ストレージ タスクの Azure ロール
この記事では、ストレージ タスクの読み取り、更新、削除、割り当てに必要な最小特権の組み込み Azure ロールまたは RBAC アクションについて説明します。
重要
Azure Storage Actions は現在プレビュー段階であり、こちらのリージョンで使用できます。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用される法律条項については、「Microsoft Azure プレビューの追加使用条件」を参照してください。
タスクの読み取り、編集、または削除のアクセス許可
ストレージ タスクへのアクセスを必要とする組織内のセキュリティ プリンシパルにロールを割り当てる必要があります。 Azure ロールを割り当てる方法については、「Azure portal を使用して Azure ロールを割り当てる」を参照してください。
ユーザーまたはアプリケーションにストレージ タスクへのアクセス権を付与するには、読み取りまたは編集タスクを編集するために必要なアクセス許可を持つ Azure 組み込みロールまたはカスタム ロールを選択します。 カスタム ロールを使用する場合は、タスクの読み取りまたは編集に必要な RBAC アクションがロールに含まれていることを確認します。 次の表をガイドとして使用してください。
| アクセス許可レベル | Azure 組み込みロール | カスタム ロールの RBAC アクション |
|---|---|---|
| ストレージ タスクの一覧表示と読み取り | Contributor |
Microsoft.StorageActions/storageTasks/read |
| ストレージ タスクの作成と更新 | Contributor |
Microsoft.StorageActions/storageTasks/write |
| ストレージ タスクの削除 | Contributor |
Microsoft.StorageActions/storageTasks/delete |
タスクを割り当てるアクセス許可
タスク割り当てによって、ストレージ アカウントと、ストレージ タスクが対象とするそのアカウント内のオブジェクトのサブセットが識別されます。 割り当てでは、タスクがいつ実行され、実行レポートが格納されているかも定義されます。 ステップ形式のガイダンスについては、「ストレージ タスク割り当ての作成と管理」を参照してください。
割り当てを作成するには、次の RBAC アクションを含むカスタム ロールを ID に割り当てる必要があります。
Microsot.Authorization.roleAssignments/writeアクション。RBAC アクションの
Microsoft.Storage/StorageAccountsセットで使用可能なすべての RBAC アクション。
カスタム ロールを作成する方法については、「Azure カスタム ロール」を参照してください。
タスクが操作を実行するためのアクセス許可
割り当てを作成するときは、ターゲット ストレージ アカウントまたはストレージ アカウント コンテナーで指定された操作を実行するために必要なアクセス許可を持つ Azure 組み込みロールまたはカスタム ロールを選択する必要があります。 ユーザー ID に割り当てられているロールのみを選択できます。 カスタム ロールを使用する場合は、操作を実行するために必要な RBAC アクションがロールに含まれていることを確認する必要があります。
次の表は、最小特権の組み込み Azure ロールと、各操作に必要な RBAC アクションを示しています。
| アクセス許可 | 組み込みのロール | カスタム ロールの RBAC アクション |
|---|---|---|
| SetBlobTier | ストレージ BLOB データ所有者 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobExpiry | ストレージ BLOB データ所有者 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobTags | ストレージ BLOB データ所有者 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobImmutabilityPolicy | ストレージ BLOB データ所有者 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| SetBlobLegalHold | ストレージ BLOB データ所有者 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| DeleteBlob | ストレージ BLOB データ所有者 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| UndeleteBlob | ストレージ BLOB データ所有者 | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |