Tilldela en Azure-roll för åtkomst till tabelldata
Microsoft Entra auktoriserar åtkomsträttigheter till skyddade resurser via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Azure Storage definierar en uppsättning inbyggda Azure-roller som omfattar vanliga uppsättningar med behörigheter som används för att komma åt tabelldata i Azure Storage.
När en Azure-roll tilldelas ett Microsoft Entra-säkerhetsobjekt ger Azure åtkomst till dessa resurser för det säkerhetsobjektet. Ett Microsoft Entra-säkerhetsobjekt kan vara en användare, en grupp, ett huvudnamn för programtjänsten eller en hanterad identitet för Azure-resurser.
Mer information om hur du använder Microsoft Entra-ID för att auktorisera åtkomst till tabelldata finns i Auktorisera åtkomst till tabeller med Hjälp av Microsoft Entra-ID.
Tilldela en Azure-roll
Du kan använda PowerShell, Azure CLI eller en Azure Resource Manager-mall för att tilldela en roll för dataåtkomst.
Viktigt!
Azure-portalen stöder för närvarande inte tilldelning av en Azure RBAC-roll som är begränsad till tabellen. Om du vill tilldela en roll med tabellomfång använder du PowerShell, Azure CLI eller Azure Resource Manager.
Du kan använda Azure-portalen för att tilldela en roll som ger åtkomst till tabelldata till en Azure Resource Manager-resurs, till exempel lagringskontot, resursgruppen eller prenumerationen.
Om du vill tilldela en Azure-roll till ett säkerhetsobjekt anropar du kommandot New-AzRoleAssignment . Formatet för kommandot kan variera beroende på tilldelningens omfattning. För att kunna köra kommandot måste du ha en roll som innehåller Microsoft.Authorization/roleAssignments/write-behörigheter som tilldelats dig i motsvarande omfång eller ovan.
Om du vill tilldela en roll som är begränsad till en tabell anger du en sträng som innehåller tabellens omfång för parametern --scope . Omfånget för en tabell finns i formuläret:
/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>
I följande exempel tilldelas rollen Lagringstabelldatadeltagare till en användare som är begränsad till en tabell. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser med dina egna värden:
New-AzRoleAssignment -SignInName <email> `
-RoleDefinitionName "Storage Table Data Contributor" `
-Scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"
Information om hur du tilldelar roller med PowerShell i omfånget prenumeration, resursgrupp eller lagringskonto finns i Tilldela Azure-roller med Azure PowerShell.
Tänk på följande punkter om Azure-rolltilldelningar i Azure Storage:
- När du skapar ett Azure Storage-konto tilldelas du inte automatiskt behörighet att komma åt data via Microsoft Entra-ID. Du måste uttryckligen tilldela dig själv en Azure-roll för Azure Storage. Du kan tilldela den på prenumerationsnivå, resursgrupp, lagringskonto eller tabell.
- Om lagringskontot är låst med ett skrivskyddat Azure Resource Manager-lås förhindrar låset tilldelning av Azure-roller som är begränsade till lagringskontot eller en tabell.