指派 Azure 角色以存取佇列資料
Microsoft Entra 會透過 Azure 角色型存取控制 (Azure RBAC) 來授與存取受保護資源的權限。 Azure 儲存體會定義一組 Azure 內建角色,其中包含一般用來存取佇列資料的權限集合。
將 Azure 角色指派給 Microsoft Entra 安全性主體時,Azure 會將那些資源的存取權授與該安全性主體。 Microsoft Entra 安全性主體可以是使用者、群組或應用程式服務主體,或是適用於 Azure 資源的受控識別。
若要深入了解如何使用 Microsoft Entra ID 來授權存取佇列資料,請參閱 使用 Microsoft Entra ID 授權存取佇列。
注意
本文說明如何指派 Azure 角色以存取儲存體帳戶中的佇列資料。 若要了解如何在 Azure 儲存體中指派管理作業的角色,請參閱使用 Azure 儲存體資源提供者存取管理資源。
指派 Azure 角色
您可以使用 Azure 入口網站、PowerShell、Azure CLI 或 Azure Resource Manager 範本指派資料存取的角色。
若要使用 Microsoft Entra 認證存取 Azure 入口網站中的佇列資料,使用者必須擁有下列角色指派:
- 資料存取角色,例如儲存體佇列資料參與者
- Azure Resource Manager 讀者角色
若要了解如何將這些角色指派給使用者,請遵循使用 Azure 入口網站指派 Azure 角色中提供的指示。
讀者角色是一種 Azure Resource Manager 角色,允許使用者檢視儲存體帳戶資源,但無權修改。 此角色不會提供 Azure 儲存體中資料的讀取權限,而只會提供帳戶管理資源的讀取權限。 使用者需要具備讀者角色,才能瀏覽至 Azure 入口網站中的佇列和訊息。
例如,如果您在名為 sample-queue 的佇列層級,將儲存體佇列資料參與者角色指派給 Mary,則 Mary 會被授與該佇列的讀取、寫入和刪除權限。 但是,如果 Mary 想要檢視 Azure 入口網站中的佇列,則儲存體佇列資料參與者角色本身不會提供可在入口網站中瀏覽至佇列以進行檢視的足夠權限。 瀏覽入口網站並檢視該處顯示的其他資源需要額外的權限。
使用者必須獲派 讀者 角色,才能透過 Microsoft Entra 認證使用 Azure 入口網站。 不過,如果使用者已獲派具有 Microsoft.Storage/storageAccounts/listKeys/action 權限的角色,則可以透過共用金鑰授權,利用儲存體帳戶金鑰使用入口網站。 若要使用儲存體帳戶金鑰,則必須允許儲存體帳戶存取共用金鑰。 如需允許或不允許共用金鑰存取的詳細資訊,請參閱防止 Azure 儲存體帳戶使用共用金鑰授權。
您也可以指派 Azure Resource Manager 角色,提供超出讀者角色的額外權限。 建議的安全性最佳做法是指派最低可能權限。 如需詳細資訊,請參閱 Azure RBAC 的最佳做法。
注意
在為自己指派資料存取的角色之前,您將能夠透過 Azure 入口網站存取您儲存體帳戶中的資料,因為 Azure 入口網站也可以使用帳戶金鑰來進行資料存取。 如需詳細資訊,請參閱選擇如何在 Azure 入口網站授權存取佇列資料。
請注意下列有關 Azure 儲存體中 Azure 角色指派的重點:
- 當您建立 Azure 儲存體帳戶時,不會自動向您指派透過 Microsoft Entra ID 存取資料的權限。 您必須明確地將 Azure 儲存體的 Azure 角色指派給自己。 您可以在訂用帳戶、資源群組、儲存體帳戶或佇列層級指派此角色。
- 當您指派角色或移除角色指派時,最多可能需要 10 分鐘的時間,變更才會生效。
- 具有數據動作的內建角色可以在管理群組 範圍指派。 不過,在罕見的情況下,數據動作許可權對於特定資源類型而言可能會有顯著的延遲(最多 12 小時)。 許可權最終會套用。 對於具有數據動作的內建角色,不建議在管理群組範圍中新增或移除角色指派,例如需要Microsoft Entra Privileged Identity Management (PIM) 等及時許可權啟用或撤銷的情況。
- 如果使用 Azure Resource Manager 唯讀鎖定來鎖住儲存體帳戶,則鎖定會防止範圍限定於儲存體帳戶或佇列的 Azure 角色指派。