Scegliere come autorizzare l'accesso ai dati della coda nel portale di Azure
Quando si accede ai dati della coda usando il portale di Azure, il portale effettua richieste di Archiviazione di Azure sotto le quinte. Una richiesta ad Archiviazione di Azure può essere autorizzata usando l'account Microsoft Entra o la chiave di accesso dell'account di archiviazione. Il portale indica il metodo in uso e consente di passare da uno all'altro se si dispone delle autorizzazioni appropriate.
Autorizzazioni necessarie per accedere ai dati della coda
A seconda di come si vuole autorizzare l'accesso ai dati della coda nel portale di Azure, sono necessarie autorizzazioni specifiche. Nella maggior parte dei casi, queste autorizzazioni vengono fornite tramite il controllo degli accessi in base al ruolo di Azure. Per altre informazioni sul controllo degli accessi in base al ruolo di Azure, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure?.
Usare la chiave di accesso dell'account
Per accedere ai dati della coda con la chiave di accesso dell'account, è necessario avere un ruolo di Azure assegnato all'utente che include l'azione Controllo degli accessi in base al ruolo di Azure Microsoft.Archiviazione/storageAccounts/listkeys/action. Questo ruolo di Azure può essere un ruolo predefinito o personalizzato. Ruoli predefiniti che supportano Microsoft.Archiviazione/storageAccounts/listkeys/action includono quanto segue, in ordine da minimo a massimo autorizzazioni:
- Ruolo Lettore e Accesso ai dati
- Ruolo collaboratore account Archiviazione
- Ruolo collaboratore di Azure Resource Manager
- Ruolo proprietario di Azure Resource Manager
Quando si tenta di accedere ai dati della coda nel portale di Azure, il portale verifica innanzitutto se è stato assegnato un ruolo a Microsoft.Archiviazione/storageAccounts/listkeys/action. Se è stato assegnato un ruolo con questa azione, il portale usa la chiave dell'account per accedere ai dati della coda. Se non è stato assegnato un ruolo con questa azione, il portale tenta di accedere ai dati usando l'account Microsoft Entra.
Importante
Quando un account di archiviazione è bloccato con un blocco ReadOnly di Azure Resource Manager, l'operazione List Keys non è consentita per tale account di archiviazione. List Keys è un'operazione POST e tutte le operazioni POST vengono impedite quando viene configurato un blocco ReadOnly per l'account. Per questo motivo, quando l'account è bloccato con un blocco ReadOnly , gli utenti devono usare le credenziali di Microsoft Entra per accedere ai dati della coda nel portale. Per informazioni sull'accesso ai dati della coda nel portale con Microsoft Entra ID, vedere Usare l'account Microsoft Entra.
Nota
I ruoli di amministratore della sottoscrizione classica Service Amministrazione istrator e Co-Amministrazione istrator includono l'equivalente del ruolo di Azure Resource ManagerOwner
. Il ruolo Proprietario include tutte le azioni, incluso Microsoft.Archiviazione /storageAccounts/listkeys/action, quindi un utente con uno di questi ruoli amministrativi può anche accedere ai dati della coda con la chiave dell'account. Per altre informazioni, vedere Ruoli di Azure, ruoli di Microsoft Entra e ruoli di amministratore della sottoscrizione classica.
Usare l'account Microsoft Entra
Per accedere ai dati della coda dal portale di Azure usando l'account Microsoft Entra, entrambe le istruzioni seguenti devono essere vere per l'utente:
- È stato assegnato un ruolo predefinito o personalizzato che fornisce l'accesso ai dati della coda.
- Al ruolo lettore di Azure Resource Manager è stato assegnato almeno l'ambito al livello dell'account di archiviazione o superiore. Il ruolo Lettore concede le autorizzazioni più limitate, ma è accettabile anche un altro ruolo di Azure Resource Manager che conceda l'accesso alle risorse di gestione degli account di archiviazione.
Il ruolo lettore di Azure Resource Manager consente agli utenti di visualizzare le risorse dell'account di archiviazione, ma non di modificarle. Non fornisce autorizzazioni di lettura per i dati in Archiviazione di Azure, ma solo per le risorse di gestione degli account. Il ruolo Lettore è necessario in modo che gli utenti possano passare alle code nel portale di Azure.
Per informazioni sui ruoli predefiniti che supportano l'accesso ai dati della coda, vedere Autorizzare l'accesso alle code usando Microsoft Entra ID.
I ruoli personalizzati possono supportare combinazioni diverse delle stesse autorizzazioni fornite dai ruoli predefiniti. Per altre informazioni sulla creazione di ruoli personalizzati di Azure, vedere Ruoli personalizzati di Azure e Informazioni sulle definizioni dei ruoli per le risorse di Azure.
Passare alle code nel portale di Azure
Per visualizzare i dati della coda nel portale, passare a Panoramica per l'account di archiviazione e fare clic sui collegamenti per Code. In alternativa, è possibile passare alla sezione Servizio di accodamento nel menu.
Determinare il metodo di autenticazione corrente
Quando si passa a una coda, il portale di Azure indica se si sta usando la chiave di accesso dell'account o l'account Microsoft Entra per l'autenticazione.
Eseguire l'autenticazione con la chiave di accesso dell'account
Se si esegue l'autenticazione usando la chiave di accesso dell'account, verrà visualizzata la chiave di accesso specificata come metodo di autenticazione nel portale:
Per passare all'uso dell'account Microsoft Entra, fare clic sul collegamento evidenziato nell'immagine. Se si dispone delle autorizzazioni appropriate tramite i ruoli di Azure assegnati all'utente, sarà possibile procedere. Tuttavia, se non si dispone delle autorizzazioni appropriate, verrà visualizzato un messaggio di errore simile al seguente:
Si noti che nessuna coda viene visualizzata nell'elenco se l'account Microsoft Entra non dispone delle autorizzazioni per visualizzarle. Fare clic sul collegamento Passa alla chiave di accesso per usare di nuovo la chiave di accesso per l'autenticazione.
Eseguire l'autenticazione con l'account Microsoft Entra
Se si esegue l'autenticazione con l'account Microsoft Entra, verrà visualizzato l'account utente Microsoft Entra specificato come metodo di autenticazione nel portale:
Per passare all'uso della chiave di accesso dell'account, fare clic sul collegamento evidenziato nell'immagine. Se si ha accesso alla chiave dell'account, sarà possibile procedere. Tuttavia, se non si ha accesso alla chiave dell'account, il portale di Azure visualizza un messaggio di errore.
Le code non sono elencate nel portale se non si ha accesso alle chiavi dell'account. Fare clic sul collegamento Passa all'account utente Microsoft Entra per usare di nuovo l'account Microsoft Entra per l'autenticazione.
Impostare l'autenticazione Microsoft Entra come predefinita nel portale di Azure
Quando si crea un nuovo account di archiviazione, è possibile specificare che per impostazione predefinita il portale di Azure verrà autorizzato con Microsoft Entra ID quando un utente passa ai dati della coda. È anche possibile configurare questa impostazione per un account di archiviazione esistente. Questa impostazione specifica solo il metodo di autorizzazione predefinito, pertanto tenere presente che un utente può eseguire l'override di questa impostazione e scegliere di autorizzare l'accesso ai dati con la chiave dell'account.
Per specificare che il portale userà l'autorizzazione di Microsoft Entra per impostazione predefinita per l'accesso ai dati quando si crea un account di archiviazione, seguire questa procedura:
Creare un nuovo account di archiviazione seguendo le istruzioni riportate in Creare un account di archiviazione.
Nella sezione Sicurezza della scheda Avanzate selezionare la casella accanto a Default to Microsoft Entra authorization (Autorizzazione predefinita a Microsoft Entra) nel portale di Azure.
Selezionare il pulsante Rivedi e crea per eseguire la convalida e creare l'account.
Per aggiornare questa impostazione per un account di archiviazione esistente, seguire questa procedura:
Passare alla panoramica dell'account nella portale di Azure.
In Impostazioni selezionare Configurazione.
Impostare Impostazione predefinita su Autorizzazione di Microsoft Entra nel portale di Azure su Abilitato.