Azure-rollen voor opslagtaken
In dit artikel worden de minst bevoegde ingebouwde Azure-rollen of RBAC-acties beschreven die nodig zijn om een opslagtaak te lezen, bij te werken, te verwijderen en toe te wijzen.
Belangrijk
Azure Storage Actions is momenteel in PREVIEW en is beschikbaar voor deze regio's. Raadpleeg de Aanvullende voorwaarden voor Microsoft Azure-previews voor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Machtiging voor het lezen, bewerken of verwijderen van een taak
U moet een rol toewijzen aan elke beveiligingsprincipaal in uw organisatie die toegang nodig heeft tot de opslagtaak. Zie Azure-rollen toewijzen met behulp van Azure Portal voor meer informatie over het toewijzen van een Azure-rol.
Als u gebruikers of toepassingen toegang wilt geven tot de opslagtaak, kiest u een ingebouwde of aangepaste Azure-rol met de machtiging die nodig is om de lees- of bewerkingstaak te bewerken. Als u liever een aangepaste rol gebruikt, moet u ervoor zorgen dat uw rol de RBAC-acties bevat die nodig zijn om de taak te lezen of te bewerken. Gebruik de volgende tabel als richtlijn.
| Machtigingsniveau | Ingebouwde Azure-rol | RBAC-acties voor aangepaste rollen |
|---|---|---|
| Opslagtaken weergeven en lezen | Contributor |
Microsoft.StorageActions/storageTasks/read |
| Opslagtaken maken en bijwerken | Contributor |
Microsoft.StorageActions/storageTasks/write |
| Opslagtaken verwijderen | Contributor |
Microsoft.StorageActions/storageTasks/delete |
Machtiging om een taak toe te wijzen
Een taaktoewijzing identificeert een opslagaccount en een subset van objecten in dat account waarop de opslagtaak wordt gericht. Een toewijzing bepaalt ook wanneer de taak wordt uitgevoerd en waar uitvoeringsrapporten worden opgeslagen. Zie Een toewijzing van een opslagtaak maken en beheren voor stapsgewijze instructies.
Als u een toewijzing wilt maken, moet aan uw identiteit een aangepaste rol worden toegewezen die de volgende RBAC-acties bevat:
De
Microsot.Authorization.roleAssignments/writeactie.Alle RBAC-acties die beschikbaar zijn in de
Microsoft.Storage/StorageAccountsset RBAC-acties.
Zie Aangepaste Azure-rollen voor meer informatie over het maken van een aangepaste rol.
Machtiging voor een taak om bewerkingen uit te voeren
Wanneer u een toewijzing maakt, moet u een ingebouwde of aangepaste Azure-rol kiezen die de benodigde machtiging heeft om de opgegeven bewerkingen uit te voeren op het doelopslagaccount of de container van het opslagaccount. U kunt alleen rollen kiezen die zijn toegewezen aan uw gebruikersidentiteit. Als u liever een aangepaste rol gebruikt, moet u ervoor zorgen dat uw rol de RBAC-acties bevat die nodig zijn om de bewerkingen uit te voeren.
In de volgende tabel ziet u de minst bevoegde ingebouwde Azure-rol, evenals de RBAC-acties die voor elke bewerking zijn vereist.
| Machtiging | Ingebouwde rol | RBAC-acties voor een aangepaste rol |
|---|---|---|
| SetBlobTier | Eigenaar van opslagblobgegevens | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobExpiry | Eigenaar van opslagblobgegevens | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobTags | Eigenaar van opslagblobgegevens | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobImmutabilityPolicy | Eigenaar van opslagblobgegevens | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| SetBlobLegalHold | Eigenaar van opslagblobgegevens | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| DeleteBlob | Eigenaar van opslagblobgegevens | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| Verwijderen van blob ongedaan maken | Eigenaar van opslagblobgegevens | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |