Menetapkan peran Azure untuk akses ke data blob

Microsoft Entra mengotorisasi hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Storage menentukan sekumpulan peran bawaan Azure yang mencakup kumpulan izin umum yang digunakan untuk mengakses data blob.

Saat peran Azure ditetapkan ke perwakilan keamanan Microsoft Entra, Azure memberikan akses ke sumber daya tersebut untuk prinsipal keamanan. Perwakilan keamanan Microsoft Entra dapat berupa pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.

Untuk mempelajari selengkapnya tentang menggunakan ID Microsoft Entra untuk mengotorisasi akses ke data blob, lihat Mengotorisasi akses ke blob menggunakan ID Microsoft Entra.

Catatan

Artikel ini memperlihatkan cara menetapkan peran Azure untuk akses ke data blob di akun penyimpanan. Untuk mempelajari tentang menetapkan peran untuk operasi manajemen di Azure Storage, lihat Menggunakan penyedia sumber daya Azure Storage untuk mengakses sumber daya manajemen.

Menetapkan peran Azure

Anda dapat menggunakan portal Microsoft Azure, PowerShell, Azure CLI, atau templat Azure Resource Manager untuk menetapkan peran bagi akses data.

Portal Azure

Untuk mengakses data blob di portal Azure dengan kredensial Microsoft Entra, pengguna harus memiliki penetapan peran berikut:

• Peran akses data, seperti Pembaca Data Blob Penyimpanan atau Kontributor Data Blob Penyimpanan
• Peran Pembaca di Azure Resource Manager, setidaknya

Untuk mempelajari cara menetapkan peran ini kepada pengguna, ikuti petunjuk yang disediakan di Menetapkan peran Azure menggunakan portal Microsoft Azure.

Peran Pembaca merupakan peran Azure Resource Manager yang memungkinkan pengguna melihat sumber daya akun penyimpanan, tetapi tidak mengubahnya. Ini tidak menyediakan izin baca untuk data di Azure Storage, tetapi hanya untuk sumber daya manajemen akun. Peran Pembaca diperlukan agar pengguna dapat menavigasi ke kontainer blob di portal Microsoft Azure.

Misalnya, jika Anda menetapkan peran Kontributor Data Blob Penyimpanan kepada pengguna Mary pada tingkat kontainer bernama sampel-container, maka Mary diberi akses baca, tulis, dan hapus ke semua blob dalam kontainer tersebut. Namun, jika Mary ingin melihat blob di portal Azure, maka peran Kontributor Data Penyimpanan Blob sendirian tidak akan memberikan izin yang memadai untuk menavigasi melalui portal ke blob agar dapat melihatnya. Izin tambahan diperlukan untuk menavigasi melalui portal dan menampilkan sumber daya lain yang tampak di sana.

Pengguna harus diberi peran Pembaca untuk menggunakan portal Azure dengan kredensial Microsoft Entra. Namun, jika pengguna diberi peran dengan izin Microsoft.Storage/storageAccounts/listKeys/action , maka pengguna dapat menggunakan portal dengan kunci akun penyimpanan, melalui otorisasi Kunci Bersama. Untuk menggunakan kunci akun penyimpanan, akses Kunci Bersama harus diizinkan untuk akun penyimpanan. Untuk informasi selengkapnya tentang mengizinkan atau melarang akses Kunci Bersama, lihat Mencegah otorisasi Kunci Bersama untuk akun Microsoft Azure Storage.

Anda juga dapat menetapkan peran Azure Resource Manager yang menyediakan izin tambahan di luar peran Pembaca . Sebaiknya tetapkan izin seminimal mungkin sebagai praktik terbaik keamanan. Untuk informasi selengkapnya, lihat Praktik terbaik untuk Azure RBAC.

