Přiřazení role Azure pro přístup k datům objektů blob
Microsoft Entra autorizuje přístupová práva k zabezpečeným prostředkům prostřednictvím řízení přístupu na základě role v Azure (Azure RBAC). Azure Storage definuje sadu předdefinovaných rolí Azure, které zahrnují běžné sady oprávnění používaných pro přístup k datům objektů blob.
Když je role Azure přiřazená k objektu zabezpečení Microsoft Entra, Azure udělí přístup k těmto prostředkům pro tento objekt zabezpečení. Objekt zabezpečení Microsoft Entra může být uživatel, skupina, instanční objekt aplikace nebo spravovaná identita pro prostředky Azure.
Další informace o použití Microsoft Entra ID k autorizaci přístupu k datům objektů blob najdete v tématu Autorizace přístupu k objektům blob pomocí Microsoft Entra ID.
Poznámka:
Tento článek ukazuje, jak přiřadit roli Azure pro přístup k datům objektů blob v účtu úložiště. Další informace o přiřazování rolí pro operace správy ve službě Azure Storage najdete v tématu Použití poskytovatele prostředků Azure Storage pro přístup k prostředkům správy.
Přiřazení role Azure
K přiřazení role pro přístup k datům můžete použít Azure Portal, PowerShell, Azure CLI nebo šablonu Azure Resource Manageru.
Pokud chcete získat přístup k datům objektů blob na webu Azure Portal pomocí přihlašovacích údajů Microsoft Entra, musí mít uživatel následující přiřazení rolí:
- Role přístupu k datům, například Čtenář dat objektů blob služby Storage nebo Přispěvatel dat objektů blob služby Storage
- Minimální role čtenáře Azure Resource Manageru
Pokud chcete zjistit, jak přiřadit tyto role uživateli, postupujte podle pokynů uvedených v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
Role Čtenář je role Azure Resource Manageru, která umožňuje uživatelům zobrazovat prostředky účtu úložiště, ale ne je upravovat. Neposkytuje oprávnění ke čtení dat ve službě Azure Storage, ale pouze k prostředkům pro správu účtů. Role Čtenář je nezbytná, aby uživatelé mohli přejít na kontejnery objektů blob na webu Azure Portal.
Pokud například přiřadíte roli Přispěvatel dat v objektu blob služby Storage uživateli Mary na úrovni kontejneru s názvem sample-container, mary se udělí oprávnění ke čtení, zápisu a odstranění přístupu ke všem objektům blob v tomto kontejneru. Pokud ale Mary chce zobrazit objekt blob na webu Azure Portal, role Přispěvatel dat objektů blob úložiště sama o sobě neposkytuje dostatečná oprávnění k procházení portálu k objektu blob, aby ho bylo možné zobrazit. Další oprávnění jsou nutná k procházení portálu a zobrazení dalších prostředků, které jsou tam viditelné.
Uživateli musí být přiřazena role Čtenář pro použití webu Azure Portal s přihlašovacími údaji Microsoft Entra. Pokud je ale uživateli přiřazena role s oprávněními Microsoft.Storage/storageAccounts/listKeys/action , může uživatel používat portál s klíči účtu úložiště prostřednictvím autorizace sdíleného klíče. Pokud chcete použít klíče účtu úložiště, musí být pro účet úložiště povolený přístup ke sdíleným klíčům. Další informace o povolení nebo zakázání přístupu ke sdílenému klíči najdete v tématu Zabránění autorizaci sdíleného klíče pro účet služby Azure Storage.
Můžete také přiřadit roli Azure Resource Manageru, která poskytuje další oprávnění nad rámec role Čtenář . Doporučeným postupem zabezpečení je přiřazení nejnižších možných oprávnění. Další informace najdete v tématu Osvědčené postupy pro Azure RBAC.
Poznámka:
Před přiřazením role pro přístup k datům budete mít přístup k datům v účtu úložiště prostřednictvím webu Azure Portal, protože azure Portal může pro přístup k datům použít také klíč účtu. Další informace najdete v tématu Volba způsobu autorizace přístupu k datům objektů blob na webu Azure Portal.
Mějte na paměti následující body týkající se přiřazení rolí Azure ve službě Azure Storage:
- Při vytváření účtu Azure Storage nemáte automaticky přiřazená oprávnění pro přístup k datům prostřednictvím ID Microsoft Entra. Musíte explicitně přiřadit roli Azure pro Azure Storage. Můžete ho přiřadit na úrovni předplatného, skupiny prostředků, účtu úložiště nebo kontejneru.
- Když přiřadíte role nebo odeberete přiřazení rolí, může trvat až 10 minut, než se změny projeví.
- Předdefinované role s akcemi dat je možné přiřadit v oboru skupiny pro správu. Ve výjimečných scénářích ale může docházet k významnému zpoždění (až 12 hodin) před tím, než jsou oprávnění k akcím dat platná pro určité typy prostředků. Oprávnění se nakonec použijí. U předdefinovaných rolí s akcemi dat se přidávání nebo odebírání přiřazení rolí v oboru skupiny pro správu nedoporučuje pro scénáře, kdy je vyžadována včasná aktivace nebo odvolání oprávnění, jako je Například Microsoft Entra Privileged Identity Management (PIM).
- Pokud je účet úložiště uzamčen zámkem Azure Resource Manageru jen pro čtení, zámek zabrání přiřazení rolí Azure, které jsou vymezeny na účet úložiště nebo kontejner.
- Pokud nastavíte příslušná oprávnění povolit přístup k datům prostřednictvím ID Microsoft Entra a nemůžete k datům získat přístup, například se zobrazuje chyba AuthorizationPermissionMismatch. Nezapomeňte povolit dostatek času na změny oprávnění, které jste provedli v MICROSOFT Entra ID k replikaci, a ujistěte se, že nemáte žádná přiřazení zamítnutí, která blokují váš přístup, viz Vysvětlení přiřazení zamítnutí Azure.
Poznámka:
Můžete vytvořit vlastní role Azure RBAC pro podrobný přístup k datům objektů blob. Další informace najdete v tématu Vlastní role Azure.