóban lévő összes blobhoz. Ha azonban Mary meg szeretne tekinteni egy blobot az Azure Portalon, akkor a Storage Blob Data Közreműködő szerepkör önmagában nem biztosít elegendő engedélyeket a portálon a blobhoz való navigáláshoz annak megtekintéséhez. A portálon való navigáláshoz és az ott látható egyéb erőforrások megtekintéséhez további engedélyekre van szükség.

Egy felhasználónak hozzá kell rendelnie az Olvasó szerepkört az Azure Portal Microsoft Entra-hitelesítő adatokkal való használatához. Ha azonban egy felhasználóhoz Microsoft.Storage/storageAccounts/listKeys/action engedélyekkel van hozzárendelve egy szerepkör, akkor a felhasználó megosztott kulcsok engedélyezésével használhatja a portált a tárfiókkulcsokkal. A tárfiókkulcsok használatához engedélyezni kell a megosztott kulcs hozzáférését a tárfiókhoz. A megosztott kulcs hozzáférésének engedélyezéséről vagy letiltásáról további információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.

Olyan Azure Resource Manager-szerepkört is hozzárendelhet, amely az Olvasó szerepkörön kívül további engedélyeket is biztosít. Ajánlott biztonsági gyakorlatként ajánlott a lehető legkevesebb engedély hozzárendelése. További információ: Az Azure RBAC használatának ajánlott eljárásai.

Feljegyzés

Mielőtt szerepkört rendel az adathozzáféréshez, az Azure Portalon keresztül hozzáférhet a tárfiókban lévő adatokhoz, mert az Azure Portal a fiókkulcsot is használhatja az adathozzáféréshez. További információ: A blobadatokhoz való hozzáférés engedélyezése az Azure Portalon.

PowerShell

Ha Azure-szerepkört szeretne hozzárendelni egy biztonsági taghoz a PowerShell-lel, hívja meg a New-AzRoleAssignment parancsot. A parancs futtatásához olyan szerepkörrel kell rendelkeznie, amely a Microsoft.Authorization/roleAssignments/write engedélyeket tartalmazza a megfelelő hatókörben vagy annál magasabb hatókörben.

A parancs formátuma a hozzárendelés hatókörétől függően eltérhet, de a -ObjectId-RoleDefinitionName szükséges paraméterek. A paraméter értékének -Scope átadása, bár nem kötelező, erősen ajánlott a minimális jogosultság elvének megőrzése érdekében. A szerepkörök és hatókörök korlátozásával korlátozhatja azokat az erőforrásokat, amelyek veszélyben vannak, ha a rendszerbiztonsági tag biztonsága valaha is veszélybe kerül.

A -ObjectId paraméter annak a felhasználónak, csoportnak vagy szolgáltatásnévnek a Microsoft Entra objektumazonosítója, amelyhez a szerepkör hozzá van rendelve. Az azonosító lekéréséhez a Get-AzADUser használatával szűrheti a Microsoft Entra-felhasználókat az alábbi példában látható módon.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Az első válasz a biztonsági tagot, a második pedig a biztonsági tag objektumazonosítóját adja vissza.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

A -RoleDefinitionName paraméter értéke annak az RBAC-szerepkörnek a neve, amelyet hozzá kell rendelni az egyszerű felhasználóhoz. Ahhoz, hogy a blobadatok az Azure Portalon Microsoft Entra-hitelesítő adatokkal legyenek elérhetők, a felhasználónak a következő szerepkör-hozzárendelésekkel kell rendelkeznie:

• Adathozzáférési szerepkör, például a Storage Blob-adatszolgáltató vagy a Storage Blob-adatolvasó
• Az Azure Resource Manager-olvasó szerepkör

Ha egy blobtárolóhoz vagy tárfiókhoz hatókörrel rendelkező szerepkört szeretne hozzárendelni, meg kell adnia egy sztringet, amely tartalmazza a -Scope paraméter erőforrásának hatókörét. Ez a művelet megfelel a minimális jogosultság elvének, egy olyan információbiztonsági koncepciónak, amelyben a felhasználó megkapja a feladatfüggvényeik végrehajtásához szükséges minimális hozzáférési szintet. Ez a gyakorlat csökkenti a szükségtelen jogosultságokkal járó véletlen vagy szándékos károk lehetséges kockázatát.

A tároló hatóköre a következő formában jelenik meg:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

A tárfiók hatóköre a következő formában jelenik meg:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Ha egy tárfiókhoz hatókörrel rendelkező szerepkört szeretne hozzárendelni, adjon meg egy sztringet, amely a paraméter tárolójának --scope hatókörét tartalmazza.

Az alábbi példa a Storage Blob Data Contributor szerepkört rendeli hozzá egy felhasználóhoz. A szerepkör-hozzárendelés hatóköre a tároló szintjére van korlátozva. Ügyeljen arra, hogy a mintaértékeket és a zárójelek helyőrző értékeit (<>) cserélje le a saját értékeire:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Az alábbi példa a Storage Blob Data Reader szerepkört rendeli hozzá egy felhasználóhoz az objektumazonosító megadásával. A szerepkör-hozzárendelés hatóköre a tárfiók szintjére terjed ki. Ügyeljen arra, hogy a mintaértékeket és a zárójelek helyőrző értékeit (<>) cserélje le a saját értékeire:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

A kimenet az alábbihoz hasonló lesz:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

További információ a szerepkörök PowerShell-lel való hozzárendeléséről az előfizetés vagy az erőforráscsoport hatókörében: Azure-szerepkörök hozzárendelése az Azure PowerShell használatával.

Azure CLI

Ha Azure-szerepkört szeretne hozzárendelni egy biztonsági taghoz az Azure CLI-vel, használja az az role assignment create parancsot. A parancs formátuma a hozzárendelés hatókörétől függően eltérhet. A parancs futtatásához olyan szerepkörrel kell rendelkeznie, amely a Microsoft.Authorization/roleAssignments/write engedélyeket tartalmazza a megfelelő hatókörben vagy annál magasabb hatókörben.

Ha egy tárolóhoz hatókörrel rendelkező szerepkört szeretne hozzárendelni, adjon meg egy sztringet, amely a paraméter tárolójának --scope hatókörét tartalmazza. A tároló hatóköre a következő formában jelenik meg:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Az alábbi példa a Storage Blob Data Contributor szerepkört rendeli hozzá egy felhasználóhoz. A szerepkör-hozzárendelés hatóköre a tároló szintjére terjed ki. Ügyeljen arra, hogy a mintaértékeket és a zárójelek helyőrző értékeit (<>) cserélje le a saját értékeire:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Az alábbi példa a Storage Blob Data Reader szerepkört rendeli hozzá egy felhasználóhoz az objektumazonosító megadásával. A szerepkör-hozzárendeléssel kapcsolatos további információkért tekintse meg az --assignee-object-id--assignee-principal-type az role assignment (Szerepkör-hozzárendelés) című témakört. Ebben a példában a szerepkör-hozzárendelés hatóköre a tárfiók szintjére terjed ki. Ügyeljen arra, hogy a mintaértékeket és a zárójelek helyőrző értékeit (<>) cserélje le a saját értékeire:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

A szerepkörök azure CLI-vel való hozzárendeléséről az előfizetés, az erőforráscsoport vagy a tárfiók hatókörében az Azure-szerepkörök hozzárendelése az Azure CLI-vel című témakörben olvashat.

Sablon

Az Azure Resource Manager-sablonok Azure-szerepkörök hozzárendelésével történő hozzárendeléséről az Azure-szerepkörök Hozzárendelése Azure Resource Manager-sablonok használatával című témakörben olvashat.

Tartsa szem előtt az Azure Storage-beli Azure-szerepkör-hozzárendelésekkel kapcsolatos alábbi szempontokat:

• Azure Storage-fiók létrehozásakor a rendszer nem rendeli hozzá automatikusan az adatok Microsoft Entra-azonosítón keresztüli eléréséhez szükséges engedélyeket. Kifejezetten azure-szerepkört kell hozzárendelnie az Azure Storage-hoz. Hozzárendelheti az előfizetés, az erőforráscsoport, a tárfiók vagy a tároló szintjén.
• Szerepkörök hozzárendelése vagy szerepkör-hozzárendelések eltávolítása akár 10 percet is igénybe vehet, amíg a módosítások érvénybe lépnek.
• Ha a tárfiók írásvédett Azure Resource Manager-zárolással van zárolva, akkor a zárolás megakadályozza a tárfiókra vagy tárolóra hatókörrel rendelkező Azure-szerepkörök hozzárendelését.
• Ha a megfelelő engedélyezési engedélyeket állítja be az adatokHoz való hozzáféréshez a Microsoft Entra-azonosítón keresztül, és nem fér hozzá az adatokhoz, például "AuthorizationPermissionMismatch" hibaüzenet jelenik meg. Győződjön meg arról, hogy elegendő időt hagy a Microsoft Entra ID-ban végrehajtott engedélymódosítások replikálására, és győződjön meg arról, hogy nincsenek olyan megtagadási hozzárendelései, amelyek blokkolják a hozzáférést, lásd: Az Azure megtagadási hozzárendeléseinek ismertetése.

Feljegyzés

Egyéni Azure RBAC-szerepköröket hozhat létre a blobadatok részletes eléréséhez. További információ: Azure egyéni szerepkörök.

Következő lépések

• Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)?
• Ajánlott eljárások az Azure RBAC-hez