Přiřazení role Azure pro přístup k datům fronty
Microsoft Entra autorizuje přístupová práva k zabezpečeným prostředkům prostřednictvím řízení přístupu na základě role v Azure (Azure RBAC). Azure Storage definuje sadu předdefinovaných rolí Azure, které zahrnují běžné sady oprávnění používaných pro přístup k datům fronty.
Když je role Azure přiřazená k objektu zabezpečení Microsoft Entra, Azure udělí přístup k těmto prostředkům pro tento objekt zabezpečení. Objekt zabezpečení Microsoft Entra může být uživatel, skupina, instanční objekt aplikace nebo spravovaná identita pro prostředky Azure.
Další informace o použití Microsoft Entra ID k autorizaci přístupu k datům fronty najdete v tématu Autorizace přístupu k frontám pomocí Microsoft Entra ID.
Poznámka:
Tento článek ukazuje, jak přiřadit roli Azure pro přístup k datům fronty v účtu úložiště. Další informace o přiřazování rolí pro operace správy ve službě Azure Storage najdete v tématu Použití poskytovatele prostředků Azure Storage pro přístup k prostředkům správy.
Přiřazení role Azure
K přiřazení role pro přístup k datům můžete použít Azure Portal, PowerShell, Azure CLI nebo šablonu Azure Resource Manageru.
Pokud chcete získat přístup k datům fronty na webu Azure Portal pomocí přihlašovacích údajů Microsoft Entra, musí mít uživatel následující přiřazení rolí:
- Role přístupu k datům, například Přispěvatel dat ve frontě služby Storage
- Role Čtenář Azure Resource Manageru
Pokud chcete zjistit, jak přiřadit tyto role uživateli, postupujte podle pokynů uvedených v tématu Přiřazení rolí Azure pomocí webu Azure Portal.
Role Čtenář je role Azure Resource Manageru, která umožňuje uživatelům zobrazovat prostředky účtu úložiště, ale ne je upravovat. Neposkytuje oprávnění ke čtení dat ve službě Azure Storage, ale pouze k prostředkům pro správu účtů. Role Čtenář je nezbytná, aby uživatelé mohli přejít do front a zpráv na webu Azure Portal.
Pokud například přiřadíte roli Přispěvatel dat fronty úložiště uživateli Mary na úrovni fronty s názvem sample-queue, mary se udělí oprávnění ke čtení, zápisu a odstranění přístupu k této frontě. Pokud ale Mary chce zobrazit frontu na webu Azure Portal, role Přispěvatel dat fronty služby Storage sama o sobě neposkytuje dostatečná oprávnění k procházení portálu do fronty, aby ji bylo možné zobrazit. Další oprávnění jsou nutná k procházení portálu a zobrazení dalších prostředků, které jsou tam viditelné.
Uživateli musí být přiřazena role Čtenář pro použití webu Azure Portal s přihlašovacími údaji Microsoft Entra. Pokud je ale uživateli přiřazena role s oprávněními Microsoft.Storage/storageAccounts/listKeys/action , může uživatel používat portál s klíči účtu úložiště prostřednictvím autorizace sdíleného klíče. Pokud chcete použít klíče účtu úložiště, musí být pro účet úložiště povolený přístup ke sdíleným klíčům. Další informace o povolení nebo zakázání přístupu ke sdílenému klíči najdete v tématu Zabránění autorizaci sdíleného klíče pro účet služby Azure Storage.
Můžete také přiřadit roli Azure Resource Manageru, která poskytuje další oprávnění nad rámec role Čtenář . Doporučeným postupem zabezpečení je přiřazení nejnižších možných oprávnění. Další informace najdete v tématu Osvědčené postupy pro Azure RBAC.
Poznámka:
Před přiřazením role pro přístup k datům budete mít přístup k datům v účtu úložiště prostřednictvím webu Azure Portal, protože azure Portal může pro přístup k datům použít také klíč účtu. Další informace najdete v tématu Volba způsobu autorizace přístupu k datům fronty na webu Azure Portal.
Mějte na paměti následující body týkající se přiřazení rolí Azure ve službě Azure Storage:
- Při vytváření účtu Azure Storage nemáte automaticky přiřazená oprávnění pro přístup k datům přes Microsoft Entra ID. Musíte explicitně přiřadit roli Azure pro Azure Storage. Můžete ho přiřadit na úrovni předplatného, skupiny prostředků, účtu úložiště nebo fronty.
- Když přiřadíte role nebo odeberete přiřazení rolí, může trvat až 10 minut, než se změny projeví.
- Předdefinované role s akcemi dat je možné přiřadit v oboru skupiny pro správu. Ve výjimečných scénářích ale může docházet k významnému zpoždění (až 12 hodin) před tím, než jsou oprávnění k akcím dat platná pro určité typy prostředků. Oprávnění se nakonec použijí. U předdefinovaných rolí s akcemi dat se přidávání nebo odebírání přiřazení rolí v oboru skupiny pro správu nedoporučuje pro scénáře, kdy je vyžadována včasná aktivace nebo odvolání oprávnění, jako je Například Microsoft Entra Privileged Identity Management (PIM).
- Pokud je účet úložiště uzamčen zámkem Azure Resource Manageru jen pro čtení, zámek zabrání přiřazení rolí Azure, které jsou vymezeny na účet úložiště nebo frontu.