Assegnare un ruolo di Azure per l'accesso ai dati BLOB

Microsoft Entra autorizza i diritti di accesso alle risorse protette tramite il controllo degli accessi in base al ruolo di Azure. Archiviazione di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere ai dati BLOB.

Quando un ruolo di Azure viene assegnato a un'entità di sicurezza Microsoft Entra, Azure concede l'accesso a tali risorse per tale entità di sicurezza. Un'entità di sicurezza di Microsoft Entra può essere un utente, un gruppo, un'entità servizio dell'applicazione o un'identità gestita per le risorse di Azure.

Per ulteriori informazioni sull'uso di Microsoft Entra ID per autorizzare l'accesso ai dati BLOB, consultare Autorizzare l'accesso ai BLOB tramite Microsoft Entra ID.

Nota

Questo articolo illustra come assegnare un ruolo di Azure per l'accesso ai dati BLOB in un account di archiviazione. Per informazioni sull'assegnazione dei ruoli per le operazioni di gestione in Archiviazione di Azure, consultare Uso del provider di risorse di Archiviazione di Azure per accedere alle risorse di gestione.

Assegnare un ruolo di Azure

È possibile usare il portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager per assegnare un ruolo per l'accesso ai dati.

Azure portal

Per accedere ai dati BLOB nel portale di Azure con le credenziali di Microsoft Entra, un utente deve avere le assegnazioni di ruolo seguenti:

• Ruolo di accesso ai dati, ad esempio Lettore dati BLOB di archiviazione o Collaboratore ai dati dei BLOB di archiviazione
• Ruolo di Lettore di Azure Resource Manager, come minimo

Per informazioni su come assegnare questi ruoli a un utente, seguire le istruzioni fornite in Assegnare ruoli di Azure usando il portale di Azure.

Il ruolo di Lettore è un ruolo di Azure Resource Manager che consente agli utenti di visualizzare le risorse dell'account di archiviazione, ma non di modificarle. Non fornisce autorizzazioni di lettura per i dati in Archiviazione di Azure, ma solo per le risorse di gestione degli account. Il ruolo di Lettore è necessario in modo che gli utenti possano passare ai contenitori BLOB nel portale di Azure.

Ad esempio, se si assegna il ruolo di Collaboratore ai dati del BLOB di archiviazione all'utente Mary a livello di contenitore denominato sample-container, a Mary viene concesso l'accesso in lettura, scrittura ed eliminazione a tutti i BLOB in tale contenitore. Tuttavia, se Mary vuole visualizzare un BLOB nel portale di Azure, il ruolo di Collaboratore ai dati dei BLOB di archiviazione non fornirà autorizzazioni sufficienti per navigare nel portale per raggiungere il BLOB per visualizzarlo. Le autorizzazioni aggiuntive sono necessarie per navigare nel portale e visualizzare le altre risorse visibili.

A un utente deve essere assegnato il ruolo di Lettore per usare il portale di Azure con le credenziali di Microsoft Entra. Tuttavia, se a un utente viene assegnato un ruolo con autorizzazioni Microsoft.Storage/storageAccounts/listKeys/action, l'utente può usare il portale con le chiavi dell'account di archiviazione, tramite l'autorizzazione con chiave condivisa. Per usare le chiavi dell'account di archiviazione, l'accesso con chiave condivisa deve essere consentito per l'account di archiviazione. Per ulteriori informazioni su come consentire o impedire l'accesso con chiave condivisa, consultare Impedire l'autorizzazione con chiave condivisa per un account di Archiviazione di Azure.

Inoltre, è possibile assegnare un ruolo di Azure Resource Manager che fornisce autorizzazioni aggiuntive oltre il ruolo di Lettore. L'assegnazione delle autorizzazioni minime possibili è consigliata come procedura consigliata per la sicurezza. Per altre informazioni, vedere Controllo degli accessi in base al ruolo Azure.

Nota

Prima di assegnare a se stessi un ruolo per l'accesso ai dati, sarà possibile accedere ai dati nell'account di archiviazione tramite il portale di Azure perché il portale di Azure può anche usare la chiave dell'account per l'accesso ai dati. Per ulteriori informazioni, consultare Scegliere come autorizzare l'accesso ai dati BLOB nel portale di Azure.

PowerShell

Per assegnare un ruolo di Azure a un'entità di sicurezza con PowerShell, chiamare il comando New-AzRoleAssignment. Per eseguire il comando, è necessario avere un ruolo che includa le autorizzazioni Microsoft.Authorization/roleAssignments/write assegnate all'utente nell'ambito corrispondente o versione successiva.

Il formato del comando può variare in base all'ambito dell'assegnazione, ma i parametri -ObjectId e -RoleDefinitionName sono obbligatori. Il passaggio di un valore per il parametro -Scope, anche se non obbligatorio, è consigliabile mantenere il principio dei privilegi minimi. Limitando ruoli e ambiti, si limitano anche le risorse a rischio in caso di compromissione dell’entità di sicurezza.

Il parametro -ObjectId è l'ID oggetto Microsoft Entra dell'utente, del gruppo o dell'entità servizio a cui viene assegnato il ruolo. Per recuperare l'identificatore, è possibile usare Get-AzADUser per filtrare gli utenti di Microsoft Entra, come illustrato nell'esempio seguente.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

La prima risposta restituisce l'entità di sicurezza e la seconda restituisce l'ID oggetto dell'entità di sicurezza.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Type              : 

aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb

Il valore del parametro -RoleDefinitionName è il nome del ruolo Controllo degli accessi in base al ruolo che deve essere assegnato all'entità. Per accedere ai dati BLOB nel portale di Azure con le credenziali di Microsoft Entra, un utente deve avere le assegnazioni di ruolo seguenti:

• Il ruolo di accesso ai dati, come ad esempio Collaboratore ai dati dei BLOB di archiviazione o Lettore dati BLOB di archiviazione
• Ruolo di Lettore di Azure Resource Manager

Per assegnare un ruolo con ambito a un contenitore BLOB o a un account di archiviazione, è necessario specificare una stringa contenente l'ambito della risorsa per il parametro -Scope. Questa azione è conforme al principio dei privilegi minimi, un concetto di sicurezza delle informazioni in cui un utente ha il livello minimo di accesso necessario per eseguire le proprie funzioni di lavoro. Questa pratica riduce il rischio potenziale di danni accidentali o intenzionali che possono verificarsi in caso di privilegi non necessari.

L'ambito di un contenitore è nel formato seguente:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

L'ambito di un account di archiviazione è nel formato seguente:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Per assegnare un ruolo con ambito a un account di archiviazione, specificare una stringa contenente l'ambito del contenitore per il parametro --scope.

Nell'esempio seguente viene assegnato il ruolo di Collaboratore dati BLOB di archiviazione a un utente. L'assegnazione di ruolo ha come ambito il livello del contenitore. Assicurarsi di sostituire i valori di esempio e i valori segnaposto tra parentesi (<>) con i propri valori:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Nell'esempio seguente viene assegnato il ruolo di Lettore dati BLOB di archiviazione a un utente specificando l'ID oggetto. L'assegnazione di ruolo ha come ambito il livello dell'account di archiviazione. Assicurarsi di sostituire i valori di esempio e i valori segnaposto tra parentesi (<>) con i propri valori:

New-AzRoleAssignment -ObjectID "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

L'output dovrebbe essere simile al seguente:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Per informazioni sull'assegnazione di ruoli con PowerShell nell'ambito della sottoscrizione o del gruppo di risorse, consultare Assegnare ruoli di Azure tramite Azure PowerShell.

Interfaccia della riga di comando di Azure

Per assegnare un ruolo di Azure a un'entità di sicurezza con l'interfaccia della riga di comando di Azure, usare il comando creare l’assegnazione di ruolo az. Il formato del comando può essere diverso in base all'ambito dell'assegnazione. Per eseguire il comando, è necessario avere un ruolo che includa le autorizzazioni Microsoft.Authorization/roleAssignments/write assegnate all'utente nell'ambito corrispondente o versione successiva.

Per assegnare un ruolo con ambito a un contenitore, specificare una stringa contenente l'ambito del contenitore per il parametro --scope. L'ambito di un contenitore è nel formato seguente:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Nell'esempio seguente viene assegnato il ruolo di Collaboratore dati BLOB di archiviazione a un utente. L'assegnazione di ruolo ha come ambito il livello del contenitore. Assicurarsi di sostituire i valori di esempio e i valori segnaposto tra parentesi (<>) con i propri valori:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Nell'esempio seguente viene assegnato il ruolo di Lettore dati BLOB di archiviazione a un utente specificando l'ID oggetto. Per ulteriori informazioni sui parametri --assignee-object-id e --assignee-principal-type, consultare assegnazione di ruolo az. In questo esempio, l'assegnazione di ruolo ha come ambito il livello dell'account di archiviazione. Assicurarsi di sostituire i valori di esempio e i valori segnaposto tra parentesi (<>) con i propri valori:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Per informazioni sull'assegnazione di ruoli con l'interfaccia della riga di comando di Azure nell'ambito della sottoscrizione, del gruppo di risorse o dell'account di archiviazione, consultare Assegnare ruoli di Azure tramite l'interfaccia della riga di comando di Azure.

Modello

Per informazioni su come usare un modello di Azure Resource Manager per assegnare un ruolo di Azure, consultare Assegnare ruoli di Azure usando i modelli di Azure Resource Manager.

Tenere presenti i seguenti punti sulle assegnazioni di ruolo di Azure in Archiviazione di Azure:

• Quando si crea un account di archiviazione di Azure, non vengono assegnate automaticamente le autorizzazioni per accedere ai dati tramite Microsoft Entra ID. È invece necessario assegnare in modo esplicito a se stessi un ruolo di Azure per Archiviazione di Azure. Questo ruolo può essere assegnato a livello di sottoscrizione, gruppo di risorse, account di archiviazione o contenitore.
• Quando si assegnano ruoli o si rimuovono le assegnazioni di ruolo, possono essere necessari fino a 10 minuti prima che le modifiche siano effettive.
• I ruoli predefiniti con le azioni dei dati possono essere assegnati nell'ambito del gruppo di gestione. Tuttavia, in rari scenari potrebbe verificarsi un ritardo significativo (fino a 12 ore) prima che le autorizzazioni di azione dei dati siano valide per determinati tipi di risorse. Le autorizzazioni verranno eventualmente applicate. Per i ruoli predefiniti con azioni sui dati, non è consigliabile aggiungere o rimuovere assegnazioni di ruolo nell'ambito del gruppo di gestione per scenari in cui è necessaria l'attivazione o la revoca tempestive delle autorizzazioni, ad esempio Microsoft Entra Privileged Identity Management (PIM).
• Se l'account di archiviazione è bloccato con un blocco di sola lettura di Azure Resource Manager, il blocco impedisce l'assegnazione di ruoli di Azure che sono assegnati all'account di archiviazione o a un contenitore.
• Se si impostano le autorizzazioni appropriate per l'accesso ai dati tramite Microsoft Entra ID e non è possibile accedere ai dati, viene visualizzato un errore come "AuthorizationPermissionMismatch". Assicurarsi di consentire tempo sufficiente per le modifiche apportate alle autorizzazioni apportate in Microsoft Entra ID per la replica e assicurarsi di non avere assegnazioni di rifiuto che bloccano l'accesso, consultare Informazioni sulle assegnazioni di rifiuto di Azure.

Nota

È possibile creare ruoli personalizzati di Controllo degli accessi in base al ruolo di Azure per l'accesso granulare ai dati BLOB. Per altre informazioni, vedere Ruoli personalizzati in Azure.

Passaggi successivi

• Che cos'è il controllo degli accessi in base al ruolo di Azure?
• Procedure consigliate per il controllo degli accessi in base al ruolo di Azure