Назначение роли Azure для доступа к данным BLOB-объектов

Microsoft Entra разрешает доступ к защищенным ресурсам с помощью управления доступом на основе ролей Azure (Azure RBAC). Служба хранилища Azure определяет набор встроенных ролей Azure, охватывающих общие наборы разрешений, используемых для доступа к данным BLOB-объектов.

Когда роль Azure назначается субъекту безопасности Microsoft Entra, Azure предоставляет доступ к этим ресурсам для этого субъекта безопасности. Субъект безопасности Microsoft Entra может быть пользователем, группой, субъектом-службой приложений или управляемым удостоверением для ресурсов Azure.

Дополнительные сведения об использовании идентификатора Microsoft Entra для авторизации доступа к данным BLOB-объектов см. в статье "Авторизация доступа к BLOB-объектам с помощью идентификатора Microsoft Entra".

Примечание.

В этой статье показано, как назначить роль Azure для доступа к данным больших двоичных объектов в учетной записи хранения. Дополнительные сведения о назначении ролей для операций управления в службе хранилища Azure см. в статье Использование поставщика ресурсов службы хранилища Azure для доступа к ресурсам управления.

Назначение роли Azure

Вы можете использовать портал Azure, PowerShell, Azure CLI или шаблон Azure Resource Manager, чтобы назначить роль для доступа к данным.

Портал Azure

Чтобы получить доступ к данным BLOB-объектов в портал Azure с учетными данными Microsoft Entra, пользователь должен иметь следующие назначения ролей:

• Роль доступа к данным, например Читатель данных хранилища BLOB-объектов или Участник данных хранилища BLOB-объектов
• Как минимум, роль Читатель в Azure Resource Manager

Чтобы узнать, как назначить эти роли пользователю, следуйте инструкциям в статье Назначение ролей Azure на портале Azure.

Роль Читатель в Azure Resource Manager позволяет пользователям просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в служба хранилища Azure, а только для ресурсов управления учетными записями. Роль Читатель требуется, чтобы пользователи могли переходить к контейнерам BLOB-объектов на портале Azure.

Например, если назначить роль участника для данных BLOB-объекта хранилища пользователю Mary на уровне контейнера с именем Sample-Container, то пользователю Mary будет предоставлен доступ на чтение, запись и удаление всех больших двоичных объектов в этом контейнере. Однако если Мэри хочет просмотреть большой двоичный объект в портал Azure, то роль участника данных больших двоичных объектов служба хранилища сама по себе не предоставит достаточные разрешения для перехода через портал к большому двоичному объекту, чтобы просмотреть его. Для перемещения по порталу и просмотра других ресурсов, доступных на портале, требуются дополнительные разрешения.

Пользователю необходимо назначить роль читателя, чтобы использовать портал Azure с учетными данными Microsoft Entra. Однако, если пользователю назначена роль с помощью Microsoft.служба хранилищаРазрешения /storageAccounts/listKeys/action, затем пользователь может использовать портал с ключами учетной записи хранения с помощью авторизации общего ключа. Для использования ключей учетной записи хранения необходимо разрешить учетной записи хранения доступ к общим ключам. Дополнительные сведения о том, как разрешить или запретить доступ к общим ключам, см. в разделе Запрет авторизации с общим ключом для учетной записи хранения Azure.

Вы также можете назначить роль Azure Resource Manager, которая предоставляет дополнительные разрешения за пределами роли читателя . По соображениям безопасности рекомендуется назначить минимальные возможные разрешения. Дополнительные сведения см. в разделе Рекомендации по работе с Azure RBAC.

Примечание.

Прежде чем назначать себе роль для доступа к данным, вы сможете получить доступ к данным в учетной записи хранения с помощью портала Azure, так как портал Azure также может использовать ключ учетной записи для доступа к данным. Дополнительные сведения см. в разделе Выбор способа авторизации доступа к данным BLOB-объектов на портале Azure.

PowerShell

Чтобы назначить роль Azure субъекту безопасности с помощью PowerShell, выполните команду New-AzRoleAssignment. Чтобы выполнить команду, необходимо иметь роль, содержащую разрешения Microsoft.Authorization/roleAssignments/write, назначенные вам в соответствующем область или более поздней версии.

Формат команды может меняться в зависимости от области назначения, но -ObjectId и -RoleDefinitionName являются обязательными параметрами. Передача значения для параметра -Scope, хотя и не является обязательной, настоятельно рекомендуется для сохранения принципа наименьших привилегий. Ограничивая роли и область, вы ограничиваете ресурсы, которые подвергаются риску, если субъект безопасности когда-либо скомпрометирован.

Параметр -ObjectId — это идентификатор объекта Microsoft Entra пользователя, группы или субъекта-службы, которому назначается роль. Чтобы получить идентификатор, можно использовать Get-AzADUser для фильтрации пользователей Microsoft Entra, как показано в следующем примере.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Первый ответ представляет субъект безопасности, а второй — идентификатор объекта субъекта безопасности.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

Значение параметра -RoleDefinitionName — это имя роли RBAC, которая должна быть назначена субъекту. Чтобы получить доступ к данным BLOB-объектов в портал Azure с учетными данными Microsoft Entra, пользователь должен иметь следующие назначения ролей:

• Роль доступа к данным, например Участник данных хранилища BLOB-объектов или Читатель данных хранилища BLOB-объектов
• Роль Читатель в Azure Resource Manager

Чтобы назначить роль, область действия которой ограничивается контейнером BLOB-объектов или учетной записью хранения, необходимо указать строку, содержащую область действия ресурса для параметра -Scope. Это действие соответствует принципу наименьших привилегий — концепции информационной безопасности, в соответствии с которым пользователю предоставляется минимальный уровень доступа, необходимый для выполнения его функций. Такая методика снижает риск случайного или намеренного ущерба, к которому могут привести лишние привилегии.

Область для контейнера имеет следующий формат:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Область для учетной записи хранения имеет следующий формат:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Чтобы назначить роль, область действия которой ограничивается учетной записью хранения, укажите строку, содержащую область контейнера для параметра --scope.

В следующем примере пользователю назначается роль участника данных BLOB-объектов служба хранилища. Назначение роли область на уровень контейнера. Обязательно замените примеры значений и заполнителей в скобках (<>) собственными значениями:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

В следующем примере пользователю назначается роль Читатель данных хранилища BLOB-объектов путем указания идентификатора объекта. Назначение роли область уровня учетной записи хранения. Обязательно замените примеры значений и заполнителей в скобках (<>) собственными значениями:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Выходные данные должны быть аналогичны приведенным ниже:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Сведения о назначении ролей с помощью PowerShell в области подписки или группы ресурсов см. в статье Назначение ролей Azure с использованием Azure PowerShell.

Azure CLI

Чтобы назначить роль Azure субъекту безопасности с помощью Azure CLI, выполните команду az role assignment create. Формат команды может зависеть от области назначения. Чтобы выполнить команду, необходимо иметь роль, содержащую разрешения Microsoft.Authorization/roleAssignments/write, назначенные вам в соответствующем область или более поздней версии.

Чтобы назначить роль, область действия которой ограничивается контейнером, укажите строку, содержащую область контейнера для параметра --scope. Область для контейнера имеет следующий формат:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

В следующем примере пользователю назначается роль участника данных BLOB-объектов служба хранилища. Назначение роли область на уровень контейнера. Обязательно замените примеры значений и заполнителей в скобках (<>) собственными значениями:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

В следующем примере пользователю назначается роль Читатель данных хранилища BLOB-объектов путем указания идентификатора объекта. Дополнительные сведения о назначении --assignee-object-id ролей и --assignee-principal-type параметрах см. в статье az role assignment. В этом примере назначение роли область на уровень учетной записи хранения. Обязательно замените примеры значений и заполнителей в скобках (<>) собственными значениями:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Сведения о назначении ролей с помощью Azure CLI в подписке, группе ресурсов или учетной записи хранения область см. в статье "Назначение ролей Azure с помощью Azure CLI".

Шаблон

Сведения об использовании шаблона Azure Resource Manager для назначения роли Azure см. в статье Назначение ролей Azure с помощью шаблонов Azure Resource Manager.

Учитывайте следующие аспекты назначения ролей Azure в службе хранилища Azure:

• При создании учетной записи служба хранилища Azure разрешения на доступ к данным с помощью идентификатора Microsoft Entra не назначаются автоматически. Для службы хранилища Azure вы должны назначить себе роль Azure явным образом. Вы можете назначить ее на уровне подписки, группы ресурсов, учетной записи хранения, контейнера.
• При назначении ролей или удалении назначений ролей может потребоваться до 10 минут, чтобы изменения вступили в силу.
• Если учетная запись хранения заблокирована с помощью блокировки только для чтения Azure Resource Manager, нельзя назначить роли Azure, у которых в качестве области действия выступает учетная запись хранения или контейнер.
• Если вы устанавливаете соответствующие разрешения на доступ к данным с помощью идентификатора Microsoft Entra и не сможете получить доступ к данным, например вы получаете ошибку AuthorizationPermissionMismatch. Обязательно предоставьте достаточно времени для изменений разрешений, внесенных в идентификатор Microsoft Entra, чтобы реплика te, и убедитесь, что у вас нет каких-либо запретных назначений, которые блокируют доступ, см. раздел "Общие сведения о назначении запретов Azure".

Примечание.

Вы можете создать настраиваемые роли Azure RBAC для детализированного управления доступом к данным BLOB-объектов. Дополнительные сведения см. в статье Настраиваемые роли Azure.

Следующие шаги

• Что такое управление доступом на основе ролей в Azure (RBAC)?
• Рекомендации по Azure RBAC