Назначение роли Azure для получения доступа к данным очереди
Microsoft Entra разрешает доступ к защищенным ресурсам с помощью управления доступом на основе ролей Azure (Azure RBAC). Служба хранилища Azure определяет набор встроенных ролей Azure, охватывающих общие наборы разрешений, используемых для доступа к данным таблиц в службе хранилища Azure.
Когда роль Azure назначается субъекту безопасности Microsoft Entra, Azure предоставляет доступ к этим ресурсам для этого субъекта безопасности. Субъект безопасности Microsoft Entra может быть пользователем, группой, субъектом-службой приложений или управляемым удостоверением для ресурсов Azure.
Дополнительные сведения об использовании идентификатора Microsoft Entra для авторизации доступа к данным таблицы см. в статье "Авторизация доступа к таблицам с помощью идентификатора Microsoft Entra".
Назначение роли Azure
Вы можете использовать PowerShell, Azure CLI или шаблон Azure Resource Manager, чтобы назначить роль для доступа к данным.
Важно!
В настоящее время портал Azure не поддерживает назначение роли RBAC Azure, областью которой является таблица. Чтобы назначить роль с областью действия таблицы, используйте PowerShell, Azure CLI или Azure Resource Manager.
Вы можете использовать портал Azure, чтобы назначить роль, которая предоставляет доступ к данным таблицы ресурсу Azure Resource Manager, например учетной записи хранения, группе ресурсов или подписке.
Чтобы назначить роль Azure субъекту безопасности, выполните команду New-AzRoleAssignment. Формат команды может зависеть от области назначения. Чтобы выполнить команду, требуется роль, которая имеет разрешения Microsoft.Authorization/roleAssignments/Write, назначенные вам в соответствующей области, или более высокий уровень разрешений.
Чтобы назначить роль, область действия которой ограничивается таблицей, укажите строку, содержащую область таблицы для параметра --scope. Область для таблицы имеет следующий формат:
/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>
В следующем примере пользователю назначается роль участника для данных таблиц хранилища с областью действия, ограниченной таблицей. Замените примеры значений и значения заполнителей в скобках своими собственными значениями:
New-AzRoleAssignment -SignInName <email> `
-RoleDefinitionName "Storage Table Data Contributor" `
-Scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"
Сведения о назначении ролей с помощью PowerShell в области подписки, группы ресурсов или учетной записи хранения см. в статье Назначение ролей Azure с использованием Azure PowerShell.
Учитывайте следующие аспекты назначения ролей Azure в службе хранилища Azure:
- При создании учетной записи служба хранилища Azure разрешения на доступ к данным с помощью идентификатора Microsoft Entra не назначаются автоматически. Для службы хранилища Azure вы должны назначить себе роль Azure явным образом. Вы можете назначить ее на уровне подписки, группы ресурсов, учетной записи хранения или таблицы.
- Если учетная запись хранения заблокирована с помощью блокировки только для чтения Azure Resource Manager, нельзя назначить роли Azure, у которых в качестве области действия выступает учетная запись хранения или таблица.