Een Azure-rol toewijzen voor toegang tot wachtrijgegevens

Microsoft Entra autoriseert toegangsrechten voor beveiligde resources via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure Storage definieert een set ingebouwde Azure-rollen die algemene sets machtigingen omvatten die worden gebruikt voor toegang tot wachtrijgegevens.

Wanneer een Azure-rol is toegewezen aan een Microsoft Entra-beveiligingsprincipaal, verleent Azure toegang tot deze resources voor die beveiligingsprincipaal. Een Microsoft Entra-beveiligingsprincipaal kan een gebruiker, een groep, een toepassingsservice-principal of een beheerde identiteit voor Azure-resources zijn.

Zie Toegang tot wachtrijen autoriseren met behulp van Microsoft Entra ID voor meer informatie over het gebruik van Microsoft Entra-id voor het autoriseren van toegang tot wachtrijgegevens.

Notitie

In dit artikel wordt beschreven hoe u een Azure-rol toewijst voor toegang tot wachtrijgegevens in een opslagaccount. Zie De Azure Storage-resourceprovider gebruiken voor toegang tot beheerresources voor meer informatie over het toewijzen van rollen voor beheerbewerkingen in Azure Storage.

Een Azure-rol toewijzen

U kunt de Azure-portal, PowerShell, Azure CLI of een Azure Resource Manager-sjabloon gebruiken om een rol toe te wijzen voor gegevenstoegang.

Azure-portal

Om toegang te krijgen tot wachtrijgegevens in Azure Portal met Microsoft Entra-referenties, moet een gebruiker de volgende roltoewijzingen hebben:

• Een rol voor gegevenstoegang, zoals Inzender voor opslagwachtrijgegevens
• De rol Lezer van Azure Resource Manager

Als u wilt weten hoe u deze rollen toewijst aan een gebruiker, volgt u de instructies in Azure-rollen toewijzen met behulp van Azure Portal.

De rol Lezer is een Azure Resource Manager-rol waarmee gebruikers opslagaccountresources kunnen bekijken, maar niet kunnen wijzigen. Het biedt geen leesmachtigingen voor gegevens in Azure Storage, maar alleen voor accountbeheerbronnen. De rol Lezer is nodig, zodat gebruikers kunnen navigeren naar wachtrijen en berichten in Azure Portal.

Als u bijvoorbeeld de rol Inzender voor opslagwachtrijgegevens toewijst aan gebruiker Mary op het niveau van een wachtrij met de naam sample-queue, krijgt Mary lees-, schrijf- en verwijdertoegang tot die wachtrij. Als Mary echter een wachtrij wil weergeven in Azure Portal, biedt de rol Inzender voor opslagwachtrijgegevens zelf niet voldoende machtigingen om door de portal naar de wachtrij te navigeren om deze te bekijken. De extra machtigingen zijn vereist om door de portal te navigeren en de andere resources weer te geven die daar zichtbaar zijn.

Aan een gebruiker moet de rol Lezer zijn toegewezen om de Azure-portal te kunnen gebruiken met Microsoft Entra-referenties. Als aan een gebruiker echter een rol is toegewezen met machtigingen voor Microsoft.Storage/storageAccounts/listKeys/action , kan de gebruiker de portal gebruiken met de sleutels van het opslagaccount, via autorisatie voor gedeelde sleutels. Als u de opslagaccountsleutels wilt gebruiken, moet toegang tot gedeelde sleutels zijn toegestaan voor het opslagaccount. Zie Gedeelde sleutelautorisatie voor een Azure Storage-account voorkomen voor meer informatie over het toestaan of ongedaan maken van gedeelde sleuteltoegang.

U kunt ook een Azure Resource Manager-rol toewijzen die extra machtigingen biedt dan de rol Lezer . Het toewijzen van de minst mogelijke machtigingen wordt aanbevolen als best practice voor beveiliging. Lees Best practices voor Azure RBAC voor meer informatie.

Notitie

Voordat u uzelf een rol voor gegevenstoegang toewijst, hebt u via Azure Portal toegang tot gegevens in uw opslagaccount, omdat de Azure-portal ook de accountsleutel voor gegevenstoegang kan gebruiken. Zie Kiezen hoe u toegang tot wachtrijgegevens in Azure Portal autoriseert voor meer informatie.

PowerShell

Als u een Azure-rol wilt toewijzen aan een beveiligingsprincipal, roept u de opdracht New-AzRoleAssignment aan. De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing. Als u de opdracht wilt uitvoeren, moet u een rol hebben die Microsoft.Authorization/roleAssignments/write-machtigingen bevat die aan u zijn toegewezen in het bijbehorende bereik of hoger.

Als u een rol wilt toewijzen aan een wachtrij, geeft u een tekenreeks op die het bereik van de wachtrij voor de --scope parameter bevat. Het bereik voor een wachtrij heeft de volgende vorm:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

In het volgende voorbeeld wordt de rol Inzender voor opslagwachtrijgegevens toegewezen aan een gebruiker, die is gericht op een wachtrij met de naam sample-queue. Zorg ervoor dat u de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes vervangt door uw eigen waarden:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/sample-queue"

Zie Azure-rollen toewijzen met Behulp van Azure PowerShell voor informatie over het toewijzen van rollen met PowerShell in het bereik van het abonnement, de resourcegroep of het opslagaccount.

Azure-CLI

Als u een Azure-rol wilt toewijzen aan een beveiligingsprincipaal, gebruikt u de opdracht az role assignment create . De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing. De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing. Als u de opdracht wilt uitvoeren, moet u een rol hebben die Microsoft.Authorization/roleAssignments/write-machtigingen bevat die aan u zijn toegewezen in het bijbehorende bereik of hoger.

Als u een rol wilt toewijzen aan een wachtrij, geeft u een tekenreeks op die het bereik van de wachtrij voor de --scope parameter bevat. Het bereik voor een wachtrij heeft de volgende vorm:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

In het volgende voorbeeld wordt de rol Inzender voor opslagwachtrijgegevens toegewezen aan een gebruiker, die is afgestemd op het niveau van de wachtrij. Zorg ervoor dat u de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes vervangt door uw eigen waarden:

az role assignment create \
    --role "Storage Queue Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue>"

Zie Azure-rollen toewijzen met behulp van Azure CLI voor informatie over het toewijzen van rollen met PowerShell in het bereik van het abonnement, de resourcegroep of het opslagaccount.

Sjabloon

Zie Azure-rollen toewijzen met behulp van Azure Resource Manager-sjablonen voor meer informatie over het gebruik van een Azure Resource Manager-sjabloon om een Azure-rol toe te wijzen.

Houd rekening met de volgende punten over Azure-roltoewijzingen in Azure Storage:

• Wanneer u een Azure Storage-account maakt, worden er niet automatisch machtigingen toegewezen voor toegang tot gegevens via Microsoft Entra-id. U moet expliciet een Azure-rol toewijzen voor Azure Storage. U kunt deze toewijzen op het niveau van uw abonnement, resourcegroep, opslagaccount of wachtrij.
• Als het opslagaccount is vergrendeld met een alleen-lezenvergrendeling van Azure Resource Manager, voorkomt de vergrendeling de toewijzing van Azure-rollen die zijn afgestemd op het opslagaccount of een wachtrij.

Volgende stappen

• Wat is Azure RBAC (toegangsbeheer op basis van rollen)?
• Aanbevolen procedures voor Azure RBAC