指派 Azure 角色以存取 blob 資料

Microsoft Entra 會透過 Azure 角色型存取控制 (Azure RBAC) 授權保護資源的訪問許可權。 Azure 儲存體 定義一組 Azure 內建角色,其中包含一組用來存取 Blob 數據的共同許可權。

將 Azure 角色指派給 Microsoft Entra 安全性主體時,Azure 會授與該安全性主體這些資源的存取權。 Microsoft Entra 安全性主體可以是使用者、群組、應用程式服務主體或 Azure 資源的受控識別。

若要深入瞭解如何使用 Microsoft Entra ID 來授權 Blob 數據的存取權,請參閱 使用 Microsoft Entra ID 授權 Blob 的存取權。

注意

本文說明如何指派 Azure 角色,以存取記憶體帳戶中的 Blob 數據。 若要瞭解如何在 Azure 儲存體 中指派管理作業的角色,請參閱使用 Azure 儲存體 資源提供者存取管理資源

指派 Azure 角色

您可以使用 Azure 入口網站、PowerShell、Azure CLI 或 Azure Resource Manager 範本來指派角色以進行數據存取。

若要使用 Microsoft Entra 認證存取 Azure 入口網站 中的 Blob 數據,用戶必須具有下列角色指派:

  • 數據存取角色,例如 儲存體 Blob 數據讀取器儲存體 Blob 數據參與者
  • Azure Resource Manager 讀者 角色,至少

若要瞭解如何將這些角色指派給使用者,請遵循使用 Azure 入口網站 指派 Azure 角色中提供的指示。

讀者角色是 Azure Resource Manager 角色,可讓用戶檢視記憶體帳戶資源,但無法加以修改。 它不會提供 Azure 儲存體 數據的讀取許可權,但只會提供帳戶管理資源。 「讀取者」角色是必要的,讓使用者可以巡覽至 Azure 入口網站 中的 Blob 容器。

例如,如果您在名為sample-container的容器層級將 儲存體 Blob 資料參與者角色指派給使用者Mary,則Mary會獲得該容器中所有 Blob 的讀取、寫入和刪除存取權。 不過,如果Mary想要在Azure 入口網站中檢視 Blob,則 儲存體 Blob 資料參與者角色本身將無法提供足夠的許可權來巡覽至 Blob,以便檢視 Blob。 需要額外的許可權,才能流覽入口網站,並檢視該處可見的其他資源。

用戶必須獲指派讀者角色,才能搭配 Microsoft Entra 認證使用 Azure 入口網站。 不過,如果使用者已獲指派 Microsoft.儲存體 角色/storageAccounts/listKeys/action 許可權,然後用戶可透過共用密鑰授權,搭配記憶體帳戶密鑰使用入口網站。 若要使用記憶體帳戶密鑰,記憶體帳戶必須允許共用密鑰存取。 如需允許或不允許共用密鑰存取的詳細資訊,請參閱防止 Azure 儲存體 帳戶的共用密鑰授權。

您也可以指派 Azure Resource Manager 角色,以提供讀取者角色以外的其他許可權。 建議將最小可能的許可權指派為安全性最佳做法。 如需詳細資訊,請參閱 Azure RBAC 的最佳做法

注意

在為自己指派數據存取角色之前,您將能夠透過 Azure 入口網站 存取記憶體帳戶中的數據,因為 Azure 入口網站 也可以使用帳戶密鑰進行數據存取。 如需詳細資訊,請參閱選擇如何授權存取 Azure 入口網站 中的 Blob 數據。

請記住下列有關 Azure 儲存體 中 Azure 角色指派的幾點:

  • 當您建立 Azure 儲存體 帳戶時,不會自動獲指派許可權,以透過 Microsoft Entra ID 存取數據。 您必須明確地將 Azure 角色指派給 Azure 儲存體。 您可以在您的訂用帳戶、資源群組、儲存體帳戶或容器的層級指派它。
  • 如果記憶體帳戶以 Azure Resource Manager 只讀鎖定鎖定,鎖定會防止將範圍設定為記憶體帳戶或容器的 Azure 角色指派。
  • 如果您設定適當的允許許可權,以透過 Microsoft Entra ID 存取數據,且無法存取數據,例如您收到「AuthorizationPermissionMismatch」錯誤。 請務必有足夠的時間讓您在 Microsoft Entra ID 中所做的許可權變更進行複寫,並確定您沒有任何封鎖存取權的拒絕指派,請參閱瞭解 Azure 拒絕指派。

注意

您可以建立自定義 Azure RBAC 角色,以細微存取 Blob 數據。 如需詳細資訊,請參閱 Azure 自定義角色

下一步