Tilldela en Azure-roll för åtkomst till blobdata

Artikel
2024-11-09

Microsoft Entra auktoriserar åtkomsträttigheter till skyddade resurser via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Azure Storage definierar en uppsättning inbyggda Azure-roller som omfattar vanliga uppsättningar med behörigheter som används för åtkomst till blobdata.

När en Azure-roll tilldelas ett Microsoft Entra-säkerhetsobjekt ger Azure åtkomst till dessa resurser för det säkerhetsobjektet. Ett Microsoft Entra-säkerhetsobjekt kan vara en användare, en grupp, ett huvudnamn för programtjänsten eller en hanterad identitet för Azure-resurser.

Mer information om hur du använder Microsoft Entra-ID för att auktorisera åtkomst till blobdata finns i Auktorisera åtkomst till blobar med hjälp av Microsoft Entra-ID.

Anteckning

Den här artikeln visar hur du tilldelar en Azure-roll för åtkomst till blobdata i ett lagringskonto. Mer information om hur du tilldelar roller för hanteringsåtgärder i Azure Storage finns i Använda Azure Storage-resursprovidern för att få åtkomst till hanteringsresurser.

Tilldela en Azure-roll

Du kan använda Azure Portal, PowerShell, Azure CLI eller en Azure Resource Manager-mall för att tilldela en roll för dataåtkomst.

För att få åtkomst till blobdata i Azure Portal med Microsoft Entra-autentiseringsuppgifter måste en användare ha följande rolltilldelningar:

En dataåtkomstroll, till exempel Storage Blob Data Reader eller Storage Blob Data Contributor
Azure Resource Manager-läsarrollen, som minst

Om du vill lära dig hur du tilldelar dessa roller till en användare följer du anvisningarna i Tilldela Azure-roller med hjälp av Azure Portal.

Rollen Läsare är en Azure Resource Manager-roll som gör det möjligt för användare att visa lagringskontoresurser, men inte ändra dem. Den ger inte läsbehörighet till data i Azure Storage, utan endast till kontohanteringsresurser. Rollen Läsare är nödvändig så att användarna kan navigera till blobcontainrar i Azure Portal.

Om du till exempel tilldelar rollen Storage Blob Data Contributor till användaren Mary på nivån för en container med namnet sample-container beviljas Mary läs-, skriv- och borttagningsåtkomst till alla blobbar i containern. Men om Mary vill visa en blob i Azure Portal ger rollen Storage Blob Data Contributor inte tillräcklig behörighet för att navigera genom portalen till bloben för att visa den. De ytterligare behörigheterna krävs för att navigera via portalen och visa de andra resurserna som visas där.

En användare måste tilldelas rollen Läsare för att kunna använda Azure Portal med Microsoft Entra-autentiseringsuppgifter. Men om en användare tilldelas en roll med Behörigheter för Microsoft.Storage/storageAccounts/listKeys/action kan användaren använda portalen med lagringskontonycklarna via auktorisering av delad nyckel. Om du vill använda lagringskontonycklarna måste åtkomst med delad nyckel tillåtas för lagringskontot. Mer information om hur du tillåter eller inte tillåter åtkomst till delad nyckel finns i Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.

Du kan också tilldela en Azure Resource Manager-roll som ger ytterligare behörigheter utöver rollen Läsare . Att tilldela de minsta möjliga behörigheterna rekommenderas som bästa praxis för säkerhet. Mer information finns i artikeln om metodtips för Azure RBAC.

Anteckning

Innan du tilldelar dig själv en roll för dataåtkomst kan du komma åt data i ditt lagringskonto via Azure Portal eftersom Azure Portal också kan använda kontonyckeln för dataåtkomst. Mer information finns i Välj hur du auktoriserar åtkomst till blobdata i Azure Portal.

Om du vill tilldela en Azure-roll till ett säkerhetsobjekt med PowerShell anropar du kommandot New-AzRoleAssignment . För att kunna köra kommandot måste du ha en roll som innehåller Microsoft.Authorization/roleAssignments/write-behörigheter som tilldelats dig i motsvarande omfång eller högre.

Kommandots format kan variera beroende på tilldelningens omfattning, men parametrarna -ObjectId och -RoleDefinitionName är obligatoriska. Att skicka ett värde för parametern, även om det -Scope inte krävs, rekommenderas starkt att behålla principen om minsta behörighet. Genom att begränsa roller och omfång begränsar du de resurser som är i riskzonen om säkerhetsobjektet någonsin komprometteras.

Parametern -ObjectId är Microsoft Entra-objekt-ID för användaren, gruppen eller tjänstens huvudnamn som rollen tilldelas till. Om du vill hämta identifieraren kan du använda Get-AzADUser för att filtrera Microsoft Entra-användare, som du ser i följande exempel.

Azure PowerShell

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Det första svaret returnerar säkerhetsobjektet och det andra returnerar säkerhetsobjektets objekt-ID.

Response

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Type              : 

aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb

Parametervärdet -RoleDefinitionName är namnet på den RBAC-roll som måste tilldelas till huvudkontot. För att få åtkomst till blobdata i Azure Portal med Microsoft Entra-autentiseringsuppgifter måste en användare ha följande rolltilldelningar:

En dataåtkomstroll, till exempel Storage Blob Data Contributor eller Storage Blob Data Reader
Rollen Azure Resource Manager-läsare

Om du vill tilldela en roll som är begränsad till en blobcontainer eller ett lagringskonto bör du ange en sträng som innehåller resursens omfång för parametern -Scope . Den här åtgärden överensstämmer med principen om minsta behörighet, ett begrepp för informationssäkerhet där en användare får den lägsta åtkomstnivå som krävs för att utföra sina jobbfunktioner. Den här metoden minskar risken för oavsiktlig eller avsiktlig skada som onödiga privilegier kan medföra.

Omfånget för en container är i formuläret :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Omfånget för ett lagringskonto är i formuläret :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Om du vill tilldela en roll som är begränsad till ett lagringskonto anger du en sträng som innehåller containerns omfång för parametern --scope .

I följande exempel tilldelas rollen Storage Blob Data Contributor till en användare. Rolltilldelningen är begränsad till containernivån. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser (<>) med dina egna värden:

PowerShell

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

I följande exempel tilldelas rollen Storage Blob Data Reader till en användare genom att ange objekt-ID: t. Rolltilldelningen är begränsad till lagringskontots nivå. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser (<>) med dina egna värden:

PowerShell

New-AzRoleAssignment -ObjectID "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Ditt resultat bör likna följande:

Response

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Information om hur du tilldelar roller med PowerShell i prenumerations- eller resursgruppsomfånget finns i Tilldela Azure-roller med Hjälp av Azure PowerShell.

Om du vill tilldela en Azure-roll till ett säkerhetsobjekt med Azure CLI använder du kommandot az role assignment create . Formatet för kommandot kan variera beroende på tilldelningens omfattning. För att kunna köra kommandot måste du ha en roll som innehåller Microsoft.Authorization/roleAssignments/write-behörigheter som tilldelats dig i motsvarande omfång eller högre.

Om du vill tilldela en roll som är begränsad till en container anger du en sträng som innehåller containerns omfång för parametern --scope . Omfånget för en container är i formuläret :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Azure CLI

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

I följande exempel tilldelas rollen Storage Blob Data Reader till en användare genom att ange objekt-ID: t. Mer information om parametrarna --assignee-object-id och --assignee-principal-type finns i az role assignment (az role assignment). I det här exemplet är rolltilldelningen begränsad till lagringskontots nivå. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser (<>) med dina egna värden:

Azure CLI

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Information om hur du tilldelar roller med Azure CLI i omfånget prenumeration, resursgrupp eller lagringskonto finns i Tilldela Azure-roller med Azure CLI.

Tänk på följande punkter om Azure-rolltilldelningar i Azure Storage:

När du skapar ett Azure Storage-konto tilldelas du inte automatiskt behörighet att komma åt data via Microsoft Entra-ID. Du måste uttryckligen tilldela dig själv en Azure-roll för Azure Storage. Du kan tilldela den på nivån för din prenumeration, resursgrupp, lagringskonto eller container.
När du tilldelar roller eller tar bort rolltilldelningar kan det ta upp till 10 minuter innan ändringarna börjar gälla.
Inbyggda roller med dataåtgärder kan tilldelas i hanteringsgruppens omfång. I sällsynta scenarier kan det dock uppstå en betydande fördröjning (upp till 12 timmar) innan dataåtgärdsbehörigheter gäller för vissa resurstyper. Behörigheter kommer så småningom att tillämpas. För inbyggda roller med dataåtgärder rekommenderas inte tillägg eller borttagning av rolltilldelningar i hanteringsgruppens omfång för scenarier där aktivering eller återkallande av behörigheter i tid, till exempel Microsoft Entra Privileged Identity Management (PIM), krävs.
Om lagringskontot är låst med ett skrivskyddat Azure Resource Manager-lås förhindrar låset tilldelningen av Azure-roller som är begränsade till lagringskontot eller en container.
Om du anger lämpliga behörigheter för åtkomst till data via Microsoft Entra-ID och inte kan komma åt data, till exempel får du felet "AuthorizationPermissionMismatch". Se till att ge tillräckligt med tid för att de behörighetsändringar som du har gjort i Microsoft Entra-ID:t ska replikeras och se till att du inte har några nekandetilldelningar som blockerar din åtkomst, se Förstå Azure-neka tilldelningar.

Anteckning

Du kan skapa anpassade Azure RBAC-roller för detaljerad åtkomst till blobdata. Mer information finns i Anpassade Azure-roller.

Nästa steg

Ytterligare resurser

Dokumentation

Auktorisera åtkomst till blobdata i Azure Portal - Azure Storage

När du kommer åt blobdata med hjälp av Azure Portal skickar portalen begäranden till Azure Storage under täcket. Dessa begäranden till Azure Storage kan autentiseras och auktoriseras med antingen ditt Microsoft Entra-konto eller lagringskontots åtkomstnyckel.
Auktorisera åtkomst till blobar med hjälp av Microsoft Entra-ID - Azure Storage

Auktorisera åtkomst till Azure-blobar med hjälp av Microsoft Entra-ID. Tilldela Azure-roller för åtkomsträttigheter. Få åtkomst till data med ett Microsoft Entra-konto.
Förhindra auktorisering med delad nyckel - Azure Storage

Om du vill kräva att klienter använder Microsoft Entra-ID för att auktorisera begäranden kan du inte tillåta begäranden till det lagringskonto som är auktoriserat med delad nyckel.
Hämta konfigurationsinformation för lagringskonto - Azure Storage

Använd Azure-portalen, PowerShell eller Azure CLI för att hämta konfigurationsegenskaper för lagringskonton, inklusive Resurs-ID för Azure Resource Manager, kontoplats, kontotyp eller replikerings-SKU.
Hantera kontots åtkomstnycklar - Azure Storage

Lär dig hur du visar, hanterar och roterar åtkomstnycklar för lagringskontot.
Använda Azure Storage-resursprovidern för att få åtkomst till hanteringsresurser

Azure Storage-resursprovidern är en tjänst som ger åtkomst till hanteringsresurser för Azure Storage. Du kan använda Azure Storage-resursprovidern för att skapa, uppdatera, hantera och ta bort resurser som lagringskonton, privata slutpunkter och kontoåtkomstnycklar.
Auktorisera åtgärder för dataåtkomst - Azure Storage

Lär dig mer om de olika sätten att auktorisera åtkomst till data i Azure Storage. Azure Storage stöder auktorisering med Microsoft Entra-ID, auktorisering av delad nyckel eller signaturer för delad åtkomst (SAS) och stöder även anonym åtkomst till blobar.
Självstudie: Lägga till ett rolltilldelningsvillkor för att begränsa åtkomsten till blobar med hjälp av Azure CLI – Azure ABAC - Azure Storage

Lägg till ett rolltilldelningsvillkor för att begränsa åtkomsten till blobar med azure CLI och azure-attributbaserad åtkomstkontroll (Azure ABAC).

Utbildning

Modul

Implementera Access Manager för Azure-resurs - Training

Utforska hur du använder inbyggda Azure-roller, hanterade identiteter och RBAC-policy för att styra åtkomsten till Azure-resurser. Identitet är nyckeln till säkra lösningar.

Certifiering

Microsoft-certifierad: Identitets- och åtkomstadministratör Associate - Certifications

Demonstrera funktionerna i Microsoft Entra ID för att modernisera identitetslösningar, implementera hybridlösningar och implementera identitetsstyrning.

Händelser

FabCon Vegas

31 mars 23 - 2 apr. 23

Den största utbildningshändelsen för Infrastruktur, Power BI och SQL. 31 mars – 2 april. Använd koden FABINSIDER för att spara 400 USD.

Anmäl dig i dag

Dela via

Tilldela en Azure-roll för åtkomst till blobdata

Tilldela en Azure-roll

Nästa steg

Feedback

Ytterligare resurser