Menetapkan peran Azure untuk akses ke data antrean

Microsoft Entra mengotorisasi hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Storage menentukan set peran bawaan Azure yang mencakup set izin umum yang digunakan untuk mengakses data antrean.

Saat peran Azure ditetapkan ke perwakilan keamanan Microsoft Entra, Azure memberikan akses ke sumber daya tersebut untuk prinsip keamanan tersebut. Perwakilan keamanan Microsoft Entra mungkin pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.

Untuk mempelajari selengkapnya tentang menggunakan ID Microsoft Entra untuk mengotorisasi akses ke data antrean, lihat Mengotorisasi akses ke antrean menggunakan ID Microsoft Entra.

Catatan

Artikel ini memperlihatkan cara menetapkan peran Azure untuk akses ke data antrean di akun penyimpanan. Untuk mempelajari tentang menetapkan peran untuk operasi manajemen di Azure Storage, lihat Menggunakan penyedia sumber daya Azure Storage untuk mengakses sumber daya manajemen.

Menetapkan peran Azure

Anda dapat menggunakan portal Microsoft Azure, PowerShell, Azure CLI, atau templat Azure Resource Manager untuk menetapkan peran bagi akses data.

Portal Azure

Untuk mengakses data antrean di portal Azure dengan kredensial Microsoft Entra, pengguna harus memiliki penetapan peran berikut:

• Peran akses data, seperti Kontributor Data Antrean Penyimpanan
• Peran Pembaca Azure Resource Manager

Untuk mempelajari cara menetapkan peran ini kepada pengguna, ikuti petunjuk yang disediakan di Menetapkan peran Azure menggunakan portal Microsoft Azure.

Peran Pembaca merupakan peran Azure Resource Manager yang memungkinkan pengguna melihat sumber daya akun penyimpanan, tetapi tidak mengubahnya. Peran ini tidak menyediakan izin baca ke data di Azure Storage, tetapi hanya untuk sumber daya manajemen akun. Peran Pembaca diperlukan agar pengguna dapat menavigasi ke antrean dan pesan di portal Microsoft Azure.

Misalnya, jika Anda menetapkan peran Kontributor Data Antrean Penyimpanan untuk pengguna Mary di tingkat antrean bernama sampel antrean, Mary diberi akses membaca, menulis, dan menghapus ke antrean tersebut. Namun, jika Mary ingin melihat antrean di portal Microsoft Azure, maka peran Kontributor Data Antrean Penyimpanan dengan sendirinya tidak akan memberikan izin yang memadai untuk masuk melalui portal ke antrean guna melihatnya. Izin tambahan diperlukan untuk menavigasi melalui portal dan menampilkan sumber daya lain yang tampak di sana.

Pengguna harus diberi peran Pembaca untuk menggunakan portal Azure dengan kredensial Microsoft Entra. Namun, jika pengguna telah diberi peran dengan izin Microsoft.Storage/storageAccounts/listKeys/action, pengguna dapat menggunakan portal dengan kunci akun penyimpanan, melalui otorisasi Kunci Bersama. Untuk menggunakan kunci akun penyimpanan, akses Kunci Bersama harus diizinkan untuk akun penyimpanan. Untuk informasi selengkapnya tentang mengizinkan atau melarang akses Kunci Bersama, lihat Mencegah otorisasi Kunci Bersama untuk akun Microsoft Azure Storage.

Anda juga dapat menetapkan peran Azure Resource Manager yang memberikan izin tambahan selain peran Pembaca. Sebaiknya tetapkan izin seminimal mungkin sebagai praktik terbaik keamanan. Untuk informasi selengkapnya, lihat Praktik terbaik untuk Azure RBAC.

Catatan

Sebelum menetapkan peran untuk akses data ke diri Anda sendiri, Anda akan dapat mengakses data di akun penyimpanan melalui portal Microsoft Azure karena portal Microsoft Azure juga dapat menggunakan kunci akun untuk akses data. Untuk informasi selengkapnya, lihat Memilih cara memberi otorisasi akses ke data antrean di portal Microsoft Azure.

PowerShell

Untuk menetapkan peran Azure ke prinsip keamanan, panggil perintah New-AzRoleAssignment. Format perintah dapat berbeda berdasarkan cakupan penugasan. Untuk menjalankan perintah, Anda harus memiliki peran yang menyertakan izin Microsoft.Authorization/roleAssignments/write yang diberikan kepada Anda pada cakupan yang sesuai atau lebih tinggi.

Untuk menetapkan peran yang dicakup ke antrean, tentukan string yang berisi cakupan antrean untuk parameter --scope. Cakupan untuk antrean ada dalam formulir:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

Contoh berikut menetapkan peran Kontributor Data Antrean Penyimpanan ke pengguna, yang dicakup ke antrean bernama sample-queue. Pastikan untuk mengganti nilai sampel dan nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/sample-queue"

Untuk informasi tentang menetapkan peran dengan PowerShell di langganan, grup sumber daya, atau cakupan akun penyimpanan, lihat Menetapkan peran Azure menggunakan Azure PowerShell.

Azure CLI

Untuk menetapkan peran Azure ke perwakilan keamanan, gunakan perintah az role assignment create. Format perintah dapat berbeda berdasarkan cakupan penugasan. Format perintah dapat berbeda berdasarkan cakupan penugasan. Untuk menjalankan perintah, Anda harus memiliki peran yang menyertakan izin Microsoft.Authorization/roleAssignments/write yang diberikan kepada Anda pada cakupan yang sesuai atau lebih tinggi.

Untuk menetapkan peran yang dicakup ke antrean, tentukan string yang berisi cakupan antrean untuk parameter --scope. Cakupan untuk antrean ada dalam formulir:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

Contoh berikut menetapkan peran Kontributor Data Antrean Penyimpanan ke pengguna yang dicakup ke tingkat antrean. Pastikan untuk mengganti nilai sampel dan nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:

az role assignment create \
    --role "Storage Queue Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue>"

Untuk informasi tentang menetapkan peran dengan PowerShell di langganan, grup sumber daya, atau cakupan akun penyimpanan, lihat Menetapkan peran Azure menggunakan Azure CLI.

Templat

Untuk mempelajari cara menggunakan templat Azure Resource Manager untuk menetapkan peran Azure, lihat Menetapkan peran Azure menggunakan templat Azure Resource Manager.

Ingat poin-poin berikut tentang penetapan peran Azure di Microsoft Azure Storage:

• Saat membuat akun Azure Storage, Anda tidak secara otomatis diberi izin untuk mengakses data melalui ID Microsoft Entra. Anda harus secara eksplisit menetapkan peran Azure untuk Azure Storage ke diri Anda sendiri. Anda dapat menetapkannya di tingkat langganan, grup sumber daya, akun penyimpanan, atau antrean.
• Jika akun penyimpanan dikunci dengan kunci baca-saja Azure Resource Manager, kunci tersebut mencegah penetapan peran Azure yang dicakupkan ke akun penyimpanan atau antrean.

Langkah berikutnya

• Apa yang dimaksud dengan kontrol akses berbasis peran Azure (Azure RBAC)?
• Praktik terbaik untuk Azure RBAC