Bagikan melalui


Menetapkan peran Azure untuk akses ke data blob

Microsoft Entra mengotorisasi hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Storage menentukan sekumpulan peran bawaan Azure yang mencakup kumpulan izin umum yang digunakan untuk mengakses data blob.

Saat peran Azure ditetapkan ke perwakilan keamanan Microsoft Entra, Azure memberikan akses ke sumber daya tersebut untuk prinsip keamanan tersebut. Perwakilan keamanan Microsoft Entra dapat berupa pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.

Untuk mempelajari selengkapnya tentang menggunakan ID Microsoft Entra untuk mengotorisasi akses ke data blob, lihat Mengotorisasi akses ke blob menggunakan ID Microsoft Entra.

Catatan

Artikel ini memperlihatkan cara menetapkan peran Azure untuk akses ke data blob di akun penyimpanan. Untuk mempelajari tentang menetapkan peran untuk operasi manajemen di Azure Storage, lihat Menggunakan penyedia sumber daya Azure Storage untuk mengakses sumber daya manajemen.

Menetapkan peran Azure

Anda dapat menggunakan portal Microsoft Azure, PowerShell, Azure CLI, atau templat Azure Resource Manager untuk menetapkan peran bagi akses data.

Untuk mengakses data blob di portal Azure dengan kredensial Microsoft Entra, pengguna harus memiliki penetapan peran berikut:

  • Peran akses data, seperti Pembaca Data Blob Penyimpanan atau Kontributor Data Blob Penyimpanan
  • Peran Pembaca Azure Resource Manager, minimal

Untuk mempelajari cara menetapkan peran ini kepada pengguna, ikuti petunjuk yang disediakan di Menetapkan peran Azure menggunakan portal Microsoft Azure.

Peran Pembaca merupakan peran Azure Resource Manager yang memungkinkan pengguna melihat sumber daya akun penyimpanan, tetapi tidak mengubahnya. Ini tidak menyediakan izin baca untuk data di Azure Storage, tetapi hanya untuk sumber daya manajemen akun. Peran Pembaca diperlukan agar pengguna dapat menavigasi ke kontainer blob di portal Microsoft Azure.

Misalnya, jika Anda menetapkan peran Kontributor Data Blob Penyimpanan kepada pengguna Mary pada tingkat kontainer bernama sampel-container, maka Mary diberi akses baca, tulis, dan hapus ke semua blob dalam kontainer tersebut. Namun, jika Mary ingin melihat blob di portal Azure, maka peran Kontributor Data Blob Penyimpanan dengan sendirinya tidak akan memberikan izin yang memadai untuk menavigasi melalui portal ke blob untuk melihatnya. Izin tambahan diperlukan untuk menavigasi melalui portal dan menampilkan sumber daya lain yang tampak di sana.

Pengguna harus diberi peran Pembaca untuk menggunakan portal Azure dengan kredensial Microsoft Entra. Namun, jika pengguna diberi peran dengan izin Microsoft.Storage/storageAccounts/listKeys/action , maka pengguna dapat menggunakan portal dengan kunci akun penyimpanan, melalui otorisasi Kunci Bersama. Untuk menggunakan kunci akun penyimpanan, akses Kunci Bersama harus diizinkan untuk akun penyimpanan. Untuk informasi selengkapnya tentang mengizinkan atau melarang akses Kunci Bersama, lihat Mencegah otorisasi Kunci Bersama untuk akun Microsoft Azure Storage.

Anda juga dapat menetapkan peran Azure Resource Manager yang menyediakan izin tambahan di luar peran Pembaca . Sebaiknya tetapkan izin seminimal mungkin sebagai praktik terbaik keamanan. Untuk informasi selengkapnya, lihat Praktik terbaik untuk Azure RBAC.

Catatan

Sebelum menetapkan peran untuk akses data ke diri Anda sendiri, Anda akan dapat mengakses data di akun penyimpanan melalui portal Microsoft Azure karena portal Microsoft Azure juga dapat menggunakan kunci akun untuk akses data. Untuk informasi selengkapnya, lihat Memilih cara memberi otorisasi akses ke data blob di portal Microsoft Azure.

Ingat poin-poin berikut tentang penetapan peran Azure di Microsoft Azure Storage:

  • Saat membuat akun Azure Storage, Anda tidak secara otomatis menetapkan izin untuk mengakses data melalui ID Microsoft Entra. Anda harus secara eksplisit menetapkan peran Azure untuk Azure Storage ke diri Anda sendiri. Anda dapat menetapkannya di tingkat langganan, grup sumber daya, akun penyimpanan, atau kontainer.
  • Saat Anda menetapkan peran atau menghapus penetapan peran, diperlukan waktu hingga 10 menit agar perubahan diterapkan.
  • Peran bawaan dengan tindakan data dapat ditetapkan di cakupan grup manajemen. Namun, dalam skenario yang jarang terjadi mungkin ada penundaan yang signifikan (hingga 12 jam) sebelum izin tindakan data efektif untuk jenis sumber daya tertentu. Izin pada akhirnya akan diterapkan. Untuk peran bawaan dengan tindakan data, menambahkan atau menghapus penetapan peran di cakupan grup manajemen tidak disarankan untuk skenario di mana aktivasi atau pencabutan izin tepat waktu, seperti Microsoft Entra Privileged Identity Management (PIM), diperlukan.
  • Jika akun penyimpanan dikunci dengan kunci baca-saja Azure Resource Manager, maka kunci tersebut mencegah penetapan peran Azure yang dicakupkan ke akun penyimpanan atau kontainer.
  • Jika Anda mengatur izin izin izin yang sesuai untuk mengakses data melalui ID Microsoft Entra dan tidak dapat mengakses data, misalnya Anda mendapatkan kesalahan "AuthorizationPermissionMismatch". Pastikan untuk mengizinkan cukup waktu agar perubahan izin yang Anda buat di ID Microsoft Entra untuk direplikasi, dan pastikan Anda tidak memiliki tugas penolakan yang memblokir akses Anda, lihat Memahami penetapan penolakan Azure.

Catatan

Anda dapat membuat peran Azure RBAC kustom untuk akses terperinci ke data blob. Untuk informasi selengkapnya, lihat Peran kustom Azure.

Langkah berikutnya