Role Azure pro úlohy úložiště
Tento článek popisuje nejméně privilegované předdefinované role Azure nebo akce RBAC potřebné ke čtení, aktualizaci, odstranění a přiřazení úlohy úložiště.
Důležité
Akce služby Azure Storage jsou aktuálně ve verzi PREVIEW a jsou k dispozici v těchto oblastech. Právní podmínky, které platí pro funkce Azure, které jsou ve verzi beta, verzi Preview nebo které zatím nejsou veřejně dostupné, najdete v Dodatečných podmínkách použití pro Microsoft Azure verze Preview.
Oprávnění ke čtení, úpravám nebo odstranění úkolu
Roli musíte přiřadit všem objektům zabezpečení ve vaší organizaci, které potřebují přístup k úloze úložiště. Informace o přiřazování role Azure najdete v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
Pokud chcete uživatelům nebo aplikacím udělit přístup k úloze úložiště, zvolte předdefinované nebo vlastní role Azure s oprávněním potřebným k úpravě úlohy čtení nebo úprav. Pokud raději používáte vlastní roli, ujistěte se, že vaše role obsahuje akce RBAC potřebné ke čtení nebo úpravě úlohy. Jako vodítko použijte následující tabulku.
| Úroveň oprávnění | Předdefinovaná role Azure | Akce RBAC pro vlastní role |
|---|---|---|
| Výpis a čtení úloh úložiště | Contributor |
Microsoft.StorageActions/storageTasks/read |
| Vytváření a aktualizace úloh úložiště | Contributor |
Microsoft.StorageActions/storageTasks/write |
| Odstranění úloh úložiště | Contributor |
Microsoft.StorageActions/storageTasks/delete |
Oprávnění k přiřazení úkolu
Přiřazení úkolu identifikuje účet úložiště a podmnožinu objektů v daném účtu, na které bude úkol úložiště cílit. Přiřazení také definuje, kdy se úloha spustí a kde jsou uloženy sestavy provádění. Podrobné pokyny najdete v tématu Vytvoření a správa přiřazení úlohy úložiště.
Pokud chcete vytvořit přiřazení, musí být vaší identitě přiřazena vlastní role, která obsahuje následující akce RBAC:
Akce
Microsoft.Authorization/roleAssignments/write.Všechny akce RBAC, které jsou k dispozici v
Microsoft.Storage/StorageAccountssadě akcí RBAC.
Informace o tom, jak vytvořit vlastní roli, najdete v tématu Vlastní role Azure.
Oprávnění pro úlohu k provádění operací
Při vytváření přiřazení musíte zvolit předdefinovanou nebo vlastní roli Azure, která má oprávnění potřebná k provedení zadaných operací s cílovým účtem úložiště nebo kontejnerem účtu úložiště. Můžete zvolit jenom role, které jsou přiřazené k vaší identitě uživatele. Pokud dáváte přednost použití vlastní role, musíte se ujistit, že vaše role obsahuje akce RBAC potřebné k provedení operací.
Následující tabulka ukazuje nejméně privilegovanou privilegovanou předdefinovanou roli Azure a také akce RBAC vyžadované jednotlivými operacemi.
| Oprávnění | Předdefinovaná role | Akce RBAC pro vlastní roli |
|---|---|---|
| SetBlobTier | Vlastník dat v objektech blob služby Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobExpiry | Vlastník dat v objektech blob služby Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobTags | Vlastník dat v objektech blob služby Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobImmutabilityPolicy | Vlastník dat v objektech blob služby Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| SetBlobLegalHold | Vlastník dat v objektech blob služby Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| DeleteBlob | Vlastník dat v objektech blob služby Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| UndeleteBlob | Vlastník dat v objektech blob služby Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |