Przypisz rolę Azure, aby uzyskać dostęp do danych blob

Firma Microsoft Entra autoryzuje prawa dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu na podstawie ról (RBAC) platformy Azure. Usługa Azure Storage definiuje zestaw wbudowanych ról platformy Azure, które obejmują typowe zestawy uprawnień używanych do uzyskiwania dostępu do danych obiektów blob.

Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń firmy Microsoft Entra platforma Azure udziela dostępu do tych zasobów dla tego podmiotu zabezpieczeń. Podmiot zabezpieczeń firmy Microsoft Entra może być użytkownikiem, grupą, jednostką usługi aplikacji lub tożsamością zarządzaną dla zasobów platformy Azure.

Aby dowiedzieć się więcej o korzystaniu z identyfikatora Entra firmy Microsoft w celu autoryzowania dostępu do danych obiektów blob, zobacz Autoryzowanie dostępu do obiektów blob przy użyciu identyfikatora Entra firmy Microsoft.

Note

W tym artykule pokazano, jak przypisać rolę platformy Azure, aby uzyskać dostęp do danych obiektów blob na koncie magazynowym. Aby dowiedzieć się więcej o przypisywaniu ról do operacji zarządzania w usłudze Azure Storage, zobacz Używanie dostawcy zasobów usługi Azure Storage do uzyskiwania dostępu do zasobów zarządzania.

Przypisywanie roli platformy Azure

Aby przypisać rolę dostępu do danych, możesz użyć witryny Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Azure Resource Manager.

Portal Azure

Aby uzyskać dostęp do danych obiektów blob w portalu Azure przy użyciu poświadczeń Microsoft Entra, użytkownik musi mieć następujące przypisania ról:

• Rola dostępu do danych, taka jak czytelnik danych obiektu blob usługi Storage lub współautor danych obiektu blob usługi Storage
• Rola Czytelnik usługi Azure Resource Manager co najmniej

Aby dowiedzieć się, jak przypisać te role do użytkownika, postępuj zgodnie z instrukcjami podanymi w temacie Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Rola Czytelnik to rola usługi Azure Resource Manager, która umożliwia użytkownikom wyświetlanie zasobów konta magazynu, ale nie modyfikuje ich. Nie zapewnia uprawnień do odczytu danych w usłudze Azure Storage, ale tylko do zasobów zarządzania kontami. Rola Czytelnik jest niezbędna, aby użytkownicy mogli przechodzić do kontenerów obiektów blob w witrynie Azure Portal.

Jeśli na przykład przypiszesz rolę Współautor danych obiektu blob usługi Storage użytkowniczce Mary na poziomie kontenera o nazwie sample-container, Mary otrzymuje dostęp do odczytu, zapisu i usuwania wszystkich blobów w tym kontenerze. Jeśli jednak Mary chce wyświetlić obiekt blob w portalu Azure, rola Współautor danych obiektu blob usługi Storage sama nie zapewni wystarczających uprawnień do przeglądania portalu i wyświetlenia obiektu blob. Dodatkowe uprawnienia są wymagane do nawigowania po portalu i wyświetlania innych widocznych tam zasobów.

Aby korzystać z portalu Azure z poświadczeniami Microsoft Entra, użytkownik musi mieć przypisaną rolę Czytelnik. Jednakże, jeśli użytkownik ma przypisaną rolę z uprawnieniami Microsoft.Storage/storageAccounts/listKeys/action, użytkownik może korzystać z portalu używając kluczy do konta magazynowania przez autoryzację kluczem współdzielonym. Aby można było używać kluczy konta magazynu, dostęp z kluczem współdzielonym musi być dozwolony dla konta magazynu. Aby uzyskać więcej informacji na temat zezwalania lub zabraniania dostępu przy użyciu klucza współdzielonego, zobacz Zapobieganie autoryzacji klucza współdzielonego dla konta usługi Azure Storage.

Możesz również przypisać rolę usługi Azure Resource Manager, która zapewnia dodatkowe uprawnienia poza rolą Czytelnik . Przypisywanie najmniejszych możliwych uprawnień jest zalecane jako najlepsze rozwiązanie w zakresie zabezpieczeń. Aby uzyskać więcej informacji, zobacz Najlepsze praktyki dotyczące kontroli dostępu opartej na rolach platformy Azure.

