Přiřazení role Azure pro přístup k tabulkovým datům
Microsoft Entra autorizuje přístupová práva k zabezpečeným prostředkům prostřednictvím řízení přístupu na základě role v Azure (Azure RBAC). Azure Storage definuje sadu předdefinovaných rolí Azure, které zahrnují běžné sady oprávnění používaných pro přístup k datům tabulek ve službě Azure Storage.
Když je role Azure přiřazená k objektu zabezpečení Microsoft Entra, Azure udělí přístup k těmto prostředkům pro tento objekt zabezpečení. Objekt zabezpečení Microsoft Entra může být uživatel, skupina, instanční objekt aplikace nebo spravovaná identita pro prostředky Azure.
Další informace o použití Microsoft Entra ID k autorizaci přístupu k datům tabulky najdete v tématu Autorizace přístupu k tabulkám pomocí Microsoft Entra ID.
Přiřazení role Azure
K přiřazení role pro přístup k datům můžete použít PowerShell, Azure CLI nebo šablonu Azure Resource Manageru.
Důležité
Azure Portal v současné době nepodporuje přiřazování role Azure RBAC, která je vymezená na tabulku. Pokud chcete přiřadit roli s oborem tabulky, použijte PowerShell, Azure CLI nebo Azure Resource Manager.
Pomocí webu Azure Portal můžete přiřadit roli, která uděluje přístup k tabulkovým datům k prostředku Azure Resource Manageru, jako je účet úložiště, skupina prostředků nebo předplatné.
Pokud chcete přiřadit roli Azure k objektu zabezpečení, zavolejte příkaz New-AzRoleAssignment . Formát příkazu se může lišit v závislosti na rozsahu přiřazení. Abyste mohli příkaz spustit, musíte mít roli, která zahrnuje oprávnění Microsoft.Authorization/roleAssignments/write přiřazená v odpovídajícím oboru nebo výše.
Pokud chcete přiřadit roli s vymezenou tabulkou, zadejte řetězec obsahující obor tabulky pro --scope parametr. Obor tabulky je ve formuláři:
/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>
Následující příklad přiřadí roli Přispěvatel dat tabulky úložiště uživateli s vymezeným oborem tabulky. Nezapomeňte nahradit ukázkové hodnoty a zástupné hodnoty v závorkách vlastními hodnotami:
New-AzRoleAssignment -SignInName <email> `
-RoleDefinitionName "Storage Table Data Contributor" `
-Scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"
Informace o přiřazování rolí pomocí PowerShellu v oboru předplatného, skupiny prostředků nebo účtu úložiště najdete v tématu Přiřazení rolí Azure pomocí Azure PowerShellu.
Mějte na paměti následující body týkající se přiřazení rolí Azure ve službě Azure Storage:
- Při vytváření účtu Azure Storage nemáte automaticky přiřazená oprávnění pro přístup k datům přes Microsoft Entra ID. Musíte explicitně přiřadit roli Azure pro Azure Storage. Můžete ho přiřadit na úrovni předplatného, skupiny prostředků, účtu úložiště nebo tabulky.
- Když přiřadíte role nebo odeberete přiřazení rolí, může trvat až 10 minut, než se změny projeví.
- Předdefinované role s akcemi dat je možné přiřadit v oboru skupiny pro správu. Ve výjimečných scénářích ale může docházet k významnému zpoždění (až 12 hodin) před tím, než jsou oprávnění k akcím dat platná pro určité typy prostředků. Oprávnění se nakonec použijí. U předdefinovaných rolí s akcemi dat se přidávání nebo odebírání přiřazení rolí v oboru skupiny pro správu nedoporučuje pro scénáře, kdy je vyžadována včasná aktivace nebo odvolání oprávnění, jako je Například Microsoft Entra Privileged Identity Management (PIM).
- Pokud je účet úložiště uzamčen zámkem Azure Resource Manageru jen pro čtení, zámek zabrání přiřazení rolí Azure, které jsou vymezeny na účet úložiště nebo tabulku.