Funções do Azure para tarefas de armazenamento
Esse artigo descreve as funções internas menos privilegiadas do Azure ou as ações RBAC necessárias para ler, atualizar, excluir e atribuir uma tarefa de armazenamento.
Importante
As Ações de Armazenamento do Azure estão atualmente em VERSÃO PRÉVIA e estão disponíveis nestas regiões. Veja os Termos de Uso Complementares para Versões Prévias do Microsoft Azure para obter termos legais que se aplicam aos recursos do Azure que estão em versão beta, versão prévia ou que, de outra forma, ainda não foram lançados em disponibilidade geral.
Permissão para ler, editar ou excluir uma tarefa
Você deve atribuir uma função a qualquer entidade de segurança em sua organização que precise de acesso à tarefa de armazenamento. Para saber como atribuir uma função do Azure, consulte Atribuir funções do Azure usando o portal do Azure.
Para conceder aos usuários ou aplicativos acesso à tarefa de armazenamento, escolha uma função interna ou personalizada do Azure que tenha a permissão necessária para editar a tarefa de leitura ou edição. Se você preferir usar uma função personalizada, verifique se sua função contém as ações RBAC necessárias para ler ou editar a tarefa. Use a tabela a seguir como guia.
Nível de permissão | A função interna do Azure | Ações de RBAC para funções personalizadas |
---|---|---|
Listar e ler tarefas de armazenamento | Contributor |
Microsoft.StorageActions/storageTasks/read |
Criar e atualizar tarefas de armazenamento | Contributor |
Microsoft.StorageActions/storageTasks/write |
Excluir tarefas de armazenamento | Contributor |
Microsoft.StorageActions/storageTasks/delete |
Permissão para atribuir uma política
Uma atribuição de tarefa identifica uma conta de armazenamento e um subconjunto de objetos nessa conta que a tarefa de armazenamento terá como destino. Uma atribuição também define quando a tarefa é executada e onde os relatórios de execução são armazenados. Para obter diretrizes passo a passo, consulte Criar e gerenciar uma atribuiçãode tarefa de armazenamento.
Para criar uma atribuição, sua identidade deve receber uma função personalizada que contenha as seguintes ações RBAC:
A ação
Microsoft.Authorization/roleAssignments/write
.Todas as ações RBAC que estão disponíveis no conjunto de ações RBAC do
Microsoft.Storage/StorageAccounts
.
Para saber como criar uma função personalizada, consulte Funções personalizadas do Azure.
Permissão para uma tarefa executar operações
Ao criar uma atribuição, você deve escolher uma função interna ou personalizada do Azure que tenha a permissão necessária para executar as operações especificadas na conta de armazenamento de destino ou no contêiner da conta de armazenamento. Você pode escolher apenas as funções atribuídas à sua identidade de usuário. Se preferir usar uma função personalizada, certifique-se de que sua função contenha as ações RBAC necessárias para executar as operações.
A tabela a seguir mostra a função interna menos privilegiada do Azure, bem como as ações RBAC exigidas por cada operação.
Permissão | Função interna | Ações RBAC para uma função personalizada |
---|---|---|
SetBlobTier | Proprietário de Dados do Blob de Armazenamento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
SetBlobExpiry | Proprietário de Dados do Blob de Armazenamento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
SetBlobTags | Proprietário de Dados do Blob de Armazenamento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
SetBlobImmutabilityPolicy | Proprietário de Dados do Blob de Armazenamento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
SetBlobLegalHold | Proprietário de Dados do Blob de Armazenamento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
DeleteBlob | Proprietário de Dados do Blob de Armazenamento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
UndeleteBlob | Proprietário de Dados do Blob de Armazenamento | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |