Tilldela en Azure-roll för åtkomst till ködata
Microsoft Entra auktoriserar åtkomsträttigheter till skyddade resurser via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Azure Storage definierar en uppsättning inbyggda Azure-roller som omfattar vanliga uppsättningar med behörigheter som används för att komma åt ködata.
När en Azure-roll tilldelas ett Microsoft Entra-säkerhetsobjekt ger Azure åtkomst till dessa resurser för det säkerhetsobjektet. Ett Microsoft Entra-säkerhetsobjekt kan vara en användare, en grupp, ett huvudnamn för programtjänsten eller en hanterad identitet för Azure-resurser.
Mer information om hur du använder Microsoft Entra-ID för att auktorisera åtkomst till ködata finns i Auktorisera åtkomst till köer med hjälp av Microsoft Entra-ID.
Kommentar
Den här artikeln visar hur du tilldelar en Azure-roll för åtkomst till ködata i ett lagringskonto. Mer information om hur du tilldelar roller för hanteringsåtgärder i Azure Storage finns i Använda Azure Storage-resursprovidern för att få åtkomst till hanteringsresurser.
Tilldela en Azure-roll
Du kan använda Azure Portal, PowerShell, Azure CLI eller en Azure Resource Manager-mall för att tilldela en roll för dataåtkomst.
För att få åtkomst till ködata i Azure Portal med Microsoft Entra-autentiseringsuppgifter måste en användare ha följande rolltilldelningar:
- En dataåtkomstroll, till exempel Storage Queue Data Contributor
- Rollen Azure Resource Manager-läsare
Om du vill lära dig hur du tilldelar dessa roller till en användare följer du anvisningarna i Tilldela Azure-roller med hjälp av Azure Portal.
Rollen Läsare är en Azure Resource Manager-roll som gör det möjligt för användare att visa lagringskontoresurser, men inte ändra dem. Den ger inte läsbehörighet till data i Azure Storage, utan endast till kontohanteringsresurser. Rollen Läsare är nödvändig så att användarna kan navigera till köer och meddelanden i Azure Portal.
Om du till exempel tilldelar rollen Lagringsködatadeltagare till användaren Mary på nivån för en kö med namnet sample-queue beviljas Mary läs-, skriv- och borttagningsåtkomst till kön. Men om Mary vill visa en kö i Azure Portal ger rollen Storage Queue Data Contributor inte tillräcklig behörighet för att navigera genom portalen till kön för att visa den. De ytterligare behörigheterna krävs för att navigera via portalen och visa de andra resurserna som visas där.
En användare måste tilldelas rollen Läsare för att kunna använda Azure Portal med Microsoft Entra-autentiseringsuppgifter. Men om en användare har tilldelats en roll med behörigheterna Microsoft.Storage/storageAccounts/listKeys/action kan användaren använda portalen med lagringskontonycklarna via auktorisering av delad nyckel. Om du vill använda lagringskontonycklarna måste åtkomst med delad nyckel tillåtas för lagringskontot. Mer information om hur du tillåter eller inte tillåter åtkomst till delad nyckel finns i Förhindra auktorisering av delad nyckel för ett Azure Storage-konto.
Du kan också tilldela en Azure Resource Manager-roll som ger ytterligare behörigheter utöver rollen Läsare . Att tilldela de minsta möjliga behörigheterna rekommenderas som bästa praxis för säkerhet. Mer information finns i artikeln om metodtips för Azure RBAC.
Kommentar
Innan du tilldelar dig själv en roll för dataåtkomst kan du komma åt data i ditt lagringskonto via Azure Portal eftersom Azure Portal också kan använda kontonyckeln för dataåtkomst. Mer information finns i Välj hur du auktoriserar åtkomst till ködata i Azure Portal.
Tänk på följande punkter om Azure-rolltilldelningar i Azure Storage:
- När du skapar ett Azure Storage-konto tilldelas du inte automatiskt behörighet att komma åt data via Microsoft Entra-ID. Du måste uttryckligen tilldela dig själv en Azure-roll för Azure Storage. Du kan tilldela den på prenumerationsnivå, resursgrupp, lagringskonto eller kö.
- När du tilldelar roller eller tar bort rolltilldelningar kan det ta upp till 10 minuter innan ändringarna börjar gälla.
- Inbyggda roller med dataåtgärder kan tilldelas i hanteringsgruppens omfång. I sällsynta scenarier kan det dock uppstå en betydande fördröjning (upp till 12 timmar) innan dataåtgärdsbehörigheter gäller för vissa resurstyper. Behörigheter kommer så småningom att tillämpas. För inbyggda roller med dataåtgärder rekommenderas inte tillägg eller borttagning av rolltilldelningar i hanteringsgruppens omfång för scenarier där aktivering eller återkallande av behörigheter i tid, till exempel Microsoft Entra Privileged Identity Management (PIM), krävs.
- Om lagringskontot är låst med ett skrivskyddat Azure Resource Manager-lås förhindrar låset tilldelning av Azure-roller som är begränsade till lagringskontot eller en kö.