Azure-roller för lagringsuppgifter
I den här artikeln beskrivs de minst privilegierade inbyggda Azure-rollerna eller RBAC-åtgärder som krävs för att läsa, uppdatera, ta bort och tilldela en lagringsuppgift.
Viktigt!
Azure Storage Actions är för närvarande i förhandsversion och är tillgängligt för dessa regioner. Juridiska villkor för Azure-funktioner i betaversion, förhandsversion eller som av någon annan anledning inte har gjorts allmänt tillgängliga ännu finns i kompletterande användningsvillkor för Microsoft Azure-förhandsversioner.
Behörighet att läsa, redigera eller ta bort en uppgift
Du måste tilldela en roll till alla säkerhetsobjekt i din organisation som behöver åtkomst till lagringsuppgiften. Information om hur du tilldelar en Azure-roll finns i Tilldela Azure-roller med hjälp av Azure-portalen.
Om du vill ge användare eller program åtkomst till lagringsuppgiften väljer du en inbyggd Eller anpassad Azure-roll som har den behörighet som krävs för att redigera läs- eller redigeringsuppgiften. Om du föredrar att använda en anpassad roll kontrollerar du att din roll innehåller de RBAC-åtgärder som krävs för att läsa eller redigera uppgiften. Använd följande tabell som en guide.
| Behörighetsnivå | Inbyggd Azure-roll | RBAC-åtgärder för anpassade roller |
|---|---|---|
| Lista och läsa lagringsuppgifter | Contributor |
Microsoft.StorageActions/storageTasks/read |
| Skapa och uppdatera lagringsuppgifter | Contributor |
Microsoft.StorageActions/storageTasks/write |
| Ta bort lagringsuppgifter | Contributor |
Microsoft.StorageActions/storageTasks/delete |
Behörighet att tilldela en uppgift
En uppgiftstilldelning identifierar ett lagringskonto och en delmängd av objekt i det kontot som lagringsaktiviteten ska rikta in sig på. En tilldelning definierar även när aktiviteten körs och var körningsrapporter lagras. Stegvisa anvisningar finns i Skapa och hantera en tilldelning av lagringsaktivitet.
Om du vill skapa en tilldelning måste din identitet tilldelas en anpassad roll som innehåller följande RBAC-åtgärder:
Åtgärden
Microsot.Authorization.roleAssignments/write.Alla RBAC-åtgärder som är tillgängliga i
Microsoft.Storage/StorageAccountsuppsättningen rbac-åtgärder.
Information om hur du skapar en anpassad roll finns i Anpassade Azure-roller.
Behörighet för en uppgift att utföra åtgärder
När du skapar en tilldelning måste du välja en inbyggd Eller anpassad Azure-roll som har den behörighet som krävs för att utföra de angivna åtgärderna på mållagringskontot eller lagringskontocontainern. Du kan bara välja roller som har tilldelats till din användaridentitet. Om du föredrar att använda en anpassad roll måste du se till att din roll innehåller de RBAC-åtgärder som krävs för att utföra åtgärderna.
I följande tabell visas den minst privilegierade inbyggda Azure-rollen samt de RBAC-åtgärder som krävs för varje åtgärd.
| Behörighet | Inbyggd roll | RBAC-åtgärder för en anpassad roll |
|---|---|---|
| SetBlobTier | Storage Blob Data-ägare | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobExpiry | Storage Blob Data-ägare | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobTags | Storage Blob Data-ägare | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobImmutabilityPolicy | Storage Blob Data-ägare | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| SetBlobLegalHold | Storage Blob Data-ägare | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| DeleteBlob | Storage Blob Data-ägare | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| Ta bortBlob | Storage Blob Data-ägare | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |