Przypisywanie roli platformy Azure w celu uzyskania dostępu do danych w kolejce

Firma Microsoft Entra autoryzuje prawa dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu na podstawie ról (RBAC) platformy Azure. Usługa Azure Storage definiuje zestaw wbudowanych ról platformy Azure, które obejmują typowe zestawy uprawnień używanych do uzyskiwania dostępu do danych kolejek.

Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń firmy Microsoft Entra platforma Azure udziela dostępu do tych zasobów dla tego podmiotu zabezpieczeń. Podmiot zabezpieczeń firmy Microsoft Entra może być użytkownikiem, grupą, jednostką usługi aplikacji lub tożsamością zarządzaną dla zasobów platformy Azure.

Aby dowiedzieć się więcej o korzystaniu z identyfikatora Entra firmy Microsoft w celu autoryzowania dostępu do danych w kolejce, zobacz Autoryzowanie dostępu do kolejek przy użyciu identyfikatora Entra firmy Microsoft.

Uwaga

W tym artykule pokazano, jak przypisać rolę platformy Azure w celu uzyskania dostępu do danych kolejki na koncie magazynu. Aby dowiedzieć się więcej o przypisywaniu ról do operacji zarządzania w usłudze Azure Storage, zobacz Używanie dostawcy zasobów usługi Azure Storage do uzyskiwania dostępu do zasobów zarządzania.

Przypisywanie roli platformy Azure

Aby przypisać rolę dostępu do danych, możesz użyć witryny Azure Portal, programu PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Azure Resource Manager.

Witryna Azure Portal

Aby uzyskać dostęp do danych kolejki w witrynie Azure Portal przy użyciu poświadczeń firmy Microsoft Entra, użytkownik musi mieć następujące przypisania ról:

• Rola dostępu do danych, taka jak współautor danych kolejki magazynu
• Rola Czytelnik usługi Azure Resource Manager

Aby dowiedzieć się, jak przypisać te role do użytkownika, postępuj zgodnie z instrukcjami podanymi w temacie Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.

Rola Czytelnik to rola usługi Azure Resource Manager, która umożliwia użytkownikom wyświetlanie zasobów konta magazynu, ale nie modyfikuje ich. Nie zapewnia uprawnień do odczytu danych w usłudze Azure Storage, ale tylko do zasobów zarządzania kontami. Rola Czytelnik jest niezbędna, aby użytkownicy mogli przechodzić do kolejek i komunikatów w witrynie Azure Portal.

Jeśli na przykład przypiszesz rolę Współautor danych kolejki magazynu do użytkownika Mary na poziomie kolejki o nazwie sample-queue, mary otrzymuje dostęp do odczytu, zapisu i usuwania do tej kolejki. Jeśli jednak Mary chce wyświetlić kolejkę w witrynie Azure Portal, rola Współautor danych kolejki magazynu sama w sobie nie zapewni wystarczających uprawnień, aby przejść przez portal do kolejki, aby ją wyświetlić. Dodatkowe uprawnienia są wymagane do nawigowania po portalu i wyświetlania innych widocznych tam zasobów.

Aby można było używać witryny Azure Portal z poświadczeniami firmy Microsoft Entra, użytkownik musi mieć przypisaną rolę Czytelnik . Jeśli jednak użytkownik ma przypisaną rolę z uprawnieniami Microsoft.Storage/storageAccounts/listKeys/action , użytkownik może użyć portalu z kluczami konta magazynu za pośrednictwem autoryzacji klucza wspólnego. Aby można było używać kluczy konta magazynu, dostęp do klucza współdzielonego musi być dozwolony dla konta magazynu. Aby uzyskać więcej informacji na temat zezwalania na dostęp do klucza współdzielonego lub zezwalania na nie, zobacz Zapobieganie autoryzacji klucza współdzielonego dla konta usługi Azure Storage.

