Blob verilerine erişmek için Azure rolü atama
Microsoft Entra, Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla güvenli kaynaklara erişim haklarını yetkiler. Azure Depolama, blob verilerine erişmek için kullanılan ortak izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar.
Microsoft Entra güvenlik sorumlusuna bir Azure rolü atandığında, Azure bu güvenlik sorumlusu için bu kaynaklara erişim verir. Microsoft Entra güvenlik sorumlusu bir kullanıcı, grup, uygulama hizmet sorumlusu veya Azure kaynakları için yönetilen kimlik olabilir.
Blob verilerine erişimi yetkilendirmek için Microsoft Entra Id kullanma hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra Id kullanarak bloblara erişimi yetkilendirme.
Not
Bu makalede, depolama hesabındaki blob verilerine erişim için azure rolü atama adımları gösterilmektedir. Azure Depolama'da yönetim işlemlerine rol atama hakkında bilgi edinmek için bkz. Yönetim kaynaklarına erişmek için Azure Depolama kaynak sağlayıcısını kullanma.
Azure rolü atama
Veri erişimi için bir rol atamak için Azure portalı, PowerShell, Azure CLI veya Azure Resource Manager şablonunu kullanabilirsiniz.
Azure portalında Blob verilerine Microsoft Entra kimlik bilgileriyle erişmek için kullanıcının aşağıdaki rol atamalarına sahip olması gerekir:
- Depolama Blob Veri Okuyucusu veya Depolama Blob Veri Katkıda Bulunanı gibi bir veri erişim rolü
- Azure Resource Manager Okuyucusu rolü, en azından
Bu rolleri bir kullanıcıya nasıl atayacağınızı öğrenmek için Azure portalını kullanarak Azure rolleri atama başlığında sağlanan yönergeleri izleyin.
Okuyucu rolü, kullanıcıların depolama hesabı kaynaklarını görüntülemesine izin veren ancak değiştirmelerine izin veren bir Azure Resource Manager rolüdür. Azure Depolama'daki verilere okuma izinleri sağlamaz, yalnızca hesap yönetimi kaynaklarına yöneliktir. Kullanıcıların Azure portalında blob kapsayıcılarına gidebilmesi için Okuyucu rolü gereklidir.
Örneğin, Depolama Blob Veri Katkıda Bulunanı rolünü kullanıcı Mary'ye sample-container adlı bir kapsayıcı düzeyinde atarsanız, Mary'ye bu kapsayıcıdaki tüm bloblara okuma, yazma ve silme erişimi verilir. Ancak Mary, Azure portalında bir blobu görüntülemek istiyorsa, blobu görüntülemek için portalda bloba gitmek için Depolama Blob Veri Katkıda Bulunanı rolü yeterli izinleri sağlamaz. Portalda gezinmek ve orada görünen diğer kaynakları görüntülemek için ek izinler gereklidir.
Kullanıcıya Azure portalını Microsoft Entra kimlik bilgileriyle kullanabilmesi için Okuyucu rolü atanmalıdır. Ancak, kullanıcıya Microsoft.Depolama ile bir rol atanmışsa/storageAccounts/listKeys/action izinleri, kullanıcı Paylaşılan Anahtar yetkilendirmesi aracılığıyla depolama hesabı anahtarlarıyla portalı kullanabilir. Depolama hesabı anahtarlarını kullanmak için, depolama hesabı için Paylaşılan Anahtar erişimine izin verilmelidir. Paylaşılan Anahtar erişimine izin verme veya erişimi reddetme hakkında daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.
Okuyucu rolünün ötesinde ek izinler sağlayan bir Azure Resource Manager rolü de atayabilirsiniz. Mümkün olan en düşük izinleri atamak, en iyi güvenlik uygulaması olarak önerilir. Daha fazla bilgi için bkz. Azure RBAC için en iyi deneyimler.
Not
Kendinize veri erişimi için bir rol atamadan önce, Azure portalı veri erişimi için hesap anahtarını da kullanabileceğinden, depolama hesabınızdaki verilere Azure portalı üzerinden erişebilirsiniz. Daha fazla bilgi için bkz . Azure portalında blob verilerine erişimi yetkilendirmeyi seçme.
Azure Depolama Azure rol atamaları hakkında aşağıdaki noktaları aklınızda bulundurun:
- Bir Azure Depolama hesabı oluşturduğunuzda, Microsoft Entra Kimliği aracılığıyla verilere erişim izinleri otomatik olarak atanmazsınız. Azure Depolama için kendinize açıkça bir Azure rolü atamanız gerekir. Bunu aboneliğiniz, kaynak grubunuz, depolama hesabınız veya kapsayıcınız düzeyinde atayabilirsiniz.
- Rolleri atadığınızda veya rol atamalarını kaldırdığınızda değişikliklerin geçerlilik kazanması 10 dakika kadar sürebilir.
- Depolama hesabı bir Azure Resource Manager salt okunur kilidiyle kilitlenmişse, kilit depolama hesabı veya kapsayıcı kapsamına alınmış Azure rollerinin atanmasını engeller.
- Microsoft Entra Kimliği aracılığıyla verilere erişmek için uygun izin verme izinlerini ayarlarsanız ve verilere erişemezseniz, örneğin bir "AuthorizationPermissionMismatch" hatası alıyorsunuz demektir. Microsoft Entra Id'de yaptığınız izin değişikliklerinin çoğaltılması için yeterli zaman ayırdığınızdan ve erişiminizi engelleyen reddetme atamalarınızın olmadığından emin olun, bkz . Azure reddetme atamalarını anlama.
Not
Blob verilerine ayrıntılı erişim için özel Azure RBAC rolleri oluşturabilirsiniz. Daha fazla bilgi için bkz . Azure özel rolleri.