テーブル データにアクセスするための Azure ロールを割り当てる

Microsoft Entra は、Azure ロールベースのアクセス制御 (Azure RBAC) を通じて、セキュリティで保護されたリソースへのアクセス権を承認します。 Azure Storage のテーブル データへのアクセスに使用される一般的なアクセス許可セットを含む一連の Azure 組み込みロールは、Azure Storage によって定義されます。

Azure ロールが Microsoft Entra セキュリティ プリンシパルに割り当てられると、Azure はそれらのリソースへのアクセスをそのセキュリティ プリンシパルに許可します。 Microsoft Entra セキュリティ プリンシパルは、ユーザー、グループ、アプリケーション サービス プリンシパル、または Azure リソースのマネージド ID である可能性があります。

Microsoft Entra ID を使用してテーブル データへのアクセスを承認する方法の詳細については、「Microsoft Entra ID を使用したテーブルへのアクセスの承認」を参照してください。

Azure ロールを割り当てる

PowerShell、Azure CLI、または Azure Resource Manager テンプレートを使用して、データ アクセスのロールを割り当てることができます。

重要

現在、Azure portal では、テーブルにスコープが設定されている Azure RBAC ロールの割り当てはサポートされていません。 テーブル スコープを使用してロールを割り当てるには、PowerShell、Azure CLI、または Azure Resource Manager を使用します。

Azure portal を使用して、テーブル データへのアクセスを許可するロールを、ストレージ アカウント、リソース グループ、サブスクリプションなどの Azure Resource Manager リソースに割り当てることができます。

PowerShell

Azure ロールをセキュリティ プリンシパルに割り当てるには、New-AzRoleAssignment コマンドを呼び出します。 コマンドの形式は、割り当てのスコープによって異なります。 このコマンドを実行するには、対応するスコープ以上で割り当てられた Microsoft.Authorization/roleAssignments/write アクセス許可を含むロールが必要です。

テーブルに対してスコープが指定されたロールを割り当てるには、テーブルのスコープが含まれる文字列を --scope パラメーターに指定します。 テーブルのスコープの形式は次のとおりです。

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

次の例では、テーブルに対してスコープが指定されたストレージ テーブル データ共同作成者ロールをユーザーに割り当てます。 サンプルの値とブラケット内のプレースホルダーの値は、実際の値に置き換えてください。

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

PowerShell を使用して、サブスクリプション、リソース グループ、またはストレージ アカウントをスコープとしたロールを割り当てる方法については、「Azure PowerShell を使用して Azure ロールを割り当てる」を参照してください。

Azure CLI

セキュリティ プリンシパルに Azure ロールを割り当てるには、az role assignment create コマンドを使用します。 コマンドの形式は、割り当てのスコープによって異なります。 コマンドの形式は、割り当てのスコープによって異なります。 このコマンドを実行するには、対応するスコープ以上で割り当てられた Microsoft.Authorization/roleAssignments/write アクセス許可を含むロールが必要です。

テーブルに対してスコープが指定されたロールを割り当てるには、テーブルのスコープが含まれる文字列を --scope パラメーターに指定します。 テーブルのスコープの形式は次のとおりです。

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

次の例では、テーブルのレベルにスコープが指定されたストレージ テーブル データ共同作成者ロールをユーザーに割り当てます。 サンプルの値とブラケット内のプレースホルダーの値は、実際の値に置き換えてください。

az role assignment create \
    --role "Storage Table Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

PowerShell を使用して、サブスクリプション、リソース グループ、またはストレージ アカウントをスコープとしたロールを割り当てる方法については、「Azure CLI を使用して Azure ロールを割り当てる」を参照してください。

テンプレート

Azure Resource Manager テンプレートを使用して Azure ロールを割り当てる方法については、「Azure Resource Manager テンプレートを使用して Azure でのロールを割り当てる」を参照してください。

Azure Storage での Azure ロールの割り当てについては、次の点に注意してください。

• Azure Storage アカウントを作成するとき、Microsoft Entra ID を介してデータにアクセスするためのアクセス許可は自動的に割り当てられません。 Azure Storage の Azure ロールを自分自身に明示的に割り当てる必要があります。 これは、サブスクリプション、リソース グループ、ストレージ アカウント、またはテーブルのレベルで割り当てることができます。
• ストレージ アカウントが Azure Resource Manager 読み取り専用ロックでロックされている場合、このロックによって、ストレージ アカウントまたはテーブルにスコープが設定された Azure ロールを割り当てることはできなくなります。

次のステップ

• Azure ロールベースのアクセス制御 (Azure RBAC) とは
• Azure RBAC のベスト プラクティス