Możesz również przypisać rolę usługi Azure Resource Manager, która zapewnia dodatkowe uprawnienia wykraczające poza rolę Czytelnik . Przypisywanie najmniejszych możliwych uprawnień jest zalecane jako najlepsze rozwiązanie w zakresie zabezpieczeń. Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące kontroli RBAC na platformie Azure.

Uwaga

Przed przypisaniem roli dostępu do danych będzie można uzyskać dostęp do danych na koncie magazynu za pośrednictwem witryny Azure Portal, ponieważ witryna Azure Portal może również użyć klucza konta na potrzeby dostępu do danych. Aby uzyskać więcej informacji, zobacz Wybieranie sposobu autoryzowania dostępu do danych w kolejce w witrynie Azure Portal.

Program PowerShell

Aby przypisać rolę platformy Azure do podmiotu zabezpieczeń, wywołaj polecenie New-AzRoleAssignment . Format polecenia może się różnić w zależności od zakresu przypisania. Aby uruchomić polecenie, musisz mieć rolę obejmującą uprawnienia Microsoft.Authorization/roleAssignments/write przypisane do Ciebie w odpowiednim zakresie lub wyższym.

Aby przypisać rolę o zakresie do kolejki, określ ciąg zawierający zakres kolejki dla parametru --scope . Zakres kolejki ma postać:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

W poniższym przykładzie przypisano rolę Współautor danych kolejki magazynu do użytkownika o zakresie do kolejki o nazwie sample-queue. Pamiętaj, aby zastąpić przykładowe wartości i wartości symboli zastępczych w nawiasach własnymi wartościami:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/sample-queue"

Aby uzyskać informacje na temat przypisywania ról za pomocą programu PowerShell w zakresie subskrypcji, grupy zasobów lub konta magazynu, zobacz Przypisywanie ról platformy Azure przy użyciu programu Azure PowerShell.

Interfejs wiersza polecenia platformy Azure

Aby przypisać rolę platformy Azure do podmiotu zabezpieczeń, użyj polecenia az role assignment create . Format polecenia może się różnić w zależności od zakresu przypisania. Format polecenia może się różnić w zależności od zakresu przypisania. Aby uruchomić polecenie, musisz mieć rolę obejmującą uprawnienia Microsoft.Authorization/roleAssignments/write przypisane do Ciebie w odpowiednim zakresie lub wyższym.

Aby przypisać rolę o zakresie do kolejki, określ ciąg zawierający zakres kolejki dla parametru --scope . Zakres kolejki ma postać:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

W poniższym przykładzie przypisano rolę Współautor danych kolejki magazynu do użytkownika o zakresie do poziomu kolejki. Pamiętaj, aby zastąpić przykładowe wartości i wartości symboli zastępczych w nawiasach własnymi wartościami:

az role assignment create \
    --role "Storage Queue Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue>"

Aby uzyskać informacje na temat przypisywania ról za pomocą programu PowerShell w zakresie subskrypcji, grupy zasobów lub konta magazynu, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Szablon

Aby dowiedzieć się, jak używać szablonu usługi Azure Resource Manager do przypisywania roli platformy Azure, zobacz Przypisywanie ról platformy Azure przy użyciu szablonów usługi Azure Resource Manager.

Należy pamiętać o następujących kwestiach dotyczących przypisań ról platformy Azure w usłudze Azure Storage:

• Podczas tworzenia konta usługi Azure Storage nie masz automatycznie przypisanych uprawnień dostępu do danych za pośrednictwem identyfikatora Entra firmy Microsoft. Musisz jawnie przypisać sobie rolę platformy Azure dla usługi Azure Storage. Można ją przypisać na poziomie subskrypcji, grupy zasobów, konta magazynu lub kolejki.
• Jeśli konto magazynu jest zablokowane za pomocą blokady tylko do odczytu usługi Azure Resource Manager, blokada uniemożliwia przypisanie ról platformy Azure, które są ograniczone do konta magazynu lub kolejki.

Następne kroki

• Co to jest kontrola dostępu oparta na rolach na platformie Azure (Azure RBAC)?
• Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure