Delen via


Een Azure-rol toewijzen voor toegang tot wachtrijgegevens

Microsoft Entra autoriseert toegangsrechten voor beveiligde resources via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure Storage definieert een set ingebouwde Azure-rollen die algemene sets machtigingen omvatten die worden gebruikt voor toegang tot wachtrijgegevens.

Wanneer een Azure-rol is toegewezen aan een Microsoft Entra-beveiligingsprincipaal, verleent Azure toegang tot deze resources voor die beveiligingsprincipaal. Een Microsoft Entra-beveiligingsprincipaal kan een gebruiker, een groep, een toepassingsservice-principal of een beheerde identiteit voor Azure-resources zijn.

Zie Toegang tot wachtrijen autoriseren met behulp van Microsoft Entra ID voor meer informatie over het gebruik van Microsoft Entra-id voor het autoriseren van toegang tot wachtrijgegevens.

Notitie

In dit artikel wordt beschreven hoe u een Azure-rol toewijst voor toegang tot wachtrijgegevens in een opslagaccount. Zie De Azure Storage-resourceprovider gebruiken voor toegang tot beheerresources voor meer informatie over het toewijzen van rollen voor beheerbewerkingen in Azure Storage.

Een Azure-rol toewijzen

U kunt de Azure-portal, PowerShell, Azure CLI of een Azure Resource Manager-sjabloon gebruiken om een rol toe te wijzen voor gegevenstoegang.

Om toegang te krijgen tot wachtrijgegevens in Azure Portal met Microsoft Entra-referenties, moet een gebruiker de volgende roltoewijzingen hebben:

  • Een rol voor gegevenstoegang, zoals Inzender voor opslagwachtrijgegevens
  • De rol Lezer van Azure Resource Manager

Als u wilt weten hoe u deze rollen toewijst aan een gebruiker, volgt u de instructies in Azure-rollen toewijzen met behulp van Azure Portal.

De rol Lezer is een Azure Resource Manager-rol waarmee gebruikers opslagaccountresources kunnen bekijken, maar niet kunnen wijzigen. Het biedt geen leesmachtigingen voor gegevens in Azure Storage, maar alleen voor accountbeheerbronnen. De rol Lezer is nodig, zodat gebruikers kunnen navigeren naar wachtrijen en berichten in Azure Portal.

Als u bijvoorbeeld de rol Inzender voor opslagwachtrijgegevens toewijst aan gebruiker Mary op het niveau van een wachtrij met de naam sample-queue, krijgt Mary lees-, schrijf- en verwijdertoegang tot die wachtrij. Als Mary echter een wachtrij wil weergeven in Azure Portal, biedt de rol Inzender voor opslagwachtrijgegevens zelf niet voldoende machtigingen om door de portal naar de wachtrij te navigeren om deze te bekijken. De extra machtigingen zijn vereist om door de portal te navigeren en de andere resources weer te geven die daar zichtbaar zijn.

Aan een gebruiker moet de rol Lezer zijn toegewezen om de Azure-portal te kunnen gebruiken met Microsoft Entra-referenties. Als aan een gebruiker echter een rol is toegewezen met machtigingen voor Microsoft.Storage/storageAccounts/listKeys/action , kan de gebruiker de portal gebruiken met de sleutels van het opslagaccount, via autorisatie voor gedeelde sleutels. Als u de opslagaccountsleutels wilt gebruiken, moet toegang tot gedeelde sleutels zijn toegestaan voor het opslagaccount. Zie Gedeelde sleutelautorisatie voor een Azure Storage-account voorkomen voor meer informatie over het toestaan of ongedaan maken van gedeelde sleuteltoegang.

U kunt ook een Azure Resource Manager-rol toewijzen die extra machtigingen biedt dan de rol Lezer . Het toewijzen van de minst mogelijke machtigingen wordt aanbevolen als best practice voor beveiliging. Lees Best practices voor Azure RBAC voor meer informatie.

Notitie

Voordat u uzelf een rol voor gegevenstoegang toewijst, hebt u via Azure Portal toegang tot gegevens in uw opslagaccount, omdat de Azure-portal ook de accountsleutel voor gegevenstoegang kan gebruiken. Zie Kiezen hoe u toegang tot wachtrijgegevens in Azure Portal autoriseert voor meer informatie.

Houd rekening met de volgende punten over Azure-roltoewijzingen in Azure Storage:

  • Wanneer u een Azure Storage-account maakt, worden er niet automatisch machtigingen toegewezen voor toegang tot gegevens via Microsoft Entra-id. U moet expliciet een Azure-rol toewijzen voor Azure Storage. U kunt deze toewijzen op het niveau van uw abonnement, resourcegroep, opslagaccount of wachtrij.
  • Wanneer u rollen toewijst of roltoewijzingen verwijdert, kan het tot tien minuten duren voordat wijzigingen van kracht worden.
  • Ingebouwde rollen met gegevensacties kunnen worden toegewezen aan het bereik van de beheergroep. In zeldzame scenario's kan er echter een aanzienlijke vertraging (maximaal 12 uur) optreden voordat machtigingen voor gegevensacties van kracht zijn voor bepaalde resourcetypen. Machtigingen worden uiteindelijk toegepast. Voor ingebouwde rollen met gegevensacties wordt het toevoegen of verwijderen van roltoewijzingen binnen het bereik van beheergroepen niet aanbevolen voor scenario's waarin tijdige activering of intrekking van machtigingen, zoals Microsoft Entra Privileged Identity Management (PIM), is vereist.
  • Als het opslagaccount is vergrendeld met een alleen-lezenvergrendeling van Azure Resource Manager, voorkomt de vergrendeling de toewijzing van Azure-rollen die zijn afgestemd op het opslagaccount of een wachtrij.

Volgende stappen