Catatan

Sebelum menetapkan peran untuk akses data ke diri Anda sendiri, Anda akan dapat mengakses data di akun penyimpanan melalui portal Microsoft Azure karena portal Microsoft Azure juga dapat menggunakan kunci akun untuk akses data. Untuk informasi selengkapnya, lihat Memilih cara memberi otorisasi akses ke data blob di portal Microsoft Azure.

PowerShell

Untuk menetapkan peran Azure kepada entitas keamanan menggunakan PowerShell, gunakan perintah New-AzRoleAssignment. Untuk menjalankan perintah, Anda harus memiliki peran yang mencakup izin Microsoft.Authorization/roleAssignments/write yang diberikan kepada Anda pada cakupan yang diperlukan atau lebih tinggi.

Format perintah dapat berbeda berdasarkan cakupan penugasan, tetapi -ObjectId dan -RoleDefinitionName adalah parameter yang diperlukan. Memberikan nilai untuk parameter -Scope, meskipun tidak diperlukan, sangat disarankan untuk mempertahankan prinsip privilese paling rendah. Dengan membatasi peran dan cakupan, Anda membatasi sumber daya yang berisiko jika prinsip keamanan pernah disusupi.

Parameter -ObjectId adalah ID objek Microsoft Entra dari pengguna, grup, atau perwakilan layanan tempat peran ditetapkan. Untuk mengambil ID, Anda dapat menggunakan Get-AzADUser untuk memfilter pengguna Microsoft Entra, seperti yang terlihat pada contoh di bawah ini.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Respons pertama menampilkan entitas keamanan, dan yang kedua menampilkan ID objek dari entitas keamanan tersebut.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Type              : 

aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb

Nilai parameter -RoleDefinitionName adalah nama peran RBAC yang perlu ditetapkan ke prinsipal. Untuk mengakses data blob di portal Azure dengan kredensial Microsoft Entra, pengguna harus memiliki penetapan peran berikut:

• Peran akses data, seperti Kontributor Penyimpanan Data Blob atau Pembaca Penyimpanan Data Blob
• Pembaca Azure Resource Manager Peran

Untuk menetapkan peran yang dicakup ke kontainer blob atau akun penyimpanan, Anda harus menentukan string yang berisi cakupan sumber daya untuk parameter -Scope. Tindakan ini sesuai dengan prinsip hak istimewa paling rendah, sebuah konsep keamanan informasi tempat pengguna diberikan tingkat akses minimum yang diperlukan untuk melakukan fungsi pekerjaan mereka. Praktik ini mengurangi potensi risiko kerusakan yang tidak disengaja atau disengaja yang dapat ditimbulkan oleh hak istimewa yang tidak perlu.

Cakupan untuk kontainer adalah dalam bentuk:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Cakupan untuk akun penyimpanan ada dalam formulir:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Untuk menetapkan peran yang dicakup ke akun penyimpanan, tentukan string yang berisi cakupan kontainer untuk parameter --scope.

Contoh berikut menetapkan peran Kontributor Data Blob Penyimpanan kepada pengguna. Penetapan peran dibatasi hingga tingkat wadah. Pastikan untuk mengganti nilai sampel dan nilai tempat penampung dalam tanda kurung siku (<>) dengan nilai Anda sendiri:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Contoh berikut menetapkan peran Pembaca Data Blob Penyimpanan kepada pengguna dengan menetapkan ID objek. Penetapan peran dibatasi pada tingkat akun-penyimpanan. Pastikan untuk mengganti nilai sampel dan nilai placeholder dalam tanda kurung sudut (<>) dengan nilai Anda sendiri.

New-AzRoleAssignment -ObjectID "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Output Anda harus sama dengan output berikut:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Untuk informasi tentang menetapkan peran dengan PowerShell di cakupan langganan atau grup sumber daya, lihat Menetapkan peran Azure menggunakan Azure PowerShell.

Azure CLI

Untuk menetapkan peran Azure ke prinsipal keamanan, gunakan perintah az role assignment create. Format perintah dapat berbeda berdasarkan cakupan penugasan. Untuk menjalankan perintah, Anda harus memiliki peran yang menyertakan izin Microsoft.Authorization/roleAssignments/write yang diberikan kepada Anda pada cakupan yang sesuai atau yang lebih tinggi.

Untuk menetapkan peran yang dibatasi pada kontainer, tentukan string yang berisi cakupan kontainer untuk parameter --scope. Cakupan untuk kontainer ada dalam formulir:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Contoh berikut menetapkan peran Storage Blob Data Contributor kepada pengguna. Penetapan peran dilingkupkan ke tingkat kontainer. Pastikan untuk mengganti nilai sampel dan nilai tempat penampung dalam tanda kurung (<>) dengan nilai milik Anda sendiri.

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Contoh berikut menetapkan peran Pembaca Data Blob Penyimpanan kepada pengguna dengan menetapkan ID objek. Untuk mempelajari selengkapnya tentang parameter --assignee-object-id dan --assignee-principal-type, lihat penetapan peran az. Dalam contoh ini, penetapan peran dibatasi pada tingkat akun penyimpanan. Pastikan untuk mengganti nilai sampel dan nilai tempat penampung dalam tanda kurung siku (<>) dengan nilai Anda sendiri:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Untuk informasi tentang menetapkan peran dengan Azure CLI di langganan, grup sumber daya, atau cakupan akun penyimpanan, lihat Menetapkan peran Azure menggunakan Azure CLI.

Templat

Untuk mempelajari cara menggunakan templat Azure Resource Manager untuk menetapkan peran Azure, lihat Menetapkan peran Azure menggunakan templat Azure Resource Manager.

Ingat poin-poin berikut tentang penetapan peran Azure di Microsoft Azure Storage:

• Saat membuat akun Azure Storage, Anda tidak secara otomatis menetapkan izin untuk mengakses data melalui ID Microsoft Entra. Anda harus secara eksplisit menetapkan peran Azure untuk Azure Storage kepada diri Anda sendiri. Anda dapat menetapkannya di tingkat langganan, grup sumber daya, akun penyimpanan, atau kontainer.
• Saat Anda menetapkan peran atau menghapus penetapan peran, diperlukan waktu hingga 10 menit agar perubahan diterapkan.
• Peran bawaan dengan tindakan data dapat ditetapkan pada cakupan grup manajemenc0. Namun, dalam skenario yang jarang terjadi mungkin ada penundaan yang signifikan (hingga 12 jam) sebelum izin tindakan data efektif untuk jenis sumber daya tertentu. Izin pada akhirnya akan diterapkan. Untuk peran bawaan dengan tindakan data, tidak disarankan untuk menambahkan atau menghapus penetapan peran pada cakupan grup manajemen dalam skenario di mana diperlukan aktivasi atau pencabutan izin secara tepat waktu, seperti dalam hal Microsoft Entra Privileged Identity Management (PIM).
• Jika akun penyimpanan dikunci dengan kunci hanya-baca Azure Resource Manager, maka kunci tersebut mencegah penetapan peran Azure pada akun penyimpanan atau kontainer.
• Jika Anda mengatur izin yang sesuai untuk mengakses data melalui Microsoft Entra ID dan tetap tidak dapat mengakses data, misalnya Anda mendapatkan kesalahan "AuthorizationPermissionMismatch". Pastikan untuk menyediakan cukup waktu agar perubahan izin yang Anda buat di Microsoft Entra ID dapat direplikasi, dan pastikan Anda tidak memiliki penetapan penolakan yang menghalangi akses Anda; lihat Memahami penetapan penolakan Azure.

Catatan

Anda dapat membuat peran Azure RBAC kustom untuk akses terperinci ke data blob. Untuk informasi selengkapnya, lihat Peran kustom Azure.

Langkah berikutnya

• Apa yang dimaksud dengan kontrol akses berbasis peran Azure (Azure RBAC)?
• Praktik terbaik untuk Azure RBAC