Menetapkan peran Azure untuk akses ke data antrean
Microsoft Entra mengotorisasi hak akses ke sumber daya aman melalui kontrol akses berbasis peran Azure (Azure RBAC). Azure Storage mendefinisikan set peran bawaan Azure yang mencakup set izin akses umum yang digunakan untuk mengakses data tabel di Azure Storage.
Saat peran Azure ditetapkan ke perwakilan keamanan Microsoft Entra, Azure memberikan akses ke sumber daya tersebut untuk prinsip keamanan tersebut. Perwakilan keamanan Microsoft Entra mungkin pengguna, grup, perwakilan layanan aplikasi, atau identitas terkelola untuk sumber daya Azure.
Untuk mempelajari selengkapnya tentang menggunakan ID Microsoft Entra untuk mengotorisasi akses ke data tabel, lihat Mengotorisasi akses ke tabel menggunakan ID Microsoft Entra.
Menetapkan peran Azure
Anda dapat menggunakan PowerShell, Azure CLI, atau pola dasar Azure Resource Manager untuk menetapkan peran untuk akses data.
Penting
Portal Azure saat ini tidak mendukung penetapan peran RBAC Azure yang dicakup ke tabel. Untuk menetapkan peran dengan cakupan tabel, gunakan PowerShell, Azure CLI, atau Azure Resource Manager.
Anda dapat menggunakan portal Azure untuk menetapkan peran yang memberikan akses ke data tabel ke sumber daya Azure Resource Manager, seperti akun penyimpanan, grup sumber daya, atau langganan.
Untuk menetapkan peran Azure ke prinsip keamanan, panggil perintah New-AzRoleAssignment. Format perintah dapat berbeda berdasarkan cakupan penugasan. Untuk menjalankan perintah, Anda harus memiliki peran yang menyertakan izin Microsoft.Authorization/roleAssignments/write yang diberikan kepada Anda pada cakupan yang sesuai atau lebih tinggi.
Untuk menetapkan cakupan peran ke sebuah tabel, tentukan untai (karakter) yang berisi cakupan tabel untuk --scope parameter. Cakupan untuk tabel ada dalam formulir:
/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>
Contoh berikut menetapkan peran Kontributor Data Tabel Penyimpanan ke pengguna yang tercakup dalam tabel. Pastikan untuk mengganti nilai sampel dan nilai tempat penampung dalam tanda kurung dengan nilai Anda sendiri:
New-AzRoleAssignment -SignInName <email> `
-RoleDefinitionName "Storage Table Data Contributor" `
-Scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"
Untuk informasi tentang menetapkan peran dengan PowerShell di langganan, grup sumber daya, atau cakupan akun penyimpanan, lihat Menetapkan peran Azure menggunakan Azure PowerShell.
Ingat poin-poin berikut tentang penetapan peran Azure di Microsoft Azure Storage:
- Saat membuat akun Azure Storage, Anda tidak secara otomatis diberi izin untuk mengakses data melalui ID Microsoft Entra. Anda harus secara eksplisit menetapkan peran Azure untuk Azure Storage ke diri Anda sendiri. Anda dapat menetapkannya pada tingkat langganan, grup sumber daya, akun penyimpanan, atau tabel Anda.
- Jika akun penyimpanan dikunci dengan kunci baca-saja Azure Resource Manager, maka kunci tersebut mencegah penetapan peran Azure yang tercakup dalam akun penyimpanan atau tabel.