Microsoft Entra Id kullanarak tablolara erişimi yetkilendirme
Azure Depolama, tablo verilerine yönelik istekleri yetkilendirmek için Microsoft Entra Id kullanılmasını destekler. Microsoft Entra Id ile Azure rol tabanlı erişim denetimini (Azure RBAC) kullanarak bir kullanıcı, grup veya uygulama hizmet sorumlusu olabilecek bir güvenlik sorumlusuna izinler verilmektedir. OAuth 2.0 belirtecini döndürmek için güvenlik sorumlusunun kimliği Microsoft Entra Id tarafından doğrulanır. Bundan sonra belirteç, Tablo hizmetine karşı bir isteği yetkilendirmek için kullanılabilir.
Microsoft Entra ID ile Azure Depolama istekleri yetkilendirmek, Paylaşılan Anahtar yetkilendirmesi üzerinden üstün güvenlik ve kullanım kolaylığı sağlar. Microsoft, gerekli en düşük ayrıcalıklarla erişimi güvenceye almak için mümkün olduğunda tablo uygulamalarınızla Microsoft Entra yetkilendirmesini kullanmanızı önerir.
Microsoft Entra Id ile yetkilendirme, tüm genel bölgelerde ve ulusal bulutlarda genel amaçlı olarak kullanılabilir. Yalnızca Azure Resource Manager dağıtım modeliyle oluşturulan depolama hesapları Microsoft Entra yetkilendirmesini destekler.
Tablolar için Microsoft Entra Id'ye genel bakış
Bir güvenlik sorumlusu (kullanıcı, grup veya uygulama) bir tablo kaynağına erişmeye çalıştığında, istek yetkilendirilmelidir. Microsoft Entra Id ile kaynağa erişim iki adımlı bir işlemdir. İlk olarak, güvenlik sorumlusunun kimliği doğrulanır ve bir OAuth 2.0 belirteci döndürülür. Ardından, belirteç Tablo hizmetine bir isteğin parçası olarak geçirilir ve hizmet tarafından belirtilen kaynağa erişimi yetkilendirmek için kullanılır.
Kimlik doğrulama adımı, bir uygulamanın çalışma zamanında OAuth 2.0 erişim belirteci istemesini gerektirir. Bir uygulama Azure VM, sanal makine ölçek kümesi veya Azure İşlevleri uygulaması gibi bir Azure varlığından çalışıyorsa, tablolara erişmek için yönetilen kimlik kullanabilir.
Yetkilendirme adımı için güvenlik sorumlusuna bir veya daha fazla Azure rolü atanmalıdır. Azure Depolama, tablo verileri için ortak izin kümelerini kapsayan Azure rolleri sağlar. Güvenlik sorumlusuna atanan roller, sorumlunun sahip olacağı izinleri belirler. Tablo erişimi için Azure rolleri atama hakkında daha fazla bilgi edinmek için bkz . Tablo verilerine erişim için Azure rolü atama.
Aşağıdaki tablo, çeşitli senaryolarda verilere erişim yetkisi vermek için ek bilgilere işaret eder:
Erişim hakları için Azure rolleri atama
Microsoft Entra, Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla güvenli kaynaklara erişim haklarını yetkiler. Azure Depolama, tablo verilerine erişmek için kullanılan ortak izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar. Tablo verilerine erişim için özel roller de tanımlayabilirsiniz.
Microsoft Entra güvenlik sorumlusuna bir Azure rolü atandığında, Azure bu güvenlik sorumlusu için bu kaynaklara erişim verir. Microsoft Entra güvenlik sorumlusu bir kullanıcı, grup, uygulama hizmet sorumlusu veya Azure kaynakları için yönetilen kimlik olabilir.
Kaynak kapsamı
Azure RBAC rolünü bir güvenlik sorumlusuna atamadan önce, güvenlik sorumlusunun sahip olması gereken erişim kapsamını belirleyin. En iyi yöntemler, yalnızca mümkün olan en dar kapsamı vermenin her zaman en iyi yöntem olduğunu belirler. Daha geniş bir kapsamda tanımlanan Azure RBAC rolleri, altındaki kaynaklar tarafından devralınır.
Azure tablo kaynaklarına erişimi en dar kapsamdan başlayarak aşağıdaki düzeylerde kapsam olarak ayarlayabilirsiniz:
- Tek bir tablo. Bu kapsamda, bir rol ataması belirtilen tabloya uygulanır.
- Depolama hesabı. Bu kapsamda, bir rol ataması hesaptaki tüm tablolara uygulanır.
- Kaynak grubu. Bu kapsamda, rol ataması kaynak grubundaki tüm depolama hesaplarındaki tüm tablolara uygulanır.
- Abonelik. Bu kapsamda, bir rol ataması abonelikteki tüm kaynak gruplarındaki tüm depolama hesaplarındaki tüm tablolara uygulanır.
- Bir yönetim grubu. Bu kapsamda, bir rol ataması, yönetim grubundaki tüm aboneliklerdeki tüm kaynak gruplarındaki tüm depolama hesaplarındaki tüm tablolara uygulanır.
Azure RBAC rol atamalarının kapsamı hakkında daha fazla bilgi için bkz . Azure RBAC kapsamını anlama.
Tablolar için Azure yerleşik rolleri
Azure RBAC, Microsoft Entra Id ve OAuth kullanarak tablo verilerine erişim yetkisi vermek için yerleşik roller sağlar. Azure Depolama tablolarına izinler sağlayan yerleşik roller şunlardır:
- Depolama Tablo Verileri Katkıda Bulunanı: Tablo depolama kaynaklarına okuma/yazma/silme izinleri vermek için kullanın.
- Depolama Tablo Veri Okuyucusu: Tablo depolama kaynaklarına salt okunur izinler vermek için kullanın.
Güvenlik sorumlusuna Azure yerleşik rolünü atamayı öğrenmek için bkz . Tablo verilerine erişim için Azure rolü atama. Azure RBAC rollerini ve izinlerini listelemeyi öğrenmek için bkz . Azure rol tanımlarını listeleme.
Azure Depolama için yerleşik rollerin nasıl tanımlandığı hakkında daha fazla bilgi için bkz. Rol tanımlarını anlama. Azure özel rolleri oluşturma hakkında bilgi için bkz . Azure özel rolleri.
Yalnızca veri erişimi için açıkça tanımlanan roller, güvenlik sorumlusunın tablo verilerine erişmesine izin verir. Sahip, Katkıda Bulunan ve Depolama Hesabı Katkıda Bulunanı gibi yerleşik roller, bir güvenlik sorumlusunun depolama hesabını yönetmesine izin verir, ancak Microsoft Entra Id aracılığıyla bu hesaptaki tablo verilerine erişim sağlamaz. Ancak, bir rol Microsoft.Depolama içeriyorsa /storageAccounts/listKeys/action, ardından bu rolün atandığı bir kullanıcı, hesap erişim anahtarlarıyla Paylaşılan Anahtar yetkilendirmesi yoluyla depolama hesabındaki verilere erişebilir.
Hem veri hizmetleri hem de yönetim hizmeti için Azure Depolama için Azure yerleşik rolleri hakkında ayrıntılı bilgi için Azure RBAC için Azure yerleşik rolleri bölümündeki Depolama bölümüne bakın. Ayrıca, Azure'da izin sağlayan farklı rol türleri hakkında bilgi için bkz . Azure rolleri, Microsoft Entra rolleri ve klasik abonelik yöneticisi rolleri.
Önemli
Azure rol atamalarının yayılması 30 dakika kadar sürebilir.
Veri işlemleri için erişim izinleri
Belirli Tablo hizmeti işlemlerini çağırmak için gereken izinler hakkında ayrıntılı bilgi için bkz . Veri işlemlerini çağırma izinleri.