Delen via


Een Azure-rol toewijzen voor toegang tot blobgegevens

Microsoft Entra autoriseert toegangsrechten voor beveiligde resources via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure Storage definieert een set ingebouwde Azure-rollen die algemene sets machtigingen omvatten die worden gebruikt voor toegang tot blobgegevens.

Wanneer een Azure-rol is toegewezen aan een Microsoft Entra-beveiligingsprincipaal, verleent Azure toegang tot deze resources voor die beveiligingsprincipaal. Een Microsoft Entra-beveiligingsprincipaal kan een gebruiker, een groep, een toepassingsservice-principal of een beheerde identiteit voor Azure-resources zijn.

Zie Toegang tot blobs autoriseren met behulp van Microsoft Entra ID voor meer informatie over het gebruik van Microsoft Entra-id om toegang tot blobgegevens te autoriseren.

Notitie

In dit artikel wordt beschreven hoe u een Azure-rol toewijst voor toegang tot blobgegevens in een opslagaccount. Zie De Azure Storage-resourceprovider gebruiken voor toegang tot beheerresources voor meer informatie over het toewijzen van rollen voor beheerbewerkingen in Azure Storage.

Een Azure-rol toewijzen

U kunt de Azure-portal, PowerShell, Azure CLI of een Azure Resource Manager-sjabloon gebruiken om een rol toe te wijzen voor gegevenstoegang.

Als u toegang wilt krijgen tot blobgegevens in Azure Portal met Microsoft Entra-referenties, moet een gebruiker de volgende roltoewijzingen hebben:

  • Een rol voor gegevenstoegang, zoals Opslagblobgegevenslezer of Inzender voor opslagblobgegevens
  • De rol Lezer van Azure Resource Manager, minimaal

Als u wilt weten hoe u deze rollen toewijst aan een gebruiker, volgt u de instructies in Azure-rollen toewijzen met behulp van Azure Portal.

De rol Lezer is een Azure Resource Manager-rol waarmee gebruikers opslagaccountresources kunnen bekijken, maar niet kunnen wijzigen. Het biedt geen leesmachtigingen voor gegevens in Azure Storage, maar alleen voor accountbeheerbronnen. De rol Lezer is nodig, zodat gebruikers kunnen navigeren naar blobcontainers in Azure Portal.

Als u bijvoorbeeld de rol Inzender voor opslagblobgegevens toewijst aan gebruiker Mary op het niveau van een container met de naam sample-container, krijgt Mary lees-, schrijf- en verwijdertoegang tot alle blobs in die container. Als Mary echter een blob wil weergeven in Azure Portal, biedt de rol Inzender voor opslagblobgegevens zelf niet voldoende machtigingen om door de portal naar de blob te navigeren om deze te bekijken. De extra machtigingen zijn vereist om door de portal te navigeren en de andere resources weer te geven die daar zichtbaar zijn.

Aan een gebruiker moet de rol Lezer zijn toegewezen om de Azure-portal te kunnen gebruiken met Microsoft Entra-referenties. Als een gebruiker echter een rol krijgt toegewezen met machtigingen voor Microsoft.Storage/storageAccounts/listKeys/action , kan de gebruiker de portal gebruiken met de sleutels van het opslagaccount, via autorisatie voor gedeelde sleutels. Als u de opslagaccountsleutels wilt gebruiken, moet toegang tot gedeelde sleutels zijn toegestaan voor het opslagaccount. Zie Gedeelde sleutelautorisatie voor een Azure Storage-account voorkomen voor meer informatie over het toestaan of ongedaan maken van gedeelde sleuteltoegang.

U kunt ook een Azure Resource Manager-rol toewijzen die extra machtigingen biedt buiten de rol Lezer . Het toewijzen van de minst mogelijke machtigingen wordt aanbevolen als best practice voor beveiliging. Lees Best practices voor Azure RBAC voor meer informatie.

Notitie

Voordat u uzelf een rol voor gegevenstoegang toewijst, hebt u via Azure Portal toegang tot gegevens in uw opslagaccount, omdat de Azure-portal ook de accountsleutel voor gegevenstoegang kan gebruiken. Zie Kiezen hoe u toegang tot blobgegevens in Azure Portal autoriseert voor meer informatie.

Houd rekening met de volgende punten over Azure-roltoewijzingen in Azure Storage:

  • Wanneer u een Azure Storage-account maakt, worden er niet automatisch machtigingen toegewezen voor toegang tot gegevens via Microsoft Entra-id. U moet expliciet een Azure-rol toewijzen voor Azure Storage. U kunt deze toewijzen op het niveau van uw abonnement, resourcegroep, opslagaccount of container.
  • Wanneer u rollen toewijst of roltoewijzingen verwijdert, kan het tot tien minuten duren voordat wijzigingen van kracht worden.
  • Ingebouwde rollen met gegevensacties kunnen worden toegewezen aan het bereik van de beheergroep. In zeldzame scenario's kan er echter een aanzienlijke vertraging (maximaal 12 uur) optreden voordat machtigingen voor gegevensacties van kracht zijn voor bepaalde resourcetypen. Machtigingen worden uiteindelijk toegepast. Voor ingebouwde rollen met gegevensacties wordt het toevoegen of verwijderen van roltoewijzingen binnen het bereik van beheergroepen niet aanbevolen voor scenario's waarin tijdige activering of intrekking van machtigingen, zoals Microsoft Entra Privileged Identity Management (PIM), is vereist.
  • Als het opslagaccount is vergrendeld met een alleen-lezenvergrendeling van Azure Resource Manager, voorkomt de vergrendeling de toewijzing van Azure-rollen die zijn afgestemd op het opslagaccount of een container.
  • Als u de juiste machtigingen instelt voor toegang tot gegevens via Microsoft Entra-id en geen toegang hebt tot de gegevens, krijgt u bijvoorbeeld de foutmelding AuthorizationPermissionMismatch. Zorg ervoor dat u voldoende tijd hebt om de machtigingen die u hebt aangebracht in Microsoft Entra ID te repliceren en zorg ervoor dat u geen weigeringstoewijzingen hebt die uw toegang blokkeren. Zie Meer informatie over weigeringstoewijzingen in Azure.

Notitie

U kunt aangepaste Azure RBAC-rollen maken voor gedetailleerde toegang tot blobgegevens. Zie aangepaste Azure-rollen voor meer informatie.

Volgende stappen