Atribuir uma função do Azure para acesso a dados de fila

O Microsoft Entra autoriza os direitos de acesso aos recursos protegidos por meio do RBAC do Azure (controle de acesso baseado em função). O Armazenamento do Azure define um conjunto de funções internas do Azure que abrangem conjuntos comuns de permissões usados para acessar dados de filas.

Quando uma função do Azure é atribuída a uma entidade de segurança do Microsoft Entra, o Azure permite que essa entidade de segurança tenha acesso a esses recursos. Uma entidade de segurança do Microsoft Entra pode ser um usuário, um grupo, uma entidade de serviço de aplicativo ou uma identidade gerenciada para recursos do Azure.

Para saber mais sobre como usar o Microsoft Entra ID para autorizar o acesso aos dados da fila, confira Autorizar o acesso a filas usando o Microsoft Entra ID.

Observação

Este artigo mostra como atribuir uma função do Azure para acesso a dados de fila em uma conta de armazenamento. Para saber mais sobre como atribuir funções para operações de gerenciamento no Armazenamento do Microsoft Azure, confira Usar o provedor de recursos de Armazenamento do Microsoft Azure para acessar recursos de gerenciamento.

Atribuir uma função do Azure

Você pode usar o portal do Azure, o PowerShell, a CLI do Azure ou um modelo do Azure Resource Manager para atribuir uma função para acesso de dados.

Azure portal

Para acessar dados de fila no portal do Azure com as credenciais do Microsoft Entra, um usuário deve ter as seguintes atribuições de função:

• Uma função de acesso a dados, como Colaborador de dados de fila de armazenamento
• A função de Leitor do Azure Resource Manager

Para saber como atribuir essas funções a um usuário, siga as instruções fornecidas em Atribuir funções do Azure usando o portal do Azure.

A função de Leitor é uma função do Azure Resource Manager que permite aos usuários ver os recursos da conta de armazenamento, mas não os modificar. Ela não dá permissões de leitura para dados no Armazenamento do Microsoft Azure, mas apenas para recursos de gerenciamento de conta. A função Leitor é necessária para que os usuários possam navegar até às filas e mensagens no portal do Azure.

Por exemplo, se você atribuir a função de Colaborador de dados da fila de armazenamento à usuária Mary no nível de uma fila chamada sample-queue, a Mary receberá acesso de leitura, gravação e exclusão para essa fila. No entanto, caso Mary queira ver uma fila no portal do Azure, a função de Colaborador de dados de fila de armazenamento não dará permissões suficientes para navegar pelo portal até a fila para vê-lo. As permissões adicionais são necessárias para navegar e exibir os outros recursos no portal.

Um usuário deve ter a função Leitor para usar o portal do Azure com as credenciais do Microsoft Entra. No entanto, se um usuário foi atribuído a uma função com as permissões Microsoft.Storage/storageAccounts/listKeys/action, ele pode usar o portal com as chaves da conta de armazenamento, por meio da autorização de chave compartilhada. Para usar as chaves da conta de armazenamento, o acesso à chave compartilhada deve ser permitido para a conta de armazenamento. Para obter mais informações sobre como permitir ou não permitir o acesso à chave compartilhada, confira Impedir a autorização de chave compartilhada para uma conta de Armazenamento do Microsoft Azure.

Você também pode atribuir uma função de Azure Resource Manager que forneça permissões adicionais além da função de Leitor. A atribuição do mínimo de permissões possíveis é recomendada como uma melhor prática de segurança. Para obter mais informações, veja Melhores práticas do RBAC do Azure.

Observação

eAntes de atribuir a si mesmo uma função para acesso a dados, você poderá acessar dados em sua conta de armazenamento por meio do portal do Azure porque o portal do Azure também pode usar a chave de conta para acesso a dados. Para obter mais informações, confira Escolher como autorizar o acesso a dados de fila no portal do Azure.

PowerShell

Para atribuir uma função do Azure a uma entidade de segurança, chame o comando New-AzRoleAssignment. O formato do comando pode diferir a depender do escopo da atribuição. Para executar o comando, você deve ter uma função que inclua as permissões Microsoft.Authorization/roleAssignments/write atribuídas a você no escopo correspondente ou acima.

Para atribuir uma função com escopo a uma fila, especifique uma cadeia de caracteres que contenha o escopo da fila para o parâmetro --scope. O escopo de uma fila está no formato:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

O exemplo a seguir atribui a função de Colaborador de Dados da Fila de Armazenamento a um usuário, cujo escopo é uma fila chamada sample-queue. Verifique se os valores de exemplo e de espaço reservado entre colchetes foram substituídos pelos seus valores:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Queue Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/sample-resource-group/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/sample-queue"

Para obter informações sobre a atribuição de funções com o PowerShell na assinatura, no grupo de recursos ou no escopo da conta de armazenamento, confira Atribuir funções do Azure usando o Azure PowerShell.

CLI do Azure

Para atribuir uma função do Azure a uma entidade de segurança, use o comando criar atribuição de função do az. O formato do comando pode diferir a depender do escopo da atribuição. O formato do comando pode diferir a depender do escopo da atribuição. Para executar o comando, você deve ter uma função que inclua as permissões Microsoft.Authorization/roleAssignments/write atribuídas a você no escopo correspondente ou acima.

Para atribuir uma função com escopo a uma fila, especifique uma cadeia de caracteres que contenha o escopo da fila para o parâmetro --scope. O escopo de uma fila está no formato:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue-name>

O exemplo a seguir atribui a função de Colaborador de Dados em Fila do Armazenamento a um usuário, cujo escopo é o nível da fila. Certifique-se de substituir os valores de exemplo e de espaço reservado entre colchetes pelos seus valores:

az role assignment create \
    --role "Storage Queue Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/queueServices/default/queues/<queue>"

Para obter informações sobre a atribuição de funções com o PowerShell na assinatura, no grupo de recursos ou no escopo da conta de armazenamento, confira Atribuir funções do Azure usando a CLI do Azure.

Modelo

Para saber como usar um modelo de Azure Resource Manager para atribuir uma função do Azure, confira Atribuir funções do Azure usando modelos do Azure Resource Manager.

Tenha em mente os seguintes pontos sobre as atribuições de função do Azure no Armazenamento do Microsoft Azure:

• Ao criar uma conta de Armazenamento do Azure, você não receberá permissões de acesso de dados automaticamente por meio do Microsoft Entra ID. Você deve atribuir explicitamente a si mesmo uma função do Azure para o Armazenamento do Microsoft Azure. Você pode atribuí-la no nível de assinatura, de grupo de recursos, da conta de armazenamento ou da fila.
• Se a conta de armazenamento estiver com o bloqueio de somente leitura do Azure Resource Manager, isso impedirá a atribuição de funções do Azure que estejam no escopo da conta de armazenamento ou de uma fila.

Próximas etapas

• O que é o RBAC do Azure (controle de acesso baseado em função do Azure)?
• Práticas Recomendadas para RBAC do Azure