Partager via


Attribuer un rôle Azure pour l’accès aux données de table

Microsoft Entra autorise des droits d’accès aux ressources sécurisées en utilisant le contrôle d’accès en fonction du rôle Azure (RBAC Azure). Le service Stockage Azure définit des un ensemble de rôles intégrés Azure englobant les ensembles communs d'autorisations qui permettent d'accéder aux données de table dans Stockage Azure.

Quand un rôle Azure est attribué à un principal de sécurité Microsoft Entra, Azure accorde l’accès à ces ressources pour ce principal de sécurité. Un principal de sécurité Microsoft Entra peut être un utilisateur, un groupe, un principal de service d’application ou une identité managée pour les ressources Azure.

Pour en savoir plus sur l’utilisation de Microsoft Entra ID afin d’autoriser l’accès aux données de table, consultez Autoriser l’accès aux tables avec Microsoft Entra ID.

Affecter un rôle Azure

Vous pouvez utiliser PowerShell, Azure CLI ou un modèle Azure Resource Manager pour attribuer un rôle d’accès aux données.

Important

Le portail Azure ne prend pas actuellement en charge l’attribution d’un rôle RBAC Azure étendu à la table. Pour attribuer un rôle à une étendue de table, utilisez PowerShell, Azure CLI ou Azure Resource Manager.

Vous pouvez utiliser la Portail Azure pour affecter un rôle qui accorde l’accès aux données de table à une ressource Azure Resource Manager, telle que le compte de stockage, le groupe de ressources ou l’abonnement.

Pour attribuer un rôle Azure à un principal de sécurité, appelez la commande New-AzRoleAssignment. Le format de la commande peut varier selon l’étendue de l’affectation. Pour exécuter la commande, vous devez disposer d’un rôle qui comprend des autorisations Microsoft.Authorization/roleAssignments/write qui vous sont assignées au niveau de l’étendue correspondante ou ci-dessus.

Pour attribuer un rôle limité à une table, indiquez une chaîne contenant l’étendue de la table pour le paramètre --scope. L’étendue d’une table a la forme :

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

L’exemple suivant attribue le rôle Contributeur aux données de la table du stockage à un utilisateur, limité au niveau de la table. Veillez à remplacer les valeurs de l’exemple et les valeurs d’espace réservé entre les crochets par vos propres valeurs :

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Pour plus d’informations sur l’attribution de rôles avec PowerShell au niveau de l’abonnement, du groupe de ressources ou de l’étendue du compte de stockage, consultez Affecter des rôles Azure à l’aide d’Azure PowerShell.

Gardez à l’esprit les points suivants concernant les attributions de rôles Azure dans Stockage Azure :

  • Lorsque vous créez un compte de stockage Azure, aucune autorisation d’accès aux données ne vous est automatiquement attribuée via Microsoft Entra ID. Vous devez vous attribuer explicitement un rôle Azure pour le Stockage Azure. Vous pouvez l’attribuer au niveau de votre abonnement, groupe de ressources, compte de stockage, conteneur ou table.
  • Lorsque vous attribuez des rôles ou supprimez des attributions de rôle, un délai de 10 minutes maximum peut être nécessaire avant que les modifications soient prises en compte.
  • Les rôles intégrés avec des actions de données peuvent être attribués au niveau de l’étendue du groupe d’administration. Toutefois, dans de rares cas, les autorisations d’action sur les données peuvent être effectives après un délai significatif (jusqu’à 12 heures) pour certains types de ressources. Les autorisations seront appliquées à terme. Pour les rôles intégrés avec des actions de données, l’ajout ou la suppression d’attributions de rôles au niveau du groupe de gestion n’est pas recommandé pour les scénarios où l’activation ou la révocation d’autorisations en temps opportun, comme Microsoft Entra Privileged Identity Management (PIM), est requise.
  • Si le compte de stockage est verrouillé à l’aide d’un verrou en lecture seule Azure Resource Manager, le verrou empêche l’attribution de rôles Azure étendus au compte de stockage ou à une table.

Étapes suivantes