Assegnare un ruolo di Azure per l'accesso ai dati della coda
Microsoft Entra autorizza i diritti di accesso alle risorse protette tramite il controllo degli accessi in base al ruolo di Azure. Archiviazione di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere ai dati della coda.
Quando un ruolo di Azure viene assegnato a un'entità di sicurezza Microsoft Entra, Azure concede l'accesso a tali risorse per tale entità di sicurezza. Un'entità di sicurezza di Microsoft Entra può essere un utente, un gruppo, un'entità servizio dell'applicazione o un'identità gestita per le risorse di Azure.
Per altre informazioni sull'uso di Microsoft Entra ID per autorizzare l'accesso ai dati della coda, vedere Autorizzare l'accesso alle code usando Microsoft Entra ID.
Nota
Questo articolo illustra come assegnare un ruolo di Azure per l'accesso ai dati della coda in un account di archiviazione. Per informazioni sull'assegnazione dei ruoli per le operazioni di gestione in Archiviazione di Azure, consultare Uso del provider di risorse di Archiviazione di Azure per accedere alle risorse di gestione.
Assegnare un ruolo di Azure
È possibile usare il portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager per assegnare un ruolo per l'accesso ai dati.
Per accedere ai dati della coda nella portale di Azure con le credenziali di Microsoft Entra, un utente deve avere le assegnazioni di ruolo seguenti:
- Ruolo di accesso ai dati, ad esempio Collaboratore ai dati della coda di archiviazione
- Ruolo di Lettore di Azure Resource Manager
Per informazioni su come assegnare questi ruoli a un utente, seguire le istruzioni fornite in Assegnare ruoli di Azure usando il portale di Azure.
Il ruolo di Lettore è un ruolo di Azure Resource Manager che consente agli utenti di visualizzare le risorse dell'account di archiviazione, ma non di modificarle. Non fornisce autorizzazioni di lettura per i dati in Archiviazione di Azure, ma solo per le risorse di gestione degli account. Il ruolo Lettore è necessario in modo che gli utenti possano passare a code e messaggi nel portale di Azure.
Ad esempio, se si assegna il ruolo Collaboratore ai dati della coda di archiviazione all'utente Mary a livello di una coda denominata sample-queue, a Mary viene concesso l'accesso in lettura, scrittura ed eliminazione a tale coda. Tuttavia, se Mary vuole visualizzare una coda nel portale di Azure, il ruolo Collaboratore ai dati della coda di archiviazione non fornirà autorizzazioni sufficienti per spostarsi nel portale alla coda per visualizzarla. Le autorizzazioni aggiuntive sono necessarie per navigare nel portale e visualizzare le altre risorse visibili.
A un utente deve essere assegnato il ruolo di Lettore per usare il portale di Azure con le credenziali di Microsoft Entra. Tuttavia, se a un utente è stato assegnato un ruolo con autorizzazioni Microsoft.Storage/storageAccounts/listKeys/action , l'utente può usare il portale con le chiavi dell'account di archiviazione, tramite l'autorizzazione con chiave condivisa. Per usare le chiavi dell'account di archiviazione, l'accesso con chiave condivisa deve essere consentito per l'account di archiviazione. Per ulteriori informazioni su come consentire o impedire l'accesso con chiave condivisa, consultare Impedire l'autorizzazione con chiave condivisa per un account di Archiviazione di Azure.
È anche possibile assegnare un ruolo di Azure Resource Manager che fornisce autorizzazioni aggiuntive oltre il ruolo Lettore . L'assegnazione delle autorizzazioni minime possibili è consigliata come procedura consigliata per la sicurezza. Per altre informazioni, vedere Controllo degli accessi in base al ruolo Azure.
Nota
Prima di assegnare a se stessi un ruolo per l'accesso ai dati, sarà possibile accedere ai dati nell'account di archiviazione tramite il portale di Azure perché il portale di Azure può anche usare la chiave dell'account per l'accesso ai dati. Per altre informazioni, vedere Scegliere come autorizzare l'accesso ai dati della coda nel portale di Azure.
Tenere presenti i seguenti punti sulle assegnazioni di ruolo di Azure in Archiviazione di Azure:
- Quando si crea un account di archiviazione di Azure, non vengono assegnate automaticamente le autorizzazioni per accedere ai dati tramite Microsoft Entra ID. È invece necessario assegnare in modo esplicito a se stessi un ruolo di Azure per Archiviazione di Azure. Questo ruolo può essere assegnato a livello di sottoscrizione, gruppo di risorse, account di archiviazione o coda.
- Quando si assegnano ruoli o si rimuovono le assegnazioni di ruolo, possono essere necessari fino a 10 minuti prima che le modifiche siano effettive.
- I ruoli predefiniti con le azioni dei dati possono essere assegnati nell'ambito del gruppo di gestione. Tuttavia, in rari scenari potrebbe verificarsi un ritardo significativo (fino a 12 ore) prima che le autorizzazioni di azione dei dati siano valide per determinati tipi di risorse. Le autorizzazioni verranno eventualmente applicate. Per i ruoli predefiniti con azioni sui dati, non è consigliabile aggiungere o rimuovere assegnazioni di ruolo nell'ambito del gruppo di gestione per scenari in cui è necessaria l'attivazione o la revoca tempestive delle autorizzazioni, ad esempio Microsoft Entra Privileged Identity Management (PIM).
- Se l'account di archiviazione è bloccato con un blocco di sola lettura di Azure Resource Manager, il blocco impedisce l'assegnazione di ruoli di Azure con ambito all'account di archiviazione o a una coda.