Assegnare un ruolo di Azure per l'accesso ai dati della tabella

Articolo
11/09/2024

Microsoft Entra autorizza i diritti di accesso alle risorse protette tramite il controllo degli accessi in base al ruolo di Azure. Archiviazione di Azure definisce un set di ruoli predefiniti di Azure che includono set comuni di autorizzazioni usate per accedere ai dati della tabella in Archiviazione di Azure.

Quando un ruolo di Azure viene assegnato a un'entità di sicurezza Microsoft Entra, Azure concede l'accesso a tali risorse per tale entità di sicurezza. Un'entità di sicurezza di Microsoft Entra può essere un utente, un gruppo, un'entità servizio dell'applicazione o un'identità gestita per le risorse di Azure.

Per altre informazioni sull'uso di Microsoft Entra ID per autorizzare l'accesso ai dati della tabella, vedere Autorizzare l'accesso alle tabelle tramite Microsoft Entra ID.

Assegnare un ruolo di Azure

È possibile usare PowerShell, l'interfaccia della riga di comando di Azure o un modello di Azure Resource Manager per assegnare un ruolo per l'accesso ai dati.

Importante

Il portale di Azure attualmente non supporta l'assegnazione di un ruolo controllo degli accessi in base al ruolo di Azure con ambito alla tabella. Per assegnare un ruolo con ambito di tabella, usare PowerShell, l'interfaccia della riga di comando di Azure o Azure Resource Manager.

È possibile usare il portale di Azure per assegnare un ruolo che concede l'accesso ai dati della tabella a una risorsa di Azure Resource Manager, ad esempio l'account di archiviazione, il gruppo di risorse o la sottoscrizione.

Per assegnare un ruolo di Azure a un'entità di sicurezza, chiamare il comando New-AzRoleAssignment . Il formato del comando può essere diverso in base all'ambito dell'assegnazione. Per eseguire il comando, è necessario avere un ruolo che include le autorizzazioni Microsoft.Authorization/roleAssignments/write assegnate all'utente nell'ambito corrispondente o versione successiva.

Per assegnare un ruolo con ambito a una tabella, specificare una stringa contenente l'ambito della tabella per il --scope parametro . L'ambito di una tabella è nel formato :

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

Nell'esempio seguente viene assegnato il ruolo Collaboratore dati tabella di archiviazione a un utente, con ambito a una tabella. Assicurarsi di sostituire i valori di esempio e i valori segnaposto tra parentesi quadre con i propri valori:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Per informazioni sull'assegnazione di ruoli con PowerShell nell'ambito della sottoscrizione, del gruppo di risorse o dell'account di archiviazione, vedere Assegnare ruoli di Azure con Azure PowerShell.

Per assegnare un ruolo di Azure a un'entità di sicurezza, usare il comando az role assignment create . Il formato del comando può essere diverso in base all'ambito dell'assegnazione. Il formato del comando può essere diverso in base all'ambito dell'assegnazione. Per eseguire il comando, è necessario avere un ruolo che include le autorizzazioni Microsoft.Authorization/roleAssignments/write assegnate all'utente nell'ambito corrispondente o versione successiva.

Per assegnare un ruolo con ambito a una tabella, specificare una stringa contenente l'ambito della tabella per il --scope parametro . L'ambito di una tabella è nel formato :

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

Nell'esempio seguente viene assegnato il ruolo Collaboratore dati tabella di archiviazione a un utente, con ambito al livello della tabella. Assicurarsi di sostituire i valori di esempio e i valori segnaposto tra parentesi quadre con i propri valori:

az role assignment create \
    --role "Storage Table Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Tenere presenti i seguenti punti sulle assegnazioni di ruolo di Azure in Archiviazione di Azure:

Quando si crea un account di archiviazione di Azure, non vengono assegnate automaticamente le autorizzazioni per accedere ai dati tramite Microsoft Entra ID. È invece necessario assegnare in modo esplicito a se stessi un ruolo di Azure per Archiviazione di Azure. È possibile assegnarlo a livello di sottoscrizione, gruppo di risorse, account di archiviazione o tabella.
Quando si assegnano ruoli o si rimuovono le assegnazioni di ruolo, possono essere necessari fino a 10 minuti prima che le modifiche siano effettive.
I ruoli predefiniti con le azioni dei dati possono essere assegnati nell'ambito del gruppo di gestione. Tuttavia, in rari scenari potrebbe verificarsi un ritardo significativo (fino a 12 ore) prima che le autorizzazioni di azione dei dati siano valide per determinati tipi di risorse. Le autorizzazioni verranno eventualmente applicate. Per i ruoli predefiniti con azioni sui dati, non è consigliabile aggiungere o rimuovere assegnazioni di ruolo nell'ambito del gruppo di gestione per scenari in cui è necessaria l'attivazione o la revoca tempestive delle autorizzazioni, ad esempio Microsoft Entra Privileged Identity Management (PIM).
Se l'account di archiviazione è bloccato con un blocco di sola lettura di Azure Resource Manager, il blocco impedisce l'assegnazione di ruoli di Azure con ambito all'account di archiviazione o a una tabella.

Condividi tramite

Assegnare un ruolo di Azure per l'accesso ai dati della tabella

Assegnare un ruolo di Azure

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive