Azure-szerepkör hozzárendelése az üzenetsoradatokhoz való hozzáféréshez

A Microsoft Entra az Azure szerepköralapú hozzáférés-vezérléssel (Azure RBAC) engedélyezi az erőforrások védelmére vonatkozó hozzáférési jogosultságokat. Az Azure Storage azure-beli beépített szerepkörök készletét határozza meg, amelyek az üzenetsoradatok eléréséhez használt általános engedélykészleteket foglalják magukban.

Ha egy Azure-szerepkör egy Microsoft Entra biztonsági taghoz van rendelve, az Azure hozzáférést biztosít ezekhez az erőforrásokhoz az adott biztonsági tag számára. A Microsoft Entra biztonsági tag lehet felhasználó, csoport, alkalmazás-szolgáltatásnév vagy felügyelt identitás az Azure-erőforrásokhoz.

Az üzenetsoradatokhoz való hozzáférés engedélyezéséről a Microsoft Entra ID használatával kapcsolatos további információkért lásd : Üzenetsorok hozzáférésének engedélyezése a Microsoft Entra-azonosítóval.

Megjegyzés:

Ez a cikk bemutatja, hogyan rendelhet hozzá Azure-szerepkört a tárfiókban lévő üzenetsoradatokhoz való hozzáféréshez. Az Azure Storage felügyeleti műveleteihez tartozó szerepkörök hozzárendeléséről további információt az Azure Storage erőforrás-szolgáltatójának használata felügyeleti erőforrások eléréséhez című témakörben talál.

Azure-szerepkör hozzárendelése

Az Azure Portal, a PowerShell, az Azure CLI vagy egy Azure Resource Manager-sablon használatával szerepkört rendelhet az adathozzáféréshez.

Azure Portal

Ha a Microsoft Entra hitelesítő adataival szeretne hozzáférni az üzenetsor-adatokhoz az Azure Portalon, a felhasználónak a következő szerepkör-hozzárendelésekkel kell rendelkeznie:

• Adathozzáférési szerepkör, például a Tárolási üzenetsor adatszolgáltatója
• Az Azure Resource Manager-olvasó szerepkör

Ha meg szeretné tudni, hogyan rendelheti hozzá ezeket a szerepköröket egy felhasználóhoz, kövesse az Azure-szerepkörök hozzárendelése az Azure Portalon megadott utasításokat.

Az Olvasó szerepkör egy Azure Resource Manager-szerepkör, amely lehetővé teszi a felhasználók számára a tárfiók erőforrásainak megtekintését, de nem módosíthatják őket. Nem biztosít olvasási engedélyeket az Azure Storage-adatokhoz, csak a fiókkezelési erőforrásokhoz. Az Olvasó szerepkörre azért van szükség, hogy a felhasználók az Azure Portal üzenetsoraihoz és üzeneteihez navigáljanak.

Ha például a Storage Queue Data Contributor szerepkört egy Minta-üzenetsor nevű üzenetsor szintjén rendeli hozzá Mary felhasználóhoz, akkor Mary olvasási, írási és törlési hozzáférést kap az üzenetsorhoz. Ha azonban Mary meg szeretne tekinteni egy üzenetsort az Azure Portalon, akkor a Storage Queue Data Közreműködői szerepkör önmagában nem biztosít elegendő engedélyt a portálon való navigáláshoz az üzenetsorhoz annak megtekintéséhez. A portálon való navigáláshoz és az ott látható egyéb erőforrások megtekintéséhez további engedélyekre van szükség.

Egy felhasználónak hozzá kell rendelnie az Olvasó szerepkört az Azure Portal Microsoft Entra-hitelesítő adatokkal való használatához. Ha azonban egy felhasználóhoz a Microsoft.Storage/storageAccounts/listKeys/action engedélyekkel van hozzárendelve egy szerepkör, akkor a felhasználó megosztott kulcsok engedélyezésével használhatja a portált a tárfiókkulcsokkal. A tárfiókkulcsok használatához engedélyezni kell a megosztott kulcs hozzáférését a tárfiókhoz. A megosztott kulcs hozzáférésének engedélyezéséről vagy letiltásáról további információt az Azure Storage-fiók megosztott kulcsának engedélyezésének megakadályozása című témakörben talál.

Olyan Azure Resource Manager-szerepkört is hozzárendelhet, amely az Olvasó szerepkörön kívül további engedélyeket is biztosít. Ajánlott biztonsági gyakorlatként ajánlott a lehető legkevesebb engedély hozzárendelése. További információ: Az Azure RBAC használatának ajánlott eljárásai.

Megjegyzés:

Mielőtt szerepkört rendel az adathozzáféréshez, az Azure Portalon keresztül hozzáférhet a tárfiókban lévő adatokhoz, mert az Azure Portal a fiókkulcsot is használhatja az adathozzáféréshez. További információ: Az üzenetsoradatokhoz való hozzáférés engedélyezése az Azure Portalon.

PowerShell

Ha Azure-szerepkört szeretne hozzárendelni egy biztonsági taghoz, hívja meg a New-AzRoleAssignment parancsot. A parancs formátuma a hozzárendelés hatókörétől függően eltérhet. A parancs futtatásához rendelkeznie kell egy olyan szerepkörrel, amely tartalmazza a Microsoft.Authorization/roleAssignments/write engedélyeket a megfelelő hatókörben vagy felett.

Ha egy üzenetsorhoz hatókörrel rendelkező szerepkört szeretne hozzárendelni, adjon meg egy sztringet, amely tartalmazza a paraméter üzenetsorának hatókörét --scope . Az üzenetsor hatóköre az alábbi formában jelenik meg:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

Az alábbi példa hozzárendeli a Storage Queue Data Contributor szerepkört egy felhasználóhoz, amely egy minta-üzenetsor nevű üzenetsorra terjed ki. A mintaértékeket és a zárójelben lévő helyőrző értékeket cserélje le a saját értékeire:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/sample-queue"

Az előfizetés, az erőforráscsoport vagy a tárfiók hatókörében lévő PowerShell-szerepkörök hozzárendelésével kapcsolatos információkért lásd : Azure-szerepkörök hozzárendelése az Azure PowerShell használatával.

Azure CLI

Ha Azure-szerepkört szeretne hozzárendelni egy biztonsági taghoz, használja az az role assignment create parancsot. A parancs formátuma a hozzárendelés hatókörétől függően eltérhet. A parancs formátuma a hozzárendelés hatókörétől függően eltérhet. A parancs futtatásához rendelkeznie kell egy olyan szerepkörrel, amely tartalmazza a Microsoft.Authorization/roleAssignments/write engedélyeket a megfelelő hatókörben vagy felett.

Ha egy üzenetsorhoz hatókörrel rendelkező szerepkört szeretne hozzárendelni, adjon meg egy sztringet, amely tartalmazza a paraméter üzenetsorának hatókörét --scope . Az üzenetsor hatóköre az alábbi formában jelenik meg:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

Az alábbi példa hozzárendeli a Storage Queue Data Contributor szerepkört egy felhasználóhoz, amely az üzenetsor szintjére terjed ki. A mintaértékeket és a zárójelben lévő helyőrző értékeket cserélje le a saját értékeire:

az role assignment create \
    --role "Storage Queue Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue>"

Az előfizetés, az erőforráscsoport vagy a tárfiók hatókörében lévő PowerShell-szerepkörök hozzárendeléséről további információt az Azure-szerepkörök hozzárendelése az Azure CLI-vel című témakörben talál.

Sablon

Az Azure Resource Manager-sablonok Azure-szerepkörök hozzárendelésével történő hozzárendeléséről az Azure-szerepkörök Hozzárendelése Azure Resource Manager-sablonok használatával című témakörben olvashat.

Tartsa szem előtt az Azure Storage-beli Azure-szerepkör-hozzárendelésekkel kapcsolatos alábbi szempontokat:

• Azure Storage-fiók létrehozásakor a rendszer nem rendeli hozzá automatikusan az adatok Microsoft Entra-azonosítón keresztüli eléréséhez szükséges engedélyeket. Kifejezetten azure-szerepkört kell hozzárendelnie az Azure Storage-hoz. Hozzárendelheti az előfizetés, az erőforráscsoport, a tárfiók vagy az üzenetsor szintjén.
• Ha a tárfiók írásvédett Azure Resource Manager-zárolással van zárolva, akkor a zárolás megakadályozza a tárfiókra vagy üzenetsorra hatókörrel rendelkező Azure-szerepkörök hozzárendelését.

Következő lépések

• Mi az az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC)?
• Ajánlott eljárások az Azure RBAC-hez