次の方法で共有


テーブル データにアクセスするための Azure ロールを割り当てる

Microsoft Entra は、Azure ロールベースのアクセス制御 (Azure RBAC) を通じて、セキュリティで保護されたリソースへのアクセス権を承認します。 Azure Storage のテーブル データへのアクセスに使用される一般的なアクセス許可セットを含む一連の Azure 組み込みロールは、Azure Storage によって定義されます。

Azure ロールが Microsoft Entra セキュリティ プリンシパルに割り当てられると、Azure はそれらのリソースへのアクセスをそのセキュリティ プリンシパルに許可します。 Microsoft Entra セキュリティ プリンシパルは、ユーザー、グループ、アプリケーション サービス プリンシパル、または Azure リソースのマネージド ID である可能性があります。

Microsoft Entra ID を使用してテーブル データへのアクセスを承認する方法の詳細については、「Microsoft Entra ID を使用したテーブルへのアクセスの承認」を参照してください。

Azure ロールを割り当てる

PowerShell、Azure CLI、または Azure Resource Manager テンプレートを使用して、データ アクセスのロールを割り当てることができます。

重要

現在、Azure portal では、テーブルにスコープが設定されている Azure RBAC ロールの割り当てはサポートされていません。 テーブル スコープを使用してロールを割り当てるには、PowerShell、Azure CLI、または Azure Resource Manager を使用します。

Azure portal を使用して、テーブル データへのアクセスを許可するロールを、ストレージ アカウント、リソース グループ、サブスクリプションなどの Azure Resource Manager リソースに割り当てることができます。

Azure ロールをセキュリティ プリンシパルに割り当てるには、New-AzRoleAssignment コマンドを呼び出します。 コマンドの形式は、割り当てのスコープによって異なります。 このコマンドを実行するには、対応するスコープ以上で割り当てられた Microsoft.Authorization/roleAssignments/write アクセス許可を含むロールが必要です。

テーブルに対してスコープが指定されたロールを割り当てるには、テーブルのスコープが含まれる文字列を --scope パラメーターに指定します。 テーブルのスコープの形式は次のとおりです。

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

次の例では、テーブルに対してスコープが指定されたストレージ テーブル データ共同作成者ロールをユーザーに割り当てます。 サンプルの値とブラケット内のプレースホルダーの値は、実際の値に置き換えてください。

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

PowerShell を使用して、サブスクリプション、リソース グループ、またはストレージ アカウントをスコープとしたロールを割り当てる方法については、「Azure PowerShell を使用して Azure ロールを割り当てる」を参照してください。

Azure Storage での Azure ロールの割り当てについては、次の点に注意してください。

  • Azure Storage アカウントを作成するとき、Microsoft Entra ID を介してデータにアクセスするためのアクセス許可は自動的に割り当てられません。 Azure Storage の Azure ロールを自分自身に明示的に割り当てる必要があります。 これは、サブスクリプション、リソース グループ、ストレージ アカウント、またはテーブルのレベルで割り当てることができます。
  • ロールを割り当てる、またはロールの割り当てを削除する場合、変更が有効になるまでに最大 10 分かかることがあります。
  • データ アクションを含む組み込みのロールは、管理グループの スコープで割り当てることができます。 ただし、まれなシナリオにおいて、特定のリソースの種類に対するデータ アクションのアクセス許可が有効になるまでに、大幅な遅延 (最大 12 時間) が発生することがあります。 アクセス許可は最終的に適用されます。 データ アクションを含む組み込みロールの場合、Microsoft Entra Privileged Identity Management (PIM) などのアクセス許可を適時的にアクティブ化したり失効させたりすることが必要なシナリオでは、管理グループ スコープでのロールの割り当ての追加または削除は推奨されません。
  • ストレージ アカウントが Azure Resource Manager 読み取り専用ロックでロックされている場合、このロックによって、ストレージ アカウントまたはテーブルにスコープが設定された Azure ロールを割り当てることはできなくなります。

次のステップ