Condividi tramite


Assegnare un ruolo di Azure per l'accesso ai dati BLOB

Microsoft Entra autorizza i diritti di accesso alle risorse protette tramite il controllo degli accessi in base al ruolo di Azure. Archiviazione di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere ai dati BLOB.

Quando un ruolo di Azure viene assegnato a un'entità di sicurezza Microsoft Entra, Azure concede l'accesso a tali risorse per tale entità di sicurezza. Un'entità di sicurezza Di Microsoft Entra può essere un utente, un gruppo, un'entità servizio dell'applicazione o un'identità gestita per le risorse di Azure.

Per altre informazioni sull'uso di Microsoft Entra ID per autorizzare l'accesso ai dati BLOB, vedere Autorizzare l'accesso ai BLOB tramite Microsoft Entra ID.

Nota

Questo articolo illustra come assegnare un ruolo di Azure per l'accesso ai dati BLOB in un account di archiviazione. Per informazioni sull'assegnazione dei ruoli per le operazioni di gestione in Archiviazione di Azure, vedere Usare il provider di risorse Archiviazione di Azure per accedere alle risorse di gestione.

Assegnare un ruolo di Azure

È possibile usare le portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager per assegnare un ruolo per l'accesso ai dati.

Per accedere ai dati BLOB nella portale di Azure con le credenziali di Microsoft Entra, un utente deve avere le assegnazioni di ruolo seguenti:

  • Ruolo di accesso ai dati, ad esempio lettore di dati BLOB Archiviazione o collaboratore ai dati blob di Archiviazione
  • Ruolo lettore di Azure Resource Manager, almeno

Per informazioni su come assegnare questi ruoli a un utente, seguire le istruzioni fornite in Assegnare i ruoli di Azure usando il portale di Azure.

Il ruolo Lettore è un ruolo di Azure Resource Manager che consente agli utenti di visualizzare le risorse dell'account di archiviazione, ma non modificarle. Non fornisce autorizzazioni di lettura per i dati in Archiviazione di Azure, ma solo per le risorse di gestione degli account. Il ruolo Lettore è necessario in modo che gli utenti possano passare ai contenitori BLOB nel portale di Azure.

Ad esempio, se si assegna il ruolo Collaboratore dati BLOB Archiviazione all'utente Mary a livello di contenitore denominato sample-container, a Mary viene concesso l'accesso in lettura, scrittura ed eliminazione a tutti i BLOB in tale contenitore. Tuttavia, se Mary vuole visualizzare un BLOB nel portale di Azure, il ruolo collaboratore ai dati BLOB di Archiviazione non fornirà autorizzazioni sufficienti per spostarsi nel portale al BLOB per visualizzarlo. Le autorizzazioni aggiuntive sono necessarie per spostarsi nel portale e visualizzare le altre risorse visibili.

A un utente deve essere assegnato il ruolo Lettore per usare il portale di Azure con le credenziali di Microsoft Entra. Tuttavia, se a un utente viene assegnato un ruolo con Microsoft.Archiviazione/storageAccounts/listKeys/action permissions, quindi l'utente può usare il portale con le chiavi dell'account di archiviazione, tramite l'autorizzazione con chiave condivisa. Per usare le chiavi dell'account di archiviazione, l'accesso con chiave condivisa deve essere consentito per l'account di archiviazione. Per altre informazioni su come consentire o impedire l'accesso con chiave condivisa, vedere Impedire l'autorizzazione con chiave condivisa per un account Archiviazione di Azure.

È anche possibile assegnare un ruolo di Azure Resource Manager che fornisce autorizzazioni aggiuntive oltre il ruolo Lettore . L'assegnazione delle autorizzazioni minime possibili è consigliata come procedura consigliata per la sicurezza. Per altre informazioni, vedere Controllo degli accessi in base al ruolo Azure.

Nota

Prima di assegnare a se stessi un ruolo per l'accesso ai dati, sarà possibile accedere ai dati nell'account di archiviazione tramite il portale di Azure perché il portale di Azure può usare anche la chiave dell'account per l'accesso ai dati. Per altre informazioni, vedere Scegliere come autorizzare l'accesso ai dati BLOB nel portale di Azure.

Tenere presenti i punti seguenti sulle assegnazioni di ruolo di Azure in Archiviazione di Azure:

  • Quando si crea un account Archiviazione di Azure, non vengono assegnate automaticamente le autorizzazioni per accedere ai dati tramite Microsoft Entra ID. È necessario assegnare in modo esplicito un ruolo di Azure per Archiviazione di Azure. Questo ruolo può essere assegnato a livello di sottoscrizione, gruppo di risorse, account di archiviazione o contenitore.
  • Quando si assegnano ruoli o si rimuovono le assegnazioni di ruolo, possono essere necessari fino a 10 minuti prima che le modifiche siano effettive.
  • Se l'account di archiviazione è bloccato con un blocco di sola lettura di Azure Resource Manager, il blocco impedisce l'assegnazione di ruoli di Azure con ambito all'account di archiviazione o a un contenitore.
  • Se si impostano le autorizzazioni di autorizzazione appropriate per accedere ai dati tramite Microsoft Entra ID e non è possibile accedere ai dati, ad esempio viene visualizzato un errore "AuthorizationPermissionMismatch". Assicurarsi di consentire tempo sufficiente per le modifiche apportate alle autorizzazioni apportate in Microsoft Entra ID per la replica e assicurarsi di non disporre di assegnazioni di rifiuto che bloccano l'accesso, vedere Informazioni sulle assegnazioni di rifiuto di Azure.

Nota

È possibile creare ruoli personalizzati di Controllo degli accessi in base al ruolo di Azure per l'accesso granulare ai dati BLOB. Per altre informazioni, vedere Ruoli personalizzati in Azure.

Passaggi successivi