Назначение роли Azure для получения доступа к данным очереди
Microsoft Entra разрешает доступ к защищенным ресурсам с помощью управления доступом на основе ролей Azure (Azure RBAC). Служба хранилища Azure определяет набор встроенных ролей Azure, охватывающих общие наборы разрешений, используемых для доступа к данным очередей.
Когда роль Azure назначается субъекту безопасности Microsoft Entra, Azure предоставляет доступ к этим ресурсам для этого субъекта безопасности. Субъект безопасности Microsoft Entra может быть пользователем, группой, субъектом-службой приложений или управляемым удостоверением для ресурсов Azure.
Дополнительные сведения об использовании идентификатора Microsoft Entra для авторизации доступа к данным очереди см. в статье "Авторизация доступа к очередям с помощью идентификатора Microsoft Entra".
Примечание.
В этой статье показано, как назначить роль Azure для доступа к данным очереди в учетной записи хранения. Дополнительные сведения о назначении ролей для операций управления в службе хранилища Azure см. в статье Использование поставщика ресурсов службы хранилища Azure для доступа к ресурсам управления.
Назначение роли Azure
Вы можете использовать портал Azure, PowerShell, Azure CLI или шаблон Azure Resource Manager, чтобы назначить роль для доступа к данным.
Чтобы получить доступ к данным очереди в портал Azure с учетными данными Microsoft Entra, пользователь должен иметь следующие назначения ролей:
- Роль доступа к данным, например участника для данных очереди хранилища.
- Роль Читатель в Azure Resource Manager
Чтобы узнать, как назначить эти роли пользователю, следуйте инструкциям в статье Назначение ролей Azure на портале Azure.
Роль Читатель в Azure Resource Manager позволяет пользователям просматривать ресурсы учетной записи хранения, но не изменять их. Она предоставляет разрешения на чтение не данных в службе хранилища Azure, а только ресурсов управления учетной записью. Роль Читатель требуется, чтобы пользователи могли переходить к очередям и сообщениям на портале Azure.
Например, если назначить роль участника для данных очереди хранилища пользователю Mary на уровне очереди с именем sample-queue, то Mary будет предоставлен доступ на чтение, запись и удаление этой очереди. Однако, если пользователь Mary хочет просмотреть очередь на портале Azure, то сама роль участника для данных очереди хранилища не будет предоставлять достаточных разрешений для перехода по порталу к очереди для ее просмотра. Для перемещения по порталу и просмотра других ресурсов, доступных на портале, требуются дополнительные разрешения.
Пользователю необходимо назначить роль читателя, чтобы использовать портал Azure с учетными данными Microsoft Entra. Однако если пользователю назначена роль с разрешениями Microsoft.Storage/storageAccounts/listKeys/Action, то он может работать на портале, используя ключи учетной записи хранения и авторизацию с общим ключом. Для использования ключей учетной записи хранения необходимо разрешить учетной записи хранения доступ к общим ключам. Дополнительные сведения о том, как разрешить или запретить доступ к общим ключам, см. в разделе Запрет авторизации с общим ключом для учетной записи хранения Azure.
Можно также назначить роль Azure Resource Manager, которая предоставляет дополнительные разрешения, помимо роли читателя. По соображениям безопасности рекомендуется назначить минимальные возможные разрешения. Дополнительные сведения см. в разделе Рекомендации по работе с Azure RBAC.
Примечание.
Прежде чем назначать себе роль для доступа к данным, вы сможете получить доступ к данным в учетной записи хранения с помощью портала Azure, так как портал Azure также может использовать ключ учетной записи для доступа к данным. Дополнительные сведения см. в разделе Выбор способа авторизации доступа к данным очереди на портале Azure.
Учитывайте следующие аспекты назначения ролей Azure в службе хранилища Azure:
- При создании учетной записи служба хранилища Azure разрешения на доступ к данным с помощью идентификатора Microsoft Entra не назначаются автоматически. Для службы хранилища Azure вы должны назначить себе роль Azure явным образом. Вы можете назначить ее на уровне подписки, группы ресурсов, учетной записи хранения или очереди.
- При назначении ролей или удалении назначений ролей может потребоваться до 10 минут, чтобы изменения вступили в силу.
- Встроенные роли с действиями с данными можно назначить в области группы управления. Однако в редких сценариях может возникнуть значительный задержка (до 12 часов), прежде чем разрешения на действия данных эффективны для определенных типов ресурсов. В конечном итоге будут применены разрешения. Для встроенных ролей с действиями с данными добавление или удаление назначений ролей в области группы управления не рекомендуется, если требуется своевременное активация или отзыв разрешений, например Microsoft Entra управление привилегированными пользователями (PIM).
- Если учетная запись хранения заблокирована с помощью блокировки только для чтения Azure Resource Manager, нельзя назначить роли Azure, у которых в качестве области действия выступает учетная запись хранения или очередь.