Een Azure-rol toewijzen voor toegang tot tabelgegevens

Microsoft Entra autoriseert toegangsrechten voor beveiligde resources via op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure Storage definieert een set ingebouwde Azure-rollen die algemene sets machtigingen omvatten die worden gebruikt voor toegang tot tabelgegevens in Azure Storage.

Wanneer een Azure-rol is toegewezen aan een Microsoft Entra-beveiligingsprincipaal, verleent Azure toegang tot deze resources voor die beveiligingsprincipaal. Een Microsoft Entra-beveiligingsprincipaal kan een gebruiker, een groep, een toepassingsservice-principal of een beheerde identiteit voor Azure-resources zijn.

Zie Toegang tot tabellen autoriseren met behulp van Microsoft Entra ID voor meer informatie over het gebruik van Microsoft Entra-id om toegang tot tabelgegevens te autoriseren.

Een Azure-rol toewijzen

U kunt PowerShell, Azure CLI of een Azure Resource Manager-sjabloon gebruiken om een rol toe te wijzen voor gegevenstoegang.

Belangrijk

Azure Portal biedt momenteel geen ondersteuning voor het toewijzen van een Azure RBAC-rol die is gericht op de tabel. Als u een rol met tabelbereik wilt toewijzen, gebruikt u PowerShell, Azure CLI of Azure Resource Manager.

U kunt Azure Portal gebruiken om een rol toe te wijzen die toegang verleent tot tabelgegevens aan een Azure Resource Manager-resource, zoals het opslagaccount, de resourcegroep of het abonnement.

PowerShell

Als u een Azure-rol wilt toewijzen aan een beveiligingsprincipal, roept u de opdracht New-AzRoleAssignment aan. De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing. Als u de opdracht wilt uitvoeren, moet u een rol hebben die Microsoft.Authorization/roleAssignments/write-machtigingen bevat die aan u zijn toegewezen in het bijbehorende bereik of hoger.

Als u een rol wilt toewijzen aan een tabel, geeft u een tekenreeks op die het bereik van de tabel voor de --scope parameter bevat. Het bereik voor een tabel heeft de volgende notatie:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

In het volgende voorbeeld wordt de rol Inzender voor opslagtabelgegevens toegewezen aan een gebruiker, die is gericht op een tabel. Zorg ervoor dat u de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes vervangt door uw eigen waarden:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Zie Azure-rollen toewijzen met Behulp van Azure PowerShell voor informatie over het toewijzen van rollen met PowerShell in het bereik van het abonnement, de resourcegroep of het opslagaccount.

Azure-CLI

Als u een Azure-rol wilt toewijzen aan een beveiligingsprincipaal, gebruikt u de opdracht az role assignment create . De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing. De indeling van de opdracht kan verschillen op basis van het bereik van de toewijzing. Als u de opdracht wilt uitvoeren, moet u een rol hebben die Microsoft.Authorization/roleAssignments/write-machtigingen bevat die aan u zijn toegewezen in het bijbehorende bereik of hoger.

Als u een rol wilt toewijzen aan een tabel, geeft u een tekenreeks op die het bereik van de tabel voor de --scope parameter bevat. Het bereik voor een tabel heeft de volgende notatie:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

In het volgende voorbeeld wordt de rol Inzender voor opslagtabelgegevens toegewezen aan een gebruiker, met het bereik van het niveau van de tabel. Zorg ervoor dat u de voorbeeldwaarden en de tijdelijke aanduidingen tussen haakjes vervangt door uw eigen waarden:

az role assignment create \
    --role "Storage Table Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Zie Azure-rollen toewijzen met behulp van Azure CLI voor informatie over het toewijzen van rollen met PowerShell in het bereik van het abonnement, de resourcegroep of het opslagaccount.

Sjabloon

Zie Azure-rollen toewijzen met behulp van Azure Resource Manager-sjablonen voor meer informatie over het gebruik van een Azure Resource Manager-sjabloon om een Azure-rol toe te wijzen.

Houd rekening met de volgende punten over Azure-roltoewijzingen in Azure Storage:

• Wanneer u een Azure Storage-account maakt, worden er niet automatisch machtigingen toegewezen voor toegang tot gegevens via Microsoft Entra-id. U moet expliciet een Azure-rol toewijzen voor Azure Storage. U kunt deze toewijzen op het niveau van uw abonnement, resourcegroep, opslagaccount of tabel.
• Wanneer u rollen toewijst of roltoewijzingen verwijdert, kan het tot tien minuten duren voordat wijzigingen van kracht worden.
• Ingebouwde rollen met gegevensacties kunnen worden toegewezen aan het bereik van de beheergroep. In zeldzame scenario's kan er echter een aanzienlijke vertraging (maximaal 12 uur) optreden voordat machtigingen voor gegevensacties van kracht zijn voor bepaalde resourcetypen. Machtigingen worden uiteindelijk toegepast. Voor ingebouwde rollen met gegevensacties wordt het toevoegen of verwijderen van roltoewijzingen binnen het bereik van beheergroepen niet aanbevolen voor scenario's waarin tijdige activering of intrekking van machtigingen, zoals Microsoft Entra Privileged Identity Management (PIM), is vereist.
• Als het opslagaccount is vergrendeld met een alleen-lezenvergrendeling van Azure Resource Manager, voorkomt de vergrendeling de toewijzing van Azure-rollen die zijn afgestemd op het opslagaccount of een tabel.

Volgende stappen

• Wat is Azure RBAC (toegangsbeheer op basis van rollen)?
• Aanbevolen procedures voor Azure RBAC