Przypisywanie roli platformy Azure w celu uzyskania dostępu do danych tabeli

Firma Microsoft Entra autoryzuje prawa dostępu do zabezpieczonych zasobów za pośrednictwem kontroli dostępu na podstawie ról (RBAC) platformy Azure. Usługa Azure Storage definiuje zestaw wbudowanych ról platformy Azure, które obejmują typowe zestawy uprawnień używanych do uzyskiwania dostępu do danych tabeli w usłudze Azure Storage.

Po przypisaniu roli platformy Azure do podmiotu zabezpieczeń firmy Microsoft Entra platforma Azure udziela dostępu do tych zasobów dla tego podmiotu zabezpieczeń. Podmiot zabezpieczeń firmy Microsoft Entra może być użytkownikiem, grupą, jednostką usługi aplikacji lub tożsamością zarządzaną dla zasobów platformy Azure.

Aby dowiedzieć się więcej o korzystaniu z identyfikatora Entra firmy Microsoft w celu autoryzowania dostępu do danych tabeli, zobacz Autoryzowanie dostępu do tabel przy użyciu identyfikatora Entra firmy Microsoft.

Przypisywanie roli platformy Azure

Aby przypisać rolę dostępu do danych, możesz użyć programu PowerShell, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Azure Resource Manager.

Ważne

Witryna Azure Portal nie obsługuje obecnie przypisywania roli RBAC platformy Azure, która jest ograniczona do tabeli. Aby przypisać rolę z zakresem tabeli, użyj programu PowerShell, interfejsu wiersza polecenia platformy Azure lub usługi Azure Resource Manager.

Za pomocą witryny Azure Portal możesz przypisać rolę, która udziela dostępu do danych tabeli do zasobu usługi Azure Resource Manager, takiego jak konto magazynu, grupa zasobów lub subskrypcja.

Program PowerShell

Aby przypisać rolę platformy Azure do podmiotu zabezpieczeń, wywołaj polecenie New-AzRoleAssignment . Format polecenia może się różnić w zależności od zakresu przypisania. Aby uruchomić polecenie, musisz mieć rolę obejmującą uprawnienia Microsoft.Authorization/roleAssignments/write przypisane do Ciebie w odpowiednim zakresie lub wyższym.

Aby przypisać rolę o zakresie do tabeli, określ ciąg zawierający zakres tabeli dla parametru --scope . Zakres tabeli ma postać:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

W poniższym przykładzie przypisano rolę Współautor danych tabeli magazynu do użytkownika o określonym zakresie w tabeli. Pamiętaj, aby zastąpić przykładowe wartości i wartości symboli zastępczych w nawiasach własnymi wartościami:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Aby uzyskać informacje na temat przypisywania ról za pomocą programu PowerShell w zakresie subskrypcji, grupy zasobów lub konta magazynu, zobacz Przypisywanie ról platformy Azure przy użyciu programu Azure PowerShell.

Interfejs wiersza polecenia platformy Azure

Aby przypisać rolę platformy Azure do podmiotu zabezpieczeń, użyj polecenia az role assignment create . Format polecenia może się różnić w zależności od zakresu przypisania. Format polecenia może się różnić w zależności od zakresu przypisania. Aby uruchomić polecenie, musisz mieć rolę obejmującą uprawnienia Microsoft.Authorization/roleAssignments/write przypisane do Ciebie w odpowiednim zakresie lub wyższym.

Aby przypisać rolę o zakresie do tabeli, określ ciąg zawierający zakres tabeli dla parametru --scope . Zakres tabeli ma postać:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

W poniższym przykładzie przypisano rolę Współautor danych tabeli magazynu do użytkownika o zakresie do poziomu tabeli. Pamiętaj, aby zastąpić przykładowe wartości i wartości symboli zastępczych w nawiasach własnymi wartościami:

az role assignment create \
    --role "Storage Table Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Aby uzyskać informacje na temat przypisywania ról za pomocą programu PowerShell w zakresie subskrypcji, grupy zasobów lub konta magazynu, zobacz Przypisywanie ról platformy Azure przy użyciu interfejsu wiersza polecenia platformy Azure.

Szablon

Aby dowiedzieć się, jak używać szablonu usługi Azure Resource Manager do przypisywania roli platformy Azure, zobacz Przypisywanie ról platformy Azure przy użyciu szablonów usługi Azure Resource Manager.

Należy pamiętać o następujących kwestiach dotyczących przypisań ról platformy Azure w usłudze Azure Storage:

• Podczas tworzenia konta usługi Azure Storage nie masz automatycznie przypisanych uprawnień dostępu do danych za pośrednictwem identyfikatora Entra firmy Microsoft. Musisz jawnie przypisać sobie rolę platformy Azure dla usługi Azure Storage. Można ją przypisać na poziomie subskrypcji, grupy zasobów, konta magazynu lub tabeli.
• Po przypisaniu ról lub usunięciu przypisań ról może upłynąć do 10 minut, aby zmiany zaczęły obowiązywać.
• Wbudowane role z akcjami danych można przypisywać w zakresie grupy zarządzania. Jednak w rzadkich scenariuszach może wystąpić znaczne opóźnienie (do 12 godzin), zanim uprawnienia akcji danych będą skuteczne dla niektórych typów zasobów. Uprawnienia zostaną ostatecznie zastosowane. W przypadku wbudowanych ról z akcjami danych dodawanie lub usuwanie przypisań ról w zakresie grupy zarządzania nie jest zalecane w scenariuszach, w których wymagana jest terminowa aktywacja lub odwoływanie uprawnień, takich jak microsoft Entra Privileged Identity Management (PIM).
• Jeśli konto magazynu jest zablokowane za pomocą blokady tylko do odczytu usługi Azure Resource Manager, blokada uniemożliwia przypisanie ról platformy Azure, które są ograniczone do konta magazynu lub tabeli.

Następne kroki

• Co to jest kontrola dostępu oparta na rolach na platformie Azure (Azure RBAC)?
• Najlepsze rozwiązania dotyczące kontroli dostępu opartej na rolach platformy Azure