この記事では、ストレージ タスクの割り当てを管理するために必要な最小特権の組み込み Azure ロールまたは RBAC アクションについて説明します。
ストレージタスクの割り当てを管理する権限
割り当てを作成するには、ID に組み込みロールの ストレージ アクション タスク割り当て共同作成者 を割り当てるか、次の RBAC アクションを含むカスタム ロールを割り当てる必要があります。
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Storage/storageAccounts/reports/read
- Microsoft.Storage/storageAccounts/read
- Microsoft.Storage/storageAccounts/blobServices/read
- Microsoft.Storage/storageAccounts/storageTaskAssignments/read
- Microsoft.Storage/storageAccounts/storageTaskAssignments/write
- Microsoft.Storage/storageAccounts/storageTaskAssignments/delete
- Microsoft.Storage/storageAccounts/storageTaskAssignments/reports/read
カスタム ロールを作成する方法については、「Azure カスタム ロール」を参照してください。
タスクが操作を実行するためのアクセス許可
割り当てを作成するときは、ターゲット ストレージ アカウントまたはストレージ アカウント コンテナーで指定された操作を実行するために必要なアクセス許可を持つ Azure 組み込みロールまたはカスタム ロールを選択する必要があります。 そのロールは、ストレージ タスクのマネージド ID に割り当てられます。 ユーザー ID に割り当てられているロールのみを選択できます。
推奨される組み込みの役割は 、ストレージアクションのブロブデータオペレーターです。 これはストレージアクション管理ID向けに特別に設計された役割です。 現在ストレージアクションでサポートされているすべての操作(階層変更、タグ、期限切れ、削除、復元、不変性、法的保留など)を実行するために必要なデータプレーン権限を正確に与え、データへの広範なアクセス権を付与しません。
Storage Actions Blob Data Operatorの役割は以下の権限を付与します:
| 権限 | タイプ | RBAC アクション |
|---|---|---|
コンテナのリスト;コンテナを読み込み作成( SetBlobImmutabilityPolicy や SetBlobLegalHoldなどの操作で必要) |
アクション |
Microsoft.Storage/storageAccounts/blobServices/containers/read、Microsoft.Storage/storageAccounts/blobServices/containers/write |
| ブロブのコンテンツとプロパティを読む | データ処理 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| ブロブ(階層、有効期限、プロパティ)を修正する | データ処理 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| BLOB を削除する | データ処理 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| 新しいブロブを追加(作成) | データ処理 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| ブロブインデックスタグの読み書き | データ処理 |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read、Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| 特権的なブロブ操作(削除の取り消しなど)を実行する | データ処理 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action |
| 不変性ポリシーと法的保留を設定する | データ処理 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
Tip
ストレージアクション Blob Data Operator はストレージタスクの管理されるアイデンティティに推奨される役割です。 ストレージブロブのデータオーナーの役割もストレージアクションによるすべての操作をカバーし、サポートされていますが、ストレージアクションが必要とするよりも広範な権限が付与されます。 新しい割り当てには Storage Actions Blob Data Operator を優先してください。
ストレージタスクのマネージドアイデンティティにカスタムロールを使用したい場合は、タスクで定義された操作を実行するために必要なRBACアクションが役割に含まれることを確認してください。 以下の表は、各ストレージアクション操作をカスタムロールが含めるべきRBACアクションにマッピングしています。
Note
ほとんどの顧客にとって、上記のStorage Actions Blob Data Operator の組み込み役割が最もシンプルで推奨されています。 以下のオペレーションごとの表は、組み込みの役割よりも厳密なカスタム役割を構成する必要がある組織向けに設計されています。
| 権限 | カスタム ロールの RBAC アクション |
|---|---|
| Blob層を設定する | Microsoft。Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobExpiry | Microsoft。Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| Blobタグの設定 | Microsoft。Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| Blob不変ポリシーを設定する | Microsoft。Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/writeMicrosoft.Storage/storage/storageAccounts/blobServices/containers/write |
| SetBlobLegalHold | Microsoft。Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/writeMicrosoft.Storage/storage/storageAccounts/blobServices/containers/write |
| DeleteBlob | Microsoft。Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| UndeleteBlob | Microsoft。Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/writeMicrosoft.Storage/storage/storageAccounts/blobServices/containers/write |