Megosztás a következőn keresztül:


Azure-szerepkör hozzárendelése a blobadatokhoz való hozzáféréshez

A Microsoft Entra az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyezi az erőforrások védelmére vonatkozó hozzáférési jogosultságokat. Az Azure Storage azure-beli beépített szerepkörök készletét határozza meg, amelyek a blobadatok eléréséhez használt általános engedélykészleteket foglalják magukban.

Ha egy Azure-szerepkör egy Microsoft Entra biztonsági taghoz van rendelve, az Azure hozzáférést biztosít ezekhez az erőforrásokhoz az adott biztonsági tag számára. A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz.

A Blob-adatokhoz való hozzáférés engedélyezéséhez a Microsoft Entra ID használatával kapcsolatos további információkért lásd : Blobok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval.

Feljegyzés

Ez a cikk bemutatja, hogyan rendelhet hozzá Azure-szerepkört a blobadatokhoz való hozzáféréshez egy tárfiókban. Az Azure Storage felügyeleti műveleteihez tartozó szerepkörök hozzárendeléséről további információt az Azure Storage erőforrás-szolgáltatójának használata felügyeleti erőforrások eléréséhez című témakörben talál.

Azure-szerepkör hozzárendelése

Az Azure Portal, a PowerShell, az Azure CLI vagy egy Azure Resource Manager-sablon használatával szerepkört rendelhet az adathozzáféréshez.

Ahhoz, hogy a blobadatok az Azure Portalon Microsoft Entra-hitelesítő adatokkal legyenek elérhetők, a felhasználónak a következő szerepkör-hozzárendelésekkel kell rendelkeznie:

  • Adathozzáférési szerepkör, például Storage Blob-adatolvasó vagy Storage Blob-adatszolgáltató
  • Az Azure Resource Manager-olvasó szerepkör legalább

Ha meg szeretné tudni, hogyan rendelheti hozzá ezeket a szerepköröket egy felhasználóhoz, kövesse az Azure-szerepkörök hozzárendelése az Azure Portalon megadott utasításokat.

Az Olvasó szerepkör egy Azure Resource Manager-szerepkör, amely lehetővé teszi a felhasználók számára a tárfiók erőforrásainak megtekintését, de nem módosíthatják őket. Nem biztosít olvasási engedélyeket az Azure Storage-adatokhoz, csak a fiókkezelési erőforrásokhoz. Az Olvasó szerepkörre azért van szükség, hogy a felhasználók az Azure Portal blobtárolóira navigáljanak.

Ha például egy Mintatároló nevű tároló szintjén rendeli hozzá a Storage Blob Data Közreműködő szerepkört Mary felhasználóhoz, akkor Mary olvasási, írási és törlési hozzáférést kap a tárolóban lévő összes blobhoz. Ha azonban Mary meg szeretne tekinteni egy blobot az Azure Portalon, akkor a Storage Blob Data Közreműködő szerepkör önmagában nem biztosít elegendő engedélyeket a portálon a blobhoz való navigáláshoz annak megtekintéséhez. A portálon való navigáláshoz és az ott látható egyéb erőforrások megtekintéséhez további engedélyekre van szükség.

Egy felhasználónak hozzá kell rendelnie az Olvasó szerepkört az Azure Portal Microsoft Entra-hitelesítő adatokkal való használatához. Ha azonban egy felhasználóhoz Microsoft.Storage/storageAccounts/listKeys/action engedélyekkel van hozzárendelve egy szerepkör, akkor a felhasználó megosztott kulcsok engedélyezésével használhatja a portált a tárfiókkulcsokkal. A tárfiókkulcsok használatához engedélyezni kell a megosztott kulcs hozzáférését a tárfiókhoz. A megosztott kulcs hozzáférésének engedélyezéséről vagy letiltásáról további információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.

Olyan Azure Resource Manager-szerepkört is hozzárendelhet, amely az Olvasó szerepkörön kívül további engedélyeket is biztosít. Ajánlott biztonsági gyakorlatként ajánlott a lehető legkevesebb engedély hozzárendelése. További információ: Az Azure RBAC használatának ajánlott eljárásai.

Feljegyzés

Mielőtt szerepkört rendel az adathozzáféréshez, az Azure Portalon keresztül hozzáférhet a tárfiókban lévő adatokhoz, mert az Azure Portal a fiókkulcsot is használhatja az adathozzáféréshez. További információ: A blobadatokhoz való hozzáférés engedélyezése az Azure Portalon.

Tartsa szem előtt az Azure Storage-beli Azure-szerepkör-hozzárendelésekkel kapcsolatos alábbi szempontokat:

  • Azure Storage-fiók létrehozásakor a rendszer nem rendeli hozzá automatikusan az adatok Microsoft Entra-azonosítón keresztüli eléréséhez szükséges engedélyeket. Kifejezetten azure-szerepkört kell hozzárendelnie az Azure Storage-hoz. Hozzárendelheti az előfizetés, az erőforráscsoport, a tárfiók vagy a tároló szintjén.
  • Szerepkörök hozzárendelése vagy szerepkör-hozzárendelések eltávolítása akár 10 percet is igénybe vehet, amíg a módosítások érvénybe lépnek.
  • Ha a tárfiók írásvédett Azure Resource Manager-zárolással van zárolva, akkor a zárolás megakadályozza a tárfiókra vagy tárolóra hatókörrel rendelkező Azure-szerepkörök hozzárendelését.
  • Ha a megfelelő engedélyezési engedélyeket állítja be az adatokHoz való hozzáféréshez a Microsoft Entra-azonosítón keresztül, és nem fér hozzá az adatokhoz, például "AuthorizationPermissionMismatch" hibaüzenet jelenik meg. Győződjön meg arról, hogy elegendő időt hagy a Microsoft Entra ID-ban végrehajtott engedélymódosítások replikálására, és győződjön meg arról, hogy nincsenek olyan megtagadási hozzárendelései, amelyek blokkolják a hozzáférést, lásd: Az Azure megtagadási hozzárendeléseinek ismertetése.

Feljegyzés

Egyéni Azure RBAC-szerepköröket hozhat létre a blobadatok részletes eléréséhez. További információ: Azure egyéni szerepkörök.

Következő lépések