Assegnare un ruolo di Azure per l'accesso ai dati della coda
Microsoft Entra autorizza i diritti di accesso alle risorse protette tramite il controllo degli accessi in base al ruolo di Azure. Archiviazione di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere ai dati della coda.
Quando un ruolo di Azure viene assegnato a un'entità di sicurezza Microsoft Entra, Azure concede l'accesso a tali risorse per tale entità di sicurezza. Un'entità di sicurezza Di Microsoft Entra può essere un utente, un gruppo, un'entità servizio dell'applicazione o un'identità gestita per le risorse di Azure.
Per altre informazioni sull'uso di Microsoft Entra ID per autorizzare l'accesso ai dati della coda, vedere Autorizzare l'accesso alle code usando Microsoft Entra ID.
Nota
Questo articolo illustra come assegnare un ruolo di Azure per l'accesso ai dati della coda in un account di archiviazione. Per informazioni sull'assegnazione dei ruoli per le operazioni di gestione in Archiviazione di Azure, vedere Usare il provider di risorse Archiviazione di Azure per accedere alle risorse di gestione.
Assegnare un ruolo di Azure
È possibile usare le portale di Azure, PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager per assegnare un ruolo per l'accesso ai dati.
Per accedere ai dati della coda nella portale di Azure con le credenziali di Microsoft Entra, un utente deve avere le assegnazioni di ruolo seguenti:
- Un ruolo di accesso ai dati, ad esempio Archiviazione Collaboratore ai dati della coda
- Ruolo lettore di Azure Resource Manager
Per informazioni su come assegnare questi ruoli a un utente, seguire le istruzioni fornite in Assegnare i ruoli di Azure usando il portale di Azure.
Il ruolo Lettore è un ruolo di Azure Resource Manager che consente agli utenti di visualizzare le risorse dell'account di archiviazione, ma non modificarle. Non fornisce autorizzazioni di lettura per i dati in Archiviazione di Azure, ma solo per le risorse di gestione degli account. Il ruolo Lettore è necessario in modo che gli utenti possano passare a code e messaggi nel portale di Azure.
Ad esempio, se si assegna il ruolo collaboratore ai dati della coda di Archiviazione all'utente Mary a livello di una coda denominata sample-queue, a Mary viene concesso l'accesso in lettura, scrittura ed eliminazione a tale coda. Tuttavia, se Mary vuole visualizzare una coda nel portale di Azure, il ruolo collaboratore ai dati della coda di Archiviazione non fornirà autorizzazioni sufficienti per spostarsi nel portale alla coda per visualizzarla. Le autorizzazioni aggiuntive sono necessarie per spostarsi nel portale e visualizzare le altre risorse visibili.
A un utente deve essere assegnato il ruolo Lettore per usare il portale di Azure con le credenziali di Microsoft Entra. Tuttavia, se a un utente è stato assegnato un ruolo con Microsoft.Archiviazione/storageAccounts/listKeys/action permissions, quindi l'utente può usare il portale con le chiavi dell'account di archiviazione, tramite l'autorizzazione con chiave condivisa. Per usare le chiavi dell'account di archiviazione, l'accesso con chiave condivisa deve essere consentito per l'account di archiviazione. Per altre informazioni su come consentire o impedire l'accesso con chiave condivisa, vedere Impedire l'autorizzazione con chiave condivisa per un account Archiviazione di Azure.
È anche possibile assegnare un ruolo di Azure Resource Manager che fornisce autorizzazioni aggiuntive oltre il ruolo Lettore . L'assegnazione delle autorizzazioni minime possibili è consigliata come procedura consigliata per la sicurezza. Per altre informazioni, vedere Controllo degli accessi in base al ruolo Azure.
Nota
Prima di assegnare a se stessi un ruolo per l'accesso ai dati, sarà possibile accedere ai dati nell'account di archiviazione tramite il portale di Azure perché il portale di Azure può usare anche la chiave dell'account per l'accesso ai dati. Per altre informazioni, vedere Scegliere come autorizzare l'accesso ai dati della coda nel portale di Azure.
Tenere presenti i punti seguenti sulle assegnazioni di ruolo di Azure in Archiviazione di Azure:
- Quando si crea un account Archiviazione di Azure, non vengono assegnate automaticamente le autorizzazioni per accedere ai dati tramite Microsoft Entra ID. È necessario assegnare in modo esplicito un ruolo di Azure per Archiviazione di Azure. È possibile assegnarlo a livello di sottoscrizione, gruppo di risorse, account di archiviazione o coda.
- Se l'account di archiviazione è bloccato con un blocco di sola lettura di Azure Resource Manager, il blocco impedisce l'assegnazione di ruoli di Azure con ambito all'account di archiviazione o a una coda.