Compartilhar via


Atribuir uma função do Azure para acesso a dados de tabela

O Microsoft Entra autoriza os direitos de acesso aos recursos protegidos por meio do RBAC do Azure (controle de acesso baseado em função). O Armazenamento do Microsoft Azure define um conjunto de funções internas do Azure que abrangem conjuntos comuns de permissões usados para acessar dados de tabela no Armazenamento do Microsoft Azure.

Quando uma função do Azure é atribuída a uma entidade de segurança do Microsoft Entra, o Azure permite que essa entidade de segurança tenha acesso a esses recursos. Uma entidade de segurança do Microsoft Entra pode ser um usuário, um grupo, uma entidade de serviço de aplicativo ou uma identidade gerenciada para recursos do Azure.

Para saber mais sobre como usar o Microsoft Entra ID para autorizar o acesso aos dados da tabela, confira Autorizar o acesso a tabelas usando o Microsoft Entra ID.

Atribuir uma função do Azure

Você pode usar o PowerShell, a CLI do Azure ou um modelo do Azure Resource Manager para atribuir uma função para acesso a dados.

Importante

O portal do Azure atualmente não dá suporte à atribuição de uma função de RBAC do Azure que tem escopo na tabela. Para atribuir uma função com escopo de tabela, use o PowerShell, a CLI do Azure ou o Azure Resource Manager.

É possível usar o portal do Azure para atribuir uma função que concede acesso aos dados da tabela a um recurso do Azure Resource Manager, como a conta de armazenamento, o grupo de recursos ou a assinatura.

Para atribuir uma função do Azure a uma entidade de segurança, chame o comando New-AzRoleAssignment. O formato do comando pode diferir a depender do escopo da atribuição. Para executar o comando, você deve ter uma função que inclua as permissões Microsoft.Authorization/roleAssignments/write atribuídas a você no escopo correspondente ou acima.

Para atribuir uma função com escopo a uma tabela, especifique uma cadeia de caracteres que contenha o escopo da tabela para o parâmetro --scope. O escopo de uma tabela está no formato:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

O exemplo a seguir atribui a função de Colaborador de Dados em Tabela do Armazenamento a um usuário, cujo escopo é uma tabela. Verifique se os valores de exemplo e de espaço reservado entre colchetes foram substituídos pelos seus valores:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Para obter informações sobre a atribuição de funções com o PowerShell na assinatura, no grupo de recursos ou no escopo da conta de armazenamento, confira Atribuir funções do Azure usando o Azure PowerShell.

Tenha em mente os seguintes pontos sobre as atribuições de função do Azure no Armazenamento do Microsoft Azure:

  • Ao criar uma conta de Armazenamento do Azure, você não receberá permissões de acesso de dados automaticamente por meio do Microsoft Entra ID. Você deve atribuir explicitamente a si mesmo uma função do Azure para o Armazenamento do Microsoft Azure. Você pode atribuí-la no nível de assinatura, de grupo de recursos, da conta de armazenamento ou da tabela.
  • Quando você atribui funções ou remove atribuições de função, pode levar até 10 minutos para que as alterações entrem em vigor.
  • Funções internas com ações de dados podem ser atribuídas no escopo do grupo de gerenciamento. No entanto, em cenários raros, pode haver um atraso significativo (até 12 horas) antes que as permissões de ação de dados sejam eficazes para determinados tipos de recursos. As permissões serão eventualmente aplicadas. Para funções internas com ações de dados, a adição ou remoção de atribuições de função no escopo do grupo de gerenciamento não é recomendada para cenários em que a ativação ou revogação de permissão oportuna, como o Microsoft Entra Privileged Identity Management (PIM), é necessária.
  • Se a conta de armazenamento estiver com o bloqueio de somente leitura do Azure Resource Manager, isso impedirá a atribuição de funções do Azure que estejam no escopo da conta de armazenamento ou de uma tabela.

Próximas etapas