Partilhar via


Atribuir uma função do Azure para acesso aos dados da tabela

O Microsoft Entra autoriza direitos de acesso a recursos protegidos por meio do controle de acesso baseado em função do Azure (Azure RBAC). O Armazenamento do Azure define um conjunto de funções internas do Azure que englobam conjuntos comuns de permissões usadas para acessar dados de tabela no Armazenamento do Azure.

Quando uma função do Azure é atribuída a uma entidade de segurança do Microsoft Entra, o Azure concede acesso a esses recursos para essa entidade de segurança. Uma entidade de segurança do Microsoft Entra pode ser um usuário, um grupo, uma entidade de serviço de aplicativo ou uma identidade gerenciada para recursos do Azure.

Para saber mais sobre como usar o Microsoft Entra ID para autorizar o acesso aos dados da tabela, consulte Autorizar o acesso a tabelas usando o Microsoft Entra ID.

Atribuir uma função do Azure

Você pode usar o PowerShell, a CLI do Azure ou um modelo do Azure Resource Manager para atribuir uma função para acesso a dados.

Importante

Atualmente, o portal do Azure não oferece suporte à atribuição de uma função RBAC do Azure com escopo para a tabela. Para atribuir uma função com escopo de tabela, use PowerShell, CLI do Azure ou Gerenciador de Recursos do Azure.

Você pode usar o portal do Azure para atribuir uma função que conceda acesso aos dados da tabela a um recurso do Azure Resource Manager, como a conta de armazenamento, o grupo de recursos ou a assinatura.

Para atribuir uma função do Azure a uma entidade de segurança, chame o comando New-AzRoleAssignment . O formato do comando pode variar com base no escopo da atribuição. Para executar o comando, você deve ter uma função que inclua permissões Microsoft.Authorization/roleAssignments/write atribuídas a você no escopo correspondente ou acima.

Para atribuir uma função com escopo a uma tabela, especifique uma cadeia de caracteres que contenha o escopo da tabela para o --scope parâmetro. O escopo de uma tabela está na forma:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

O exemplo a seguir atribui a função de Colaborador de Dados da Tabela de Armazenamento a um usuário, com escopo para uma tabela. Certifique-se de substituir os valores de exemplo e os valores de espaço reservado entre colchetes por seus próprios valores:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Para obter informações sobre como atribuir funções com o PowerShell no escopo da assinatura, grupo de recursos ou conta de armazenamento, consulte Atribuir funções do Azure usando o Azure PowerShell.

Lembre-se dos seguintes pontos sobre as atribuições de função do Azure no Armazenamento do Azure:

  • Quando cria uma conta de Armazenamento do Azure, não lhe são atribuídas automaticamente permissões para aceder a dados através do Microsoft Entra ID. Você deve atribuir explicitamente a si mesmo uma função do Azure para o Armazenamento do Azure. Você pode atribuí-lo no nível de sua assinatura, grupo de recursos, conta de armazenamento ou tabela.
  • Quando você atribui funções ou remove atribuições de função, pode levar até 10 minutos para que as alterações entrem em vigor.
  • Funções internas com ações de dados podem ser atribuídas no escopo do grupo de gerenciamento. No entanto, em cenários raros, pode haver um atraso significativo (até 12 horas) antes que as permissões de ação de dados sejam efetivas para determinados tipos de recursos. As permissões serão eventualmente aplicadas. Para funções internas com ações de dados, adicionar ou remover atribuições de função no escopo do grupo de gerenciamento não é recomendado para cenários em que a ativação ou revogação de permissão oportuna, como o Microsoft Entra Privileged Identity Management (PIM), é necessária.
  • Se a conta de armazenamento estiver bloqueada com um bloqueio somente leitura do Azure Resource Manager, o bloqueio impedirá a atribuição de funções do Azure com escopo para a conta de armazenamento ou uma tabela.

Próximos passos