Blob verilerine erişmek için Azure rolü atama

Microsoft Entra, Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla güvenli kaynaklara erişim haklarını yetkiler. Azure Depolama, blob verilerine erişmek için kullanılan ortak izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar.

Microsoft Entra güvenlik sorumlusuna bir Azure rolü atandığında, Azure bu güvenlik sorumlusu için bu kaynaklara erişim verir. Microsoft Entra güvenlik sorumlusu bir kullanıcı, grup, uygulama hizmet sorumlusu veya Azure kaynakları için yönetilen kimlik olabilir.

Blob verilerine erişimi yetkilendirmek için Microsoft Entra Id kullanma hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra Id kullanarak bloblara erişimi yetkilendirme.

Not

Bu makalede, depolama hesabındaki blob verilerine erişim için azure rolü atama adımları gösterilmektedir. Azure Depolama'da yönetim işlemlerine rol atama hakkında bilgi edinmek için bkz. Yönetim kaynaklarına erişmek için Azure Depolama kaynak sağlayıcısını kullanma.

Azure rolü atama

Veri erişimi için bir rol atamak için Azure portalı, PowerShell, Azure CLI veya Azure Resource Manager şablonunu kullanabilirsiniz.

Azure portalı

Azure portalında Blob verilerine Microsoft Entra kimlik bilgileriyle erişmek için kullanıcının aşağıdaki rol atamalarına sahip olması gerekir:

• Depolama Blob Veri Okuyucusu veya Depolama Blob Veri Katkıda Bulunanı gibi bir veri erişim rolü
• Azure Resource Manager Okuyucusu rolü, en azından

Bu rolleri bir kullanıcıya nasıl atayacağınızı öğrenmek için Azure portalını kullanarak Azure rolleri atama başlığında sağlanan yönergeleri izleyin.

Okuyucu rolü, kullanıcıların depolama hesabı kaynaklarını görüntülemesine izin veren ancak değiştirmelerine izin veren bir Azure Resource Manager rolüdür. Azure Depolama'daki verilere okuma izinleri sağlamaz, yalnızca hesap yönetimi kaynaklarına yöneliktir. Kullanıcıların Azure portalında blob kapsayıcılarına gidebilmesi için Okuyucu rolü gereklidir.

Örneğin, Depolama Blob Veri Katkıda Bulunanı rolünü kullanıcı Mary'ye sample-container adlı bir kapsayıcı düzeyinde atarsanız, Mary'ye bu kapsayıcıdaki tüm bloblara okuma, yazma ve silme erişimi verilir. Ancak Mary, Azure portalında bir blobu görüntülemek istiyorsa, blobu görüntülemek için portalda bloba gitmek için Depolama Blob Veri Katkıda Bulunanı rolü yeterli izinleri sağlamaz. Portalda gezinmek ve orada görünen diğer kaynakları görüntülemek için ek izinler gereklidir.

Kullanıcıya Azure portalını Microsoft Entra kimlik bilgileriyle kullanabilmesi için Okuyucu rolü atanmalıdır. Ancak, kullanıcıya Microsoft.Depolama ile bir rol atanmışsa/storageAccounts/listKeys/action izinleri, kullanıcı Paylaşılan Anahtar yetkilendirmesi aracılığıyla depolama hesabı anahtarlarıyla portalı kullanabilir. Depolama hesabı anahtarlarını kullanmak için, depolama hesabı için Paylaşılan Anahtar erişimine izin verilmelidir. Paylaşılan Anahtar erişimine izin verme veya erişimi reddetme hakkında daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.

Okuyucu rolünün ötesinde ek izinler sağlayan bir Azure Resource Manager rolü de atayabilirsiniz. Mümkün olan en düşük izinleri atamak, en iyi güvenlik uygulaması olarak önerilir. Daha fazla bilgi için bkz. Azure RBAC için en iyi deneyimler.

Not

Kendinize veri erişimi için bir rol atamadan önce, Azure portalı veri erişimi için hesap anahtarını da kullanabileceğinden, depolama hesabınızdaki verilere Azure portalı üzerinden erişebilirsiniz. Daha fazla bilgi için bkz . Azure portalında blob verilerine erişimi yetkilendirmeyi seçme.

PowerShell

PowerShell ile bir güvenlik sorumlusuna Azure rolü atamak için New-AzRoleAssignment komutunu çağırın. Komutu çalıştırmak için, ilgili kapsamda veya daha üst bir kapsamda size atanmış Microsoft.Authorization/roleAssignments/write izinlerini içeren bir rolünüz olmalıdır.

Komutun biçimi atamanın kapsamına göre farklılık gösterebilir, ancak -ObjectId ve -RoleDefinitionName gerekli parametrelerdir. Parametre için -Scope gerekli olmasa da bir değer geçirmenin en az ayrıcalık ilkesini koruması kesinlikle önerilir. Rolleri ve kapsamları sınırlayarak, güvenlik sorumlusunun gizliliği ihlal edilirse risk altındaki kaynakları sınırlandırmış olursunuz.

-ObjectId parametresi, rolün atandığı kullanıcı, grup veya hizmet sorumlusunun Microsoft Entra nesne kimliğidir. Tanımlayıcıyı almak için Get-AzADUser kullanarak aşağıdaki örnekte gösterildiği gibi Microsoft Entra kullanıcılarını filtreleyebilirsiniz.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

İlk yanıt güvenlik sorumlusunu, ikinci yanıt ise güvenlik sorumlusunun nesne kimliğini döndürür.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : ab12cd34-ef56-ab12-cd34-ef56ab12cd34
Type              : 

ab12cd34-ef56-ab12-cd34-ef56ab12cd34

-RoleDefinitionName Parametre değeri, sorumluya atanması gereken RBAC rolünün adıdır. Azure portalında Blob verilerine Microsoft Entra kimlik bilgileriyle erişmek için kullanıcının aşağıdaki rol atamalarına sahip olması gerekir:

• Depolama Blob Veri Katkıda Bulunanı veya Depolama Blob Veri Okuyucusu gibi bir veri erişim rolü
• Azure Resource Manager Okuyucusu rolü

Kapsamı blob kapsayıcısına veya depolama hesabına belirlenmiş bir rol atamak için, parametresi için -Scope kaynağın kapsamını içeren bir dize belirtmeniz gerekir. Bu eylem, kullanıcıya iş işlevlerini gerçekleştirmek için gereken en düşük erişim düzeyinin verildiği bilgi güvenliği kavramı olan en az ayrıcalık ilkesine uygundur. Bu uygulama, gereksiz ayrıcalıkların ortaya çıkarabileceği olası yanlışlıkla veya kasıtlı hasar riskini azaltır.

Kapsayıcının kapsamı şu biçimdedir:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Depolama hesabının kapsamı şu biçimdedir:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Kapsamı depolama hesabına belirlenmiş bir rol atamak için, parametresi için --scope kapsayıcının kapsamını içeren bir dize belirtin.

Aşağıdaki örnek, Depolama Blob Veri Katkıda Bulunanı rolünü kullanıcıya atar. Rol atamasının kapsamı kapsayıcının düzeyine göre belirlenir. Örnek değerleri ve köşeli ayraç içindeki yer tutucu değerlerini (<>) kendi değerlerinizle değiştirdiğinden emin olun:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Aşağıdaki örnek, nesne kimliğini belirterek Depolama Blob Veri Okuyucusu rolünü kullanıcıya atar. Rol atamasının kapsamı depolama hesabının düzeyine göre belirlenir. Örnek değerleri ve köşeli ayraç içindeki yer tutucu değerlerini (<>) kendi değerlerinizle değiştirdiğinden emin olun:

New-AzRoleAssignment -ObjectID "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Çıkışınızın aşağıdakine benzer olması gerekir:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Abonelik veya kaynak grubu kapsamında PowerShell ile rol atama hakkında bilgi için bkz . Azure PowerShell kullanarak Azure rolleri atama.

Azure CLI

Azure CLI ile bir güvenlik sorumlusuna Azure rolü atamak için az role assignment create komutunu kullanın. Komutun biçimi atamanın kapsamına göre farklılık gösterebilir. Komutu çalıştırmak için, ilgili kapsamda veya daha üst bir kapsamda size atanmış Microsoft.Authorization/roleAssignments/write izinlerini içeren bir rolünüz olmalıdır.

Kapsamı kapsayıcıya belirlenmiş bir rol atamak için --scope , parametresi için kapsayıcının kapsamını içeren bir dize belirtin. Kapsayıcının kapsamı şu biçimdedir:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Aşağıdaki örnek, Depolama Blob Veri Katkıda Bulunanı rolünü kullanıcıya atar. Rol atamasının kapsamı kapsayıcı düzeyine göre belirlenir. Örnek değerleri ve köşeli ayraç içindeki yer tutucu değerlerini (<>) kendi değerlerinizle değiştirdiğinden emin olun:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Aşağıdaki örnek, nesne kimliğini belirterek Depolama Blob Veri Okuyucusu rolünü kullanıcıya atar. ve parametreleri hakkında --assignee-object-id daha fazla bilgi edinmek için bkz. az role assignment.--assignee-principal-type Bu örnekte rol atamasının kapsamı depolama hesabının düzeyine göre belirlenmiştir. Örnek değerleri ve köşeli ayraç içindeki yer tutucu değerlerini (<>) kendi değerlerinizle değiştirdiğinden emin olun:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "ab12cd34-ef56-ab12-cd34-ef56ab12cd34" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Abonelik, kaynak grubu veya depolama hesabı kapsamında Azure CLI ile rol atama hakkında bilgi için bkz . Azure CLI kullanarak Azure rolleri atama.

Şablon

Azure rolü atamak için Azure Resource Manager şablonunu kullanmayı öğrenmek için bkz . Azure Resource Manager şablonlarını kullanarak Azure rolleri atama.

Azure Depolama Azure rol atamaları hakkında aşağıdaki noktaları aklınızda bulundurun:

• Bir Azure Depolama hesabı oluşturduğunuzda, Microsoft Entra Kimliği aracılığıyla verilere erişim izinleri otomatik olarak atanmazsınız. Azure Depolama için kendinize açıkça bir Azure rolü atamanız gerekir. Bunu aboneliğiniz, kaynak grubunuz, depolama hesabınız veya kapsayıcınız düzeyinde atayabilirsiniz.
• Rolleri atadığınızda veya rol atamalarını kaldırdığınızda değişikliklerin geçerlilik kazanması 10 dakika kadar sürebilir.
• Depolama hesabı bir Azure Resource Manager salt okunur kilidiyle kilitlenmişse, kilit depolama hesabı veya kapsayıcı kapsamına alınmış Azure rollerinin atanmasını engeller.
• Microsoft Entra Kimliği aracılığıyla verilere erişmek için uygun izin verme izinlerini ayarlarsanız ve verilere erişemezseniz, örneğin bir "AuthorizationPermissionMismatch" hatası alıyorsunuz demektir. Microsoft Entra Id'de yaptığınız izin değişikliklerinin çoğaltılması için yeterli zaman ayırdığınızdan ve erişiminizi engelleyen reddetme atamalarınızın olmadığından emin olun, bkz . Azure reddetme atamalarını anlama.

Not

Blob verilerine ayrıntılı erişim için özel Azure RBAC rolleri oluşturabilirsiniz. Daha fazla bilgi için bkz . Azure özel rolleri.

Sonraki adımlar

• Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?
• Azure RBAC için en iyi yöntemler