Funções do Azure para tarefas de armazenamento
Este artigo descreve as funções internas menos privilegiadas do Azure ou as ações RBAC necessárias para ler, atualizar, excluir e atribuir uma tarefa de armazenamento.
Importante
As Ações de Armazenamento do Azure estão atualmente em PREVIEW e estão disponíveis nessas regiões. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.
Permissão para ler, editar ou excluir uma tarefa
Você deve atribuir uma função a qualquer entidade de segurança em sua organização que precise acessar a tarefa de armazenamento. Para saber como atribuir uma função do Azure, consulte Atribuir funções do Azure usando o portal do Azure.
Para dar aos usuários ou aplicativos acesso à tarefa de armazenamento, escolha uma função interna ou personalizada do Azure que tenha a permissão necessária para editar a tarefa de leitura ou edição. Se preferir usar uma função personalizada, verifique se a função contém as ações RBAC necessárias para ler ou editar a tarefa. Use a tabela a seguir como guia.
| Nível de permissão | Função interna do Azure | Ações RBAC para funções personalizadas |
|---|---|---|
| Listar e ler tarefas de armazenamento | Contributor |
Microsoft.StorageActions/storageTasks/read |
| Criar e atualizar tarefas de armazenamento | Contributor |
Microsoft.StorageActions/storageTasks/write |
| Excluir tarefas de armazenamento | Contributor |
Microsoft.StorageActions/storageTasks/delete |
Permissão para atribuir uma tarefa
Uma atribuição de tarefa identifica uma conta de armazenamento e um subconjunto de objetos nessa conta que a tarefa de armazenamento terá como destino. Uma atribuição também define quando a tarefa é executada e onde os relatórios de execução são armazenados. Para obter orientação passo a passo, consulte Criar e gerenciar uma atribuição de tarefa de armazenamento.
Para criar uma atribuição, sua identidade deve receber uma função personalizada que contenha as seguintes ações RBAC:
A
Microsot.Authorization.roleAssignments/writeação.Todas as ações RBAC que estão disponíveis no
Microsoft.Storage/StorageAccountsconjunto de ações RBAC.
Para saber como criar uma função personalizada, consulte Funções personalizadas do Azure.
Permissão para uma tarefa executar operações
Ao criar uma atribuição, você deve escolher uma função interna ou personalizada do Azure que tenha a permissão necessária para executar as operações especificadas na conta de armazenamento de destino ou no contêiner da conta de armazenamento. Você pode escolher apenas as funções atribuídas à sua identidade de usuário. Se preferir usar uma função personalizada, verifique se a função contém as ações RBAC necessárias para executar as operações.
A tabela a seguir mostra a função interna menos privilegiada do Azure, bem como as ações RBAC exigidas por cada operação.
| Permissão | Função incorporada | Ações RBAC para uma função personalizada |
|---|---|---|
| SetBlobTier | Proprietário dos Dados do Armazenamento de Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobExpiry | Proprietário dos Dados do Armazenamento de Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobTags | Proprietário dos Dados do Armazenamento de Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobImmutabilityPolicy | Proprietário dos Dados do Armazenamento de Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| SetBlobLegalHold | Proprietário dos Dados do Armazenamento de Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| DeleteBlob | Proprietário dos Dados do Armazenamento de Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| UndeleteBlob | Proprietário dos Dados do Armazenamento de Blobs | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |