Partager via


Rôles Azure pour les tâches de stockage

Cet article décrit les rôles Azure intégrés de moindre privilège ou les actions RBAC nécessaires pour lire, mettre à jour, supprimer et attribuer une tâche de stockage.

Important

Azure Storage Actions est actuellement en PRÉVERSION et est disponible dans ces régions. Pour connaître les conditions juridiques qui s’appliquent aux fonctionnalités Azure en version bêta, en préversion ou plus généralement non encore en disponibilité générale, consultez l’Avenant aux conditions d’utilisation des préversions de Microsoft Azure.

Autorisation de lecture, de modification ou de suppression d’une tâche

Vous devez attribuer un rôle à n’importe quel principal de sécurité de votre organisation qui a besoin d’accéder à la tâche de stockage. Pour savoir comment attribuer un rôle Azure, consultez Attribuer des rôles Azure dans le portail Azure.

Pour donner aux utilisateurs ou aux applications accès à la tâche de stockage, choisissez un rôle intégré ou personnalisé Azure qui a l’autorisation de modifier ou lire la tâche. Si vous préférez utiliser un rôle personnalisé, vérifiez que votre rôle contient les actions RBAC nécessaires pour lire ou modifier la tâche. Inspirez-vous du tableau suivant.

Niveau d’autorisation Rôle intégré Azure Actions RBAC pour les rôles personnalisés
Lister et lire des tâches de stockage Contributor Microsoft.StorageActions/storageTasks/read
Créer et mettre à jour des tâches de stockage Contributor Microsoft.StorageActions/storageTasks/write
Supprimer des tâches de stockage Contributor Microsoft.StorageActions/storageTasks/delete

Autorisation d’attribuer une tâche

Une attribution de tâche identifie un compte de stockage et un sous-ensemble d’objets dans le compte ciblé par la tâche de stockage. Une attribution définit également quand la tâche s’exécute et où les rapports d’exécution sont stockés. Pour obtenir des instructions pas à pas, consultez Créer et gérer une attribution de tâche de stockage.

Pour créer une attribution, votre identité doit recevoir un rôle personnalisé qui contient les actions RBAC suivantes :

  • L’action Microsoft.Authorization/roleAssignments/write.

  • Toutes les actions RBAC disponibles dans l’ensemble Microsoft.Storage/StorageAccounts de l’action RBAC.

Pour savoir comment créer un rôle personnalisé, consultez Rôles personnalisés Azure.

Autorisation pour une tâche d’effectuer des opérations

Quand vous créez une attribution, vous devez choisir un rôle intégré ou personnalisé Azure qui a l’autorisation d’effectuer les opérations spécifiées sur le compte de stockage ou le conteneur de compte de stockage cibles. Vous pouvez choisir uniquement les rôles attribués à votre identité d’utilisateur. Si vous préférez utiliser un rôle personnalisé, vérifiez que votre rôle contient les actions RBAC nécessaires pour effectuer les opérations.

Le tableau suivant montre le rôle Azure intégré de moindre privilège ainsi que les actions RBAC nécessaires pour chaque opération.

Autorisation Rôle intégré Actions RBAC pour un rôle personnalisé
SetBlobTier Propriétaire des données Blob du stockage Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobExpiry Propriétaire des données Blob du stockage Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobTags Propriétaire des données Blob du stockage Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobImmutabilityPolicy Propriétaire des données Blob du stockage Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
SetBlobLegalHold Propriétaire des données Blob du stockage Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
DeleteBlob Propriétaire des données Blob du stockage Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
UndeleteBlob Propriétaire des données Blob du stockage Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write

Voir aussi