Compartilhar via


Funções do Azure para tarefas de armazenamento

Esse artigo descreve as funções internas menos privilegiadas do Azure ou as ações RBAC necessárias para ler, atualizar, excluir e atribuir uma tarefa de armazenamento.

Importante

As Ações de Armazenamento do Azure estão atualmente em VERSÃO PRÉVIA e estão disponíveis nestas regiões. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.

Permissão para ler, editar ou excluir uma tarefa

Você deve atribuir uma função a qualquer entidade de segurança em sua organização que precise de acesso à tarefa de armazenamento. Para saber como atribuir uma função do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Para conceder aos usuários ou aplicativos acesso à tarefa de armazenamento, escolha uma função interna ou personalizada do Azure que tenha a permissão necessária para editar a tarefa de leitura ou edição. Se você preferir usar uma função personalizada, verifique se sua função contém as ações RBAC necessárias para ler ou editar a tarefa. Use a tabela a seguir como guia.

Nível de permissão A função interna do Azure Ações de RBAC para funções personalizadas
Listar e ler tarefas de armazenamento Contributor Microsoft.StorageActions/storageTasks/read
Criar e atualizar tarefas de armazenamento Contributor Microsoft.StorageActions/storageTasks/write
Excluir tarefas de armazenamento Contributor Microsoft.StorageActions/storageTasks/delete

Permissão para atribuir uma política

Uma atribuição de tarefa identifica uma conta de armazenamento e um subconjunto de objetos nessa conta que a tarefa de armazenamento terá como destino. Uma atribuição também define quando a tarefa é executada e onde os relatórios de execução são armazenados. Para obter diretrizes passo a passo, consulte Criar e gerenciar uma atribuiçãode tarefa de armazenamento.

Para criar uma atribuição, sua identidade deve receber uma função personalizada que contenha as seguintes ações RBAC:

  • A ação Microsoft.Authorization/roleAssignments/write.

  • Todas as ações RBAC que estão disponíveis no conjunto de ações RBAC do Microsoft.Storage/StorageAccounts.

Para saber como criar uma função personalizada, consulte Funções personalizadas do Azure.

Permissão para uma tarefa executar operações

Ao criar uma atribuição, você deve escolher uma função interna ou personalizada do Azure que tenha a permissão necessária para executar as operações especificadas na conta de armazenamento de destino ou no contêiner da conta de armazenamento. Você pode escolher apenas as funções atribuídas à sua identidade de usuário. Se preferir usar uma função personalizada, certifique-se de que sua função contenha as ações RBAC necessárias para executar as operações.

A tabela a seguir mostra a função interna menos privilegiada do Azure, bem como as ações RBAC exigidas por cada operação.

Permissão Função interna Ações RBAC para uma função personalizada
SetBlobTier Proprietário de Dados do Blob de Armazenamento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobExpiry Proprietário de Dados do Blob de Armazenamento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobTags Proprietário de Dados do Blob de Armazenamento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobImmutabilityPolicy Proprietário de Dados do Blob de Armazenamento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
SetBlobLegalHold Proprietário de Dados do Blob de Armazenamento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
DeleteBlob Proprietário de Dados do Blob de Armazenamento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
UndeleteBlob Proprietário de Dados do Blob de Armazenamento Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write

Confira também