Note

Przed przypisaniem sobie roli dostępu do danych będzie można uzyskać dostęp do danych na koncie magazynu za pośrednictwem Azure Portal, ponieważ Azure Portal może również użyć klucza konta do dostępu do danych. Aby uzyskać więcej informacji, zobacz Wybieranie sposobu autoryzowania dostępu do danych obiektów blob w portalu Azure.

PowerShell

Aby przypisać rolę platformy Azure do podmiotu zabezpieczeń za pomocą programu PowerShell, wywołaj polecenie New-AzRoleAssignment . Aby uruchomić polecenie, musisz mieć rolę obejmującą uprawnienia Microsoft.Authorization/roleAssignments/write przypisane do Ciebie w odpowiednim zakresie lub wyższym.

Format polecenia może się różnić w zależności od zakresu przypisania, ale -ObjectId i -RoleDefinitionName to wymagane parametry. Przekazywanie wartości parametru -Scope , choć nie jest wymagane, jest zdecydowanie zalecane, aby zachować zasadę najniższych uprawnień. Ograniczając role i zakresy, ograniczasz zasoby, które są zagrożone, jeśli podmiot zabezpieczeń kiedykolwiek zostanie naruszony.

Parametr -ObjectId jest identyfikatorem obiektu Entra firmy Microsoft użytkownika, grupy lub jednostki usługi, do której jest przypisywana rola. Aby pobrać identyfikator, możesz użyć polecenia Get-AzADUser do filtrowania użytkowników firmy Microsoft Entra, jak pokazano w poniższym przykładzie.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Pierwsza odpowiedź zwraca podmiot zabezpieczeń, a druga zwraca identyfikator obiektu podmiotu zabezpieczeń.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Type              : 

aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb

Wartość -RoleDefinitionName parametru to nazwa roli RBAC, która musi zostać przypisana do podmiotu zabezpieczeń. Aby uzyskać dostęp do danych blob w portalu Azure przy użyciu poświadczeń Microsoft Entra, użytkownik musi mieć przypisane następujące role:

• Rola dostępu do danych, taka jak Współautor danych obiektu blob usługi Storage lub Czytelnik danych obiektu blob usługi Storage
• Rola Czytelnik usługi Azure Resource Manager

Aby przypisać rolę z określonym zakresem dla kontenera obiektów blob lub konta magazynu, należy określić ciąg zawierający zakres zasobu dla parametru -Scope. Ta akcja jest zgodna z zasadą najniższych uprawnień— pojęcie zabezpieczeń informacji, w którym użytkownik otrzymuje minimalny poziom dostępu wymagany do wykonywania funkcji zadania. Ta praktyka zmniejsza potencjalne ryzyko przypadkowego lub zamierzonego uszkodzenia, które mogą spowodować niepotrzebne uprawnienia.

Zakres kontenera ma postać:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Zakres dla konta magazynowego jest w formie:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Aby przypisać rolę z określonym zakresem do konta magazynowego, określ ciąg zawierający zakres kontenera dla parametru --scope.

Poniższy przykład przypisuje użytkownikowi rolę Współautor danych obiektu blob usługi Storage . Przypisanie roli jest ograniczone do poziomu kontenera. Pamiętaj, aby zastąpić przykładowe wartości i wartości symboli zastępczych w nawiasach trójkątnych (<>) własnymi wartościami.

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Poniższy przykład przypisuje użytkownikowi rolę Storage Blob Data Reader, określając identyfikator obiektu. Przypisanie roli jest zawężone do poziomu konta magazynowego. Pamiętaj, aby zastąpić przykładowe wartości oraz wartości znaków zastępczych w nawiasach okrągłych (<>) swoimi wartościami.

New-AzRoleAssignment -ObjectID "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Dane wyjściowe powinny być podobne do następujących:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Aby uzyskać informacje na temat przypisywania ról za pomocą programu PowerShell w zakresie subskrypcji lub grupy zasobów, zobacz Przypisywanie ról platformy Azure przy użyciu programu Azure PowerShell.

"Azure CLI"

Aby przypisać podmiotowi zabezpieczeń rolę Azure z wykorzystaniem Azure CLI, użyj polecenia az role assignment create. Format polecenia może się różnić w zależności od zakresu przypisania. Aby uruchomić polecenie, musisz mieć rolę obejmującą uprawnienia Microsoft.Authorization/roleAssignments/write przypisane do Ciebie w odpowiednim zakresie lub wyższym.

Aby przypisać rolę o zakresie do kontenera, określ ciąg zawierający zakres kontenera dla parametru --scope . Zakres kontenera ma postać:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Poniższy przykład przypisuje użytkownikowi rolę Współautor danych obiektu blob usługi Storage . Przypisanie roli jest ograniczone do poziomu kontenera. Pamiętaj, aby zastąpić przykładowe wartości oraz wartości znaków zastępczych w nawiasach okrągłych (<>) swoimi wartościami.

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Poniższy przykład przypisuje użytkownikowi rolę Storage Blob Data Reader, określając identyfikator obiektu. Aby dowiedzieć się więcej o parametrach --assignee-object-id i --assignee-principal-type, zobacz az role assignment. W tym przykładzie przypisanie roli jest ograniczone do poziomu konta przechowywania. Pamiętaj, aby zastąpić przykładowe wartości oraz wartości znaków zastępczych w nawiasach okrągłych (<>) swoimi wartościami.

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Aby uzyskać informacje na temat przypisywania ról w Azure CLI w zakresie subskrypcji, grupy zasobów lub konta magazynowego, zobacz Przypisywanie ról przy użyciu Azure CLI.

Template

Aby dowiedzieć się, jak używać szablonu usługi Azure Resource Manager do przypisywania roli platformy Azure, zobacz Przypisywanie ról platformy Azure przy użyciu szablonów usługi Azure Resource Manager.

Należy pamiętać o następujących kwestiach dotyczących przypisań ról platformy Azure w usłudze Azure Storage:

• Podczas tworzenia konta usługi Azure Storage nie masz automatycznie przypisanych uprawnień dostępu do danych za pośrednictwem identyfikatora Entra firmy Microsoft. Musisz jawnie przypisać sobie rolę platformy Azure dla usługi Azure Storage. Można ją przypisać na poziomie subskrypcji, grupy zasobów, konta magazynu lub kontenera.
• Po przypisaniu ról lub usunięciu przypisań ról może upłynąć do 10 minut, aby zmiany zaczęły obowiązywać.
• Wbudowane role z akcjami danych można przypisywać w zakresie grupy zarządzania. Jednak w rzadkich scenariuszach może wystąpić znaczne opóźnienie (do 12 godzin), zanim uprawnienia akcji danych będą skuteczne dla niektórych typów zasobów. Uprawnienia zostaną w końcu zastosowane. W przypadku wbudowanych ról z akcjami dotyczącymi danych, dodawanie lub usuwanie przypisań ról na poziomie grupy zarządzania nie jest zalecane w scenariuszach wymagających szybkiej aktywacji lub odwoływania uprawnień, takich jak Microsoft Entra Privileged Identity Management (PIM).
• Jeśli konto magazynu jest zablokowane za pomocą blokady tylko do odczytu usługi Azure Resource Manager, blokada uniemożliwia przypisanie ról platformy Azure, które są ograniczone do konta magazynu lub kontenera.
• Jeśli ustawisz odpowiednie uprawnienia zezwalania na dostęp do danych za pośrednictwem identyfikatora Entra firmy Microsoft i nie możesz uzyskać dostępu do danych, na przykład występuje błąd "AuthorizationPermissionMismatch". Pamiętaj, aby zezwolić na wystarczająco dużo czasu na replikowanie zmian uprawnień dokonanych w Microsoft Entra ID i upewnij się, że nie masz żadnych przydziałów odmowy blokujących dostęp, zobacz Omówienie przydziałów odmowy w Azure.

Note

Możesz utworzyć niestandardowe role RBAC platformy Azure w celu uzyskania zróżnicowanego dostępu do danych blob. Aby uzyskać więcej informacji, zobacz Niestandardowe role platformy Azure.

Dalsze kroki

• Co to jest kontrola dostępu oparta na rolach (RBAC) platformy Azure?
• Najlepsze praktyki dotyczące kontroli dostępu opartej na rolach w Azure