Role platformy Azure dla zadań magazynu
W tym artykule opisano najmniej uprzywilejowane wbudowane role platformy Azure lub akcje RBAC wymagane do odczytu, aktualizowania, usuwania i przypisywania zadania magazynu.
Ważne
Akcje usługi Azure Storage są obecnie dostępne w wersji zapoznawczej i są dostępne w tych regionach. Zobacz Dodatkowe warunki użytkowania wersji zapoznawczych platformy Microsoft Azure, aby zapoznać się z postanowieniami prawnymi dotyczącymi funkcji platformy Azure, które są w wersji beta lub wersji zapoznawczej albo w inny sposób nie zostały jeszcze wydane jako ogólnie dostępne.
Uprawnienie do odczytu, edytowania lub usuwania zadania
Musisz przypisać rolę do dowolnego podmiotu zabezpieczeń w organizacji, który wymaga dostępu do zadania magazynu. Aby dowiedzieć się, jak przypisać rolę platformy Azure, zobacz Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal.
Aby przyznać użytkownikom lub aplikacjom dostęp do zadania magazynu, wybierz rolę wbudowaną lub niestandardową platformy Azure, która ma uprawnienia niezbędne do edytowania zadania odczytu lub edycji. Jeśli wolisz używać roli niestandardowej, upewnij się, że rola zawiera akcje RBAC niezbędne do odczytania lub edytowania zadania. Skorzystaj z poniższej tabeli jako przewodnika.
| Poziom uprawnień | Wbudowana rola platformy Azure | Akcje RBAC dla ról niestandardowych |
|---|---|---|
| Wyświetlanie listy i odczytywanie zadań magazynowania | Contributor |
Microsoft.StorageActions/storageTasks/read |
| Tworzenie i aktualizowanie zadań magazynu | Contributor |
Microsoft.StorageActions/storageTasks/write |
| Usuwanie zadań magazynu | Contributor |
Microsoft.StorageActions/storageTasks/delete |
Uprawnienie do przypisania zadania
Przypisanie zadania identyfikuje konto magazynu i podzbiór obiektów na tym koncie, na które będzie przeznaczone zadanie magazynu. Przypisanie określa również, kiedy zadanie jest uruchamiane i gdzie są przechowywane raporty wykonywania. Aby uzyskać szczegółowe wskazówki, zobacz Tworzenie przypisania zadania magazynu i zarządzanie nim.
Aby utworzyć przypisanie, tożsamość musi mieć przypisaną rolę niestandardową zawierającą następujące akcje RBAC:
Akcja
Microsoft.Authorization/roleAssignments/write.Wszystkie akcje RBAC dostępne w
Microsoft.Storage/StorageAccountszestawie akcji RBAC.
Aby dowiedzieć się, jak utworzyć rolę niestandardową, zobacz Role niestandardowe platformy Azure.
Uprawnienie do wykonywania operacji przez zadanie
Podczas tworzenia przypisania musisz wybrać wbudowaną lub niestandardową rolę platformy Azure, która ma uprawnienia niezbędne do wykonywania określonych operacji na docelowym koncie magazynu lub kontenerze konta magazynu. Możesz wybrać tylko role przypisane do tożsamości użytkownika. Jeśli wolisz używać roli niestandardowej, musisz upewnić się, że rola zawiera akcje RBAC niezbędne do wykonania operacji.
W poniższej tabeli przedstawiono najmniej uprzywilejowaną wbudowaną rolę platformy Azure, a także akcje RBAC wymagane przez każdą operację.
| Uprawnienie | Rola wbudowana | Akcje RBAC dla roli niestandardowej |
|---|---|---|
| SetBlobTier | Właściciel danych obiektu blob usługi Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobExpiry | Właściciel danych obiektu blob usługi Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobTags | Właściciel danych obiektu blob usługi Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobImmutabilityPolicy | Właściciel danych obiektu blob usługi Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| SetBlobLegalHold | Właściciel danych obiektu blob usługi Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| DeleteBlob | Właściciel danych obiektu blob usługi Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| Cofnij usunięcie elementuBlob | Właściciel danych obiektu blob usługi Storage | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |