Назначение роли Azure для доступа к данным BLOB-объектов
Microsoft Entra разрешает доступ к защищенным ресурсам с помощью управления доступом на основе ролей Azure (Azure RBAC). Служба хранилища Azure определяет набор встроенных ролей Azure, охватывающих общие наборы разрешений, используемых для доступа к данным BLOB-объектов.
Когда роль Azure назначается субъекту безопасности Microsoft Entra, Azure предоставляет доступ к этим ресурсам для этого субъекта безопасности. Субъект безопасности Microsoft Entra может быть пользователем, группой, субъектом-службой приложений или управляемым удостоверением для ресурсов Azure.
Дополнительные сведения об использовании идентификатора Microsoft Entra для авторизации доступа к данным BLOB-объектов см. в статье "Авторизация доступа к BLOB-объектам с помощью идентификатора Microsoft Entra".
Примечание.
В этой статье показано, как назначить роль Azure для доступа к данным больших двоичных объектов в учетной записи хранения. Дополнительные сведения о назначении ролей для операций управления в службе хранилища Azure см. в статье Использование поставщика ресурсов службы хранилища Azure для доступа к ресурсам управления.
Назначение роли Azure
Вы можете использовать портал Azure, PowerShell, Azure CLI или шаблон Azure Resource Manager, чтобы назначить роль для доступа к данным.
Чтобы получить доступ к данным BLOB-объектов в портал Azure с учетными данными Microsoft Entra, пользователь должен иметь следующие назначения ролей:
- Роль доступа к данным, например Читатель данных хранилища BLOB-объектов или Участник данных хранилища BLOB-объектов
- Как минимум, роль Читатель в Azure Resource Manager
Чтобы узнать, как назначить эти роли пользователю, следуйте инструкциям в статье Назначение ролей Azure на портале Azure.
Роль Читатель в Azure Resource Manager позволяет пользователям просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в служба хранилища Azure, а только для ресурсов управления учетными записями. Роль Читатель требуется, чтобы пользователи могли переходить к контейнерам BLOB-объектов на портале Azure.
Например, если назначить роль участника для данных BLOB-объекта хранилища пользователю Mary на уровне контейнера с именем Sample-Container, то пользователю Mary будет предоставлен доступ на чтение, запись и удаление всех больших двоичных объектов в этом контейнере. Однако если Мэри хочет просмотреть большой двоичный объект в портал Azure, то роль участника данных BLOB-объектов хранилища сама по себе не предоставит достаточные разрешения для перехода через портал к большому двоичному объекту, чтобы просмотреть его. Для перемещения по порталу и просмотра других ресурсов, доступных на портале, требуются дополнительные разрешения.
Пользователю необходимо назначить роль читателя, чтобы использовать портал Azure с учетными данными Microsoft Entra. Однако если пользователю назначена роль с разрешениями Microsoft.Storage/storageAccounts/listKeys/action , пользователь может использовать портал с ключами учетной записи хранения с помощью авторизации общего ключа. Для использования ключей учетной записи хранения необходимо разрешить учетной записи хранения доступ к общим ключам. Дополнительные сведения о том, как разрешить или запретить доступ к общим ключам, см. в разделе Запрет авторизации с общим ключом для учетной записи хранения Azure.
Вы также можете назначить роль Azure Resource Manager, которая предоставляет дополнительные разрешения за пределами роли читателя . По соображениям безопасности рекомендуется назначить минимальные возможные разрешения. Дополнительные сведения см. в разделе Рекомендации по работе с Azure RBAC.
Примечание.
Прежде чем назначать себе роль для доступа к данным, вы сможете получить доступ к данным в учетной записи хранения с помощью портала Azure, так как портал Azure также может использовать ключ учетной записи для доступа к данным. Дополнительные сведения см. в разделе Выбор способа авторизации доступа к данным BLOB-объектов на портале Azure.
Учитывайте следующие аспекты назначения ролей Azure в службе хранилища Azure:
- При создании учетной записи служба хранилища Azure разрешения на доступ к данным с помощью идентификатора Microsoft Entra не назначаются автоматически. Для службы хранилища Azure вы должны назначить себе роль Azure явным образом. Вы можете назначить ее на уровне подписки, группы ресурсов, учетной записи хранения, контейнера.
- При назначении ролей или удалении назначений ролей может потребоваться до 10 минут, чтобы изменения вступили в силу.
- Встроенные роли с действиями с данными можно назначить в области группы управления. Однако в редких сценариях может возникнуть значительный задержка (до 12 часов), прежде чем разрешения на действия данных эффективны для определенных типов ресурсов. В конечном итоге будут применены разрешения. Для встроенных ролей с действиями с данными добавление или удаление назначений ролей в области группы управления не рекомендуется, если требуется своевременное активация или отзыв разрешений, например Microsoft Entra управление привилегированными пользователями (PIM).
- Если учетная запись хранения заблокирована с помощью блокировки только для чтения Azure Resource Manager, нельзя назначить роли Azure, у которых в качестве области действия выступает учетная запись хранения или контейнер.
- Если вы устанавливаете соответствующие разрешения на доступ к данным с помощью идентификатора Microsoft Entra и не сможете получить доступ к данным, например вы получаете ошибку AuthorizationPermissionMismatch. Обязательно разрешите достаточно времени для изменений разрешений, внесенных в идентификатор Microsoft Entra ID, для репликации и убедитесь, что у вас нет никаких запретов назначений, которые блокируют доступ, см . раздел "Общие сведения о запретах Azure".
Примечание.
Вы можете создать настраиваемые роли Azure RBAC для детализированного управления доступом к данным BLOB-объектов. Дополнительные сведения см. в статье Настраиваемые роли Azure.