Assegnare un ruolo di Azure per l'accesso ai dati BLOB

Microsoft Entra autorizza i diritti di accesso alle risorse protette tramite il controllo degli accessi in base al ruolo di Azure. Archiviazione di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere ai dati BLOB.

Quando un ruolo di Azure viene assegnato a un'entità di sicurezza Microsoft Entra, Azure concede l'accesso a tali risorse per tale entità di sicurezza. Un'entità di sicurezza Di Microsoft Entra può essere un utente, un gruppo, un'entità servizio dell'applicazione o un'identità gestita per le risorse di Azure.

Per altre informazioni sull'uso di Microsoft Entra ID per autorizzare l'accesso ai dati BLOB, vedere Autorizzare l'accesso ai BLOB tramite Microsoft Entra ID.

Nota

Questo articolo illustra come assegnare un ruolo di Azure per l'accesso ai dati BLOB in un account di archiviazione. Per informazioni sull'assegnazione dei ruoli per le operazioni di gestione in Archiviazione di Azure, vedere Usare il provider di risorse Archiviazione di Azure per accedere alle risorse di gestione.

Assegnare un ruolo di Azure

È possibile usare le portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager per assegnare un ruolo per l'accesso ai dati.

Azure portal

Per accedere ai dati BLOB nella portale di Azure con le credenziali di Microsoft Entra, un utente deve avere le assegnazioni di ruolo seguenti:

• Ruolo di accesso ai dati, ad esempio lettore di dati BLOB Archiviazione o collaboratore ai dati blob di Archiviazione
• Ruolo lettore di Azure Resource Manager, almeno

Per informazioni su come assegnare questi ruoli a un utente, seguire le istruzioni fornite in Assegnare i ruoli di Azure usando il portale di Azure.

Il ruolo Lettore è un ruolo di Azure Resource Manager che consente agli utenti di visualizzare le risorse dell'account di archiviazione, ma non modificarle. Non fornisce autorizzazioni di lettura per i dati in Archiviazione di Azure, ma solo per le risorse di gestione degli account. Il ruolo Lettore è necessario in modo che gli utenti possano passare ai contenitori BLOB nel portale di Azure.

Ad esempio, se si assegna il ruolo Collaboratore dati BLOB Archiviazione all'utente Mary a livello di contenitore denominato sample-container, a Mary viene concesso l'accesso in lettura, scrittura ed eliminazione a tutti i BLOB in tale contenitore. Tuttavia, se Mary vuole visualizzare un BLOB nel portale di Azure, il ruolo collaboratore ai dati BLOB di Archiviazione non fornirà autorizzazioni sufficienti per spostarsi nel portale al BLOB per visualizzarlo. Le autorizzazioni aggiuntive sono necessarie per spostarsi nel portale e visualizzare le altre risorse visibili.

A un utente deve essere assegnato il ruolo Lettore per usare il portale di Azure con le credenziali di Microsoft Entra. Tuttavia, se a un utente viene assegnato un ruolo con Microsoft.Archiviazione/storageAccounts/listKeys/action permissions, quindi l'utente può usare il portale con le chiavi dell'account di archiviazione, tramite l'autorizzazione con chiave condivisa. Per usare le chiavi dell'account di archiviazione, l'accesso con chiave condivisa deve essere consentito per l'account di archiviazione. Per altre informazioni su come consentire o impedire l'accesso con chiave condivisa, vedere Impedire l'autorizzazione con chiave condivisa per un account Archiviazione di Azure.

È anche possibile assegnare un ruolo di Azure Resource Manager che fornisce autorizzazioni aggiuntive oltre il ruolo Lettore . L'assegnazione delle autorizzazioni minime possibili è consigliata come procedura consigliata per la sicurezza. Per altre informazioni, vedere Controllo degli accessi in base al ruolo Azure.

Nota

Prima di assegnare a se stessi un ruolo per l'accesso ai dati, sarà possibile accedere ai dati nell'account di archiviazione tramite il portale di Azure perché il portale di Azure può usare anche la chiave dell'account per l'accesso ai dati. Per altre informazioni, vedere Scegliere come autorizzare l'accesso ai dati BLOB nel portale di Azure.

PowerShell

Per assegnare un ruolo di Azure a un'entità di sicurezza con PowerShell, chiamare il comando New-AzRoleAssignment . Per eseguire il comando, è necessario avere un ruolo che include le autorizzazioni Microsoft.Authorization/roleAssignments/write assegnate all'utente nell'ambito corrispondente o versione successiva.

Il formato del comando può variare in base all'ambito dell'assegnazione, ma i -ObjectId parametri e -RoleDefinitionName sono obbligatori. Il passaggio di un valore per il -Scope parametro, anche se non obbligatorio, è consigliabile mantenere il principio dei privilegi minimi. Limitando ruoli e ambiti, si limitano le risorse a rischio se l'entità di sicurezza è mai compromessa.

Il -ObjectId parametro è l'ID oggetto Microsoft Entra dell'utente, del gruppo o dell'entità servizio a cui viene assegnato il ruolo. Per recuperare l'identificatore, è possibile usare Get-AzADUser per filtrare gli utenti di Microsoft Entra, come illustrato nell'esempio seguente.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

La prima risposta restituisce l'entità di sicurezza e la seconda restituisce l'ID oggetto dell'entità di sicurezza.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

Il -RoleDefinitionName valore del parametro è il nome del ruolo controllo degli accessi in base al ruolo che deve essere assegnato all'entità. Per accedere ai dati BLOB nella portale di Azure con le credenziali di Microsoft Entra, un utente deve avere le assegnazioni di ruolo seguenti:

• Ruolo di accesso ai dati, ad esempio Archiviazione Collaboratore dati BLOB o lettore di dati BLOB Archiviazione
• Ruolo lettore di Azure Resource Manager

Per assegnare un ruolo con ambito a un contenitore BLOB o a un account di archiviazione, è necessario specificare una stringa contenente l'ambito della risorsa per il -Scope parametro . Questa azione è conforme al principio dei privilegi minimi, un concetto di sicurezza delle informazioni in cui un utente ha il livello minimo di accesso necessario per eseguire le proprie funzioni di lavoro. Questa pratica riduce il rischio potenziale di danni accidentali o intenzionali che possono verificarsi privilegi non necessari.

L'ambito di un contenitore è nel formato :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

L'ambito di un account di archiviazione è nel formato seguente:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Per assegnare un ruolo con ambito a un account di archiviazione, specificare una stringa contenente l'ambito del contenitore per il --scope parametro .

Nell'esempio seguente viene assegnato il ruolo Collaboratore dati BLOB Archiviazione a un utente. L'assegnazione di ruolo ha come ambito il livello del contenitore. Assicurarsi di sostituire i valori di esempio e i valori segnaposto tra parentesi quadre (<>) con i propri valori:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Nell'esempio seguente viene assegnato il ruolo lettore di dati BLOB Archiviazione a un utente specificando l'ID oggetto. L'assegnazione di ruolo ha come ambito il livello dell'account di archiviazione. Assicurarsi di sostituire i valori di esempio e i valori segnaposto tra parentesi quadre (<>) con i propri valori:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

L'output dovrebbe essere simile al seguente:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Per informazioni sull'assegnazione di ruoli con PowerShell nell'ambito della sottoscrizione o del gruppo di risorse, vedere Assegnare ruoli di Azure tramite Azure PowerShell.

Interfaccia della riga di comando di Azure

Per assegnare un ruolo di Azure a un'entità di sicurezza con l'interfaccia della riga di comando di Azure, usare il comando az role assignment create . Il formato del comando può essere diverso in base all'ambito dell'assegnazione. Per eseguire il comando, è necessario avere un ruolo che include le autorizzazioni Microsoft.Authorization/roleAssignments/write assegnate all'utente nell'ambito corrispondente o versione successiva.

Per assegnare un ruolo con ambito a un contenitore, specificare una stringa contenente l'ambito del contenitore per il --scope parametro . L'ambito di un contenitore è nel formato :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Nell'esempio seguente viene assegnato il ruolo Collaboratore dati BLOB Archiviazione a un utente. L'assegnazione di ruolo ha come ambito il livello del contenitore. Assicurarsi di sostituire i valori di esempio e i valori segnaposto tra parentesi quadre (<>) con i propri valori:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Nell'esempio seguente viene assegnato il ruolo lettore di dati BLOB Archiviazione a un utente specificando l'ID oggetto. Per altre informazioni sui --assignee-object-id parametri e --assignee-principal-type , vedere az role assignment. In questo esempio, l'assegnazione di ruolo ha come ambito il livello dell'account di archiviazione. Assicurarsi di sostituire i valori di esempio e i valori segnaposto tra parentesi quadre (<>) con i propri valori:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Per informazioni sull'assegnazione di ruoli con l'interfaccia della riga di comando di Azure nell'ambito della sottoscrizione, del gruppo di risorse o dell'account di archiviazione, vedere Assegnare ruoli di Azure tramite l'interfaccia della riga di comando di Azure.

Modello

Per informazioni su come usare un modello di Azure Resource Manager per assegnare un ruolo di Azure, vedere Assegnare ruoli di Azure usando i modelli di Azure Resource Manager.

Tenere presenti i punti seguenti sulle assegnazioni di ruolo di Azure in Archiviazione di Azure:

• Quando si crea un account Archiviazione di Azure, non vengono assegnate automaticamente le autorizzazioni per accedere ai dati tramite Microsoft Entra ID. È necessario assegnare in modo esplicito un ruolo di Azure per Archiviazione di Azure. Questo ruolo può essere assegnato a livello di sottoscrizione, gruppo di risorse, account di archiviazione o contenitore.
• Quando si assegnano ruoli o si rimuovono le assegnazioni di ruolo, possono essere necessari fino a 10 minuti prima che le modifiche siano effettive.
• Se l'account di archiviazione è bloccato con un blocco di sola lettura di Azure Resource Manager, il blocco impedisce l'assegnazione di ruoli di Azure con ambito all'account di archiviazione o a un contenitore.
• Se si impostano le autorizzazioni di autorizzazione appropriate per accedere ai dati tramite Microsoft Entra ID e non è possibile accedere ai dati, ad esempio viene visualizzato un errore "AuthorizationPermissionMismatch". Assicurarsi di consentire tempo sufficiente per le modifiche apportate alle autorizzazioni apportate in Microsoft Entra ID per la replica e assicurarsi di non disporre di assegnazioni di rifiuto che bloccano l'accesso, vedere Informazioni sulle assegnazioni di rifiuto di Azure.

Nota

È possibile creare ruoli personalizzati di Controllo degli accessi in base al ruolo di Azure per l'accesso granulare ai dati BLOB. Per altre informazioni, vedere Ruoli personalizzati in Azure.

Passaggi successivi

• Che cos'è il controllo degli accessi in base al ruolo di Azure?
• Procedure consigliate per il controllo degli accessi in base al ruolo di Azure