Aracılığıyla paylaş


Blob verilerine erişmek için Azure rolü atama

Microsoft Entra, Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla güvenli kaynaklara erişim haklarını yetkiler. Azure Depolama, blob verilerine erişmek için kullanılan yaygın izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar.

Microsoft Entra güvenlik sorumlusuna bir Azure rolü atandığında, Azure bu güvenlik sorumlusu için bu kaynaklara erişim verir. Microsoft Entra güvenlik sorumlusu bir kullanıcı, grup, uygulama hizmet sorumlusu veya Azure kaynakları için yönetilen kimlik olabilir.

Blob verilerine erişimi yetkilendirmek için Microsoft Entra Id kullanma hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra Id kullanarak bloblara erişimi yetkilendirme.

Not

Bu makalede, depolama hesabındaki blob verilerine erişim için azure rolü atama adımları gösterilmektedir. Azure Depolama'da yönetim işlemlerine rol atama hakkında bilgi edinmek için bkz . Yönetim kaynaklarına erişmek için Azure Depolama kaynak sağlayıcısını kullanma.

Azure rolü atama

Veri erişimi için bir rol atamak için Azure portalı, PowerShell, Azure CLI veya Azure Resource Manager şablonunu kullanabilirsiniz.

Azure portalında Blob verilerine Microsoft Entra kimlik bilgileriyle erişmek için kullanıcının aşağıdaki rol atamalarına sahip olması gerekir:

  • Depolama Blobu Veri Okuyucusu veya Depolama Blob Verileri Katkıda Bulunanı gibi bir veri erişim rolü
  • Azure Resource Manager Okuyucusu rolü, en azından

Bu rolleri bir kullanıcıya nasıl atayacağınızı öğrenmek için Azure portalını kullanarak Azure rolleri atama başlığında sağlanan yönergeleri izleyin.

Okuyucu rolü, kullanıcıların depolama hesabı kaynaklarını görüntülemesine izin veren ancak değiştirmelerine izin veren bir Azure Resource Manager rolüdür. Azure Depolama'daki verilere okuma izinleri sağlamaz, yalnızca hesap yönetimi kaynaklarına yöneliktir. Kullanıcıların Azure portalında blob kapsayıcılarına gidebilmesi için Okuyucu rolü gereklidir.

Örneğin, Kullanıcı Mary'ye sample-container adlı bir kapsayıcı düzeyinde Depolama Blobu Veri Katkıda Bulunanı rolünü atarsanız, Mary'ye bu kapsayıcıdaki tüm bloblara okuma, yazma ve silme erişimi verilir. Ancak Mary, Azure portalında bir blobu görüntülemek isterse Depolama Blobu Veri Katkıda Bulunanı rolü portalda bloba gitmek için yeterli izinleri sağlamaz. Portalda gezinmek ve orada görünen diğer kaynakları görüntülemek için ek izinler gereklidir.

Kullanıcıya Azure portalını Microsoft Entra kimlik bilgileriyle kullanabilmesi için Okuyucu rolü atanmalıdır. Ancak, kullanıcıya Microsoft.Storage/storageAccounts/listKeys/action izinleri olan bir rol atanırsa, kullanıcı Paylaşılan Anahtar yetkilendirmesi aracılığıyla depolama hesabı anahtarlarıyla portalı kullanabilir. Depolama hesabı anahtarlarını kullanmak için, depolama hesabı için Paylaşılan Anahtar erişimine izin verilmelidir. Paylaşılan Anahtar erişimine izin verme veya erişimi reddetme hakkında daha fazla bilgi için bkz . Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.

Okuyucu rolünün ötesinde ek izinler sağlayan bir Azure Resource Manager rolü de atayabilirsiniz. Mümkün olan en düşük izinleri atamak, en iyi güvenlik uygulaması olarak önerilir. Daha fazla bilgi için bkz. Azure RBAC için en iyi deneyimler.

Not

Kendinize veri erişimi için bir rol atamadan önce, Azure portalı veri erişimi için hesap anahtarını da kullanabileceğinden, depolama hesabınızdaki verilere Azure portalı üzerinden erişebilirsiniz. Daha fazla bilgi için bkz . Azure portalında blob verilerine erişimi yetkilendirmeyi seçme.

Azure Depolama'daki Azure rol atamaları hakkında aşağıdaki noktaları göz önünde bulundurun:

  • Bir Azure Depolama hesabı oluşturduğunuzda, Microsoft Entra Kimliği aracılığıyla verilere erişme izinlerine otomatik olarak atanmazsınız. Azure Depolama için kendinize açıkça bir Azure rolü atamanız gerekir. Bunu aboneliğiniz, kaynak grubunuz, depolama hesabınız veya kapsayıcınız düzeyinde atayabilirsiniz.
  • Rolleri atadığınızda veya rol atamalarını kaldırdığınızda değişikliklerin geçerlilik kazanması 10 dakika kadar sürebilir.
  • Veri eylemleri içeren yerleşik roller, yönetim grubu kapsamında atanabilir. Ancak, nadir senaryolarda veri eylemi izinlerinin belirli kaynak türleri için etkili olması için önemli bir gecikme (12 saate kadar) olabilir. İzinler sonunda uygulanacaktır. Veri eylemleriyle yerleşik roller için, Microsoft Entra Privileged Identity Management (PIM) gibi zamanında izin etkinleştirme veya iptal işleminin gerekli olduğu senaryolarda yönetim grubu kapsamında rol atamaları eklenmesi veya kaldırılması önerilmez.
  • Depolama hesabı bir Azure Resource Manager salt okunur kilidiyle kilitlenmişse, kilit depolama hesabı veya kapsayıcı kapsamına alınmış Azure rollerinin atanmasını engeller.
  • Microsoft Entra Kimliği aracılığıyla verilere erişmek için uygun izin verme izinlerini ayarlarsanız ve verilere erişemezseniz, örneğin bir "AuthorizationPermissionMismatch" hatası alıyorsunuz demektir. Microsoft Entra Id'de yaptığınız izin değişikliklerinin çoğaltılması için yeterli zaman ayırdığınızdan ve erişiminizi engelleyen reddetme atamalarınızın olmadığından emin olun, bkz . Azure reddetme atamalarını anlama.

Not

Blob verilerine ayrıntılı erişim için özel Azure RBAC rolleri oluşturabilirsiniz. Daha fazla bilgi için bkz . Azure özel rolleri.

Sonraki adımlar