共用方式為


指派 Azure 角色以存取 blob 資料

Microsoft Entra 會透過 Azure 角色型存取控制 (Azure RBAC) 來授與存取受保護資源的權限。 Azure 儲存體會定義一組 Azure 內建的角色,其中包含一般用來存取 Blob 資料的權限集合。

將 Azure 角色指派給 Microsoft Entra 安全性主體時,Azure 會將那些資源的存取權授與該安全性主體。 Microsoft Entra 安全性主體可以是使用者、群組或應用程式服務主體,或是適用於 Azure 資源的受控識別

若要深入了解如何使用 Microsoft Entra 來授權存取 Blob 資料,請參閱 使用 Microsoft Entra 授權存取 Blob

注意

本文說明如何指派 Azure 角色,以存取儲存體帳戶中的 Blob 資料。 若要瞭解如何在 Azure 儲存體中指派管理作業的角色,請參閱使用 Azure 儲存體資源提供者存取管理資源

指派 Azure 角色

您可以使用 Azure 入口網站、PowerShell、Azure CLI 或 Azure Resource Manager 範本指派資料存取的角色。

若要使用 Microsoft Entra 認證存取 Azure 入口網站中的 Blob 資料,使用者必須擁有下列角色指派:

  • 資料存取角色,例如儲存體 Blob 資料讀取者儲存體 Blob 資料參與者
  • 至少需要 Azure Resource Manager 的讀取者角色

若要瞭解如何將這些角色指派給使用者,請遵循使用 Azure 入口網站指派 Azure 角色中提供的指示。

讀者角色是一種 Azure Resource Manager 角色,允許使用者檢視儲存體帳戶資源,但無權修改。 此角色不會提供 Azure 儲存體中資料的讀取權限,而只會提供帳戶管理資源的讀取權限。 使用者需要具備讀取者角色,才能瀏覽至 Azure 入口網站中的 blob 容器。

例如,如果您在名為 sample-container 的容器層級將儲存體 Blob 資料參與者角色指派給使用者 Mary,則 Mary 會被授與該容器中所有 Blob 的讀取、寫入和刪除權限。 但是,如果 Mary 想要檢視 Azure 入口網站中的 Blob,則儲存體 Blob 資料參與者角色本身將不會提供可透過入口網站瀏覽至 Blob 以進行檢視的足夠權限。 瀏覽入口網站並檢視該處顯示的其他資源需要額外的權限。

使用者必須獲派 讀者 角色,才能透過 Microsoft Entra 認證使用 Azure 入口網站。 不過,如果使用者已獲派具有 Microsoft.Storage/storageAccounts/listKeys/action 權限的角色,則可以透過共用金鑰授權,搭配儲存體帳戶金鑰使用入口網站。 若要使用儲存體帳戶金鑰,則必須允許儲存體帳戶存取共用金鑰。 如需允許或不允許共用金鑰存取的詳細資訊,請參閱防止 Azure 儲存體帳戶使用共用金鑰授權

您也可以指派 Azure Resource Manager 角色,提供超出 讀者 角色的額外權限。 建議的安全性最佳做法是指派最低可能權限。 如需詳細資訊,請參閱 Azure RBAC 的最佳做法

注意

在為自己指派資料存取的角色之前,您將能夠透過 Azure 入口網站存取您儲存體帳戶中的資料,因為 Azure 入口網站也可以使用帳戶金鑰來進行資料存取。 如需詳細資訊,請參閱選擇如何在 Azure 入口網站中授權存取 Blob 資料

請注意下列有關 Azure 儲存體中 Azure 角色指派的重點:

  • 當您建立 Azure 儲存體帳戶時,並不會透過 Microsoft Entra ID 自動獲派存取資料的權限。 您必須明確地將 Azure 儲存體的 Azure 角色指派給自己。 您可以在您的訂用帳戶、資源群組、儲存體帳戶或容器的層級指派它。
  • 當您指派角色或移除角色指派時,最多可能需要 10 分鐘的時間,變更才會生效。
  • 具有數據動作的內建角色可以在管理群組 範圍指派。 不過,在罕見的情況下,數據動作許可權對於特定資源類型而言可能會有顯著的延遲(最多 12 小時)。 許可權最終會套用。 對於具有數據動作的內建角色,不建議在管理群組範圍中新增或移除角色指派,例如需要Microsoft Entra Privileged Identity Management (PIM) 等及時許可權啟用或撤銷的情況。
  • 如果儲存體帳戶使用 Azure Resource Manager 唯讀鎖定,則鎖定會防止指派範圍限定為儲存體帳戶或容器的 Azure 角色。
  • 如果您已透過 Microsoft Entra ID 設定適當的允許權限以存取資料,但無法存取資料,例如您收到「AuthorizationPermissionMismatch」錯誤。 請務必允許足夠的時間讓系統處理您在 Microsoft Entra ID 中所做的權限變更,並確定您沒有任何封鎖存取的拒絕指派,請參閱 瞭解 Azure 拒絕指派

注意

您可以建立自訂 Azure RBAC 角色,以提供對 Blob 資料的細微存取權。 如需詳細資訊,請參閱 Azure 自訂角色

下一步