Tilldela en Azure-roll för åtkomst till tabelldata
Microsoft Entra auktoriserar åtkomsträttigheter till skyddade resurser via rollbaserad åtkomstkontroll i Azure (Azure RBAC). Azure Storage definierar en uppsättning inbyggda Azure-roller som omfattar vanliga uppsättningar med behörigheter som används för att komma åt tabelldata i Azure Storage.
När en Azure-roll tilldelas ett Microsoft Entra-säkerhetsobjekt ger Azure åtkomst till dessa resurser för det säkerhetsobjektet. Ett Microsoft Entra-säkerhetsobjekt kan vara en användare, en grupp, ett huvudnamn för programtjänsten eller en hanterad identitet för Azure-resurser.
Mer information om hur du använder Microsoft Entra-ID för att auktorisera åtkomst till tabelldata finns i Auktorisera åtkomst till tabeller med Hjälp av Microsoft Entra-ID.
Tilldela en Azure-roll
Du kan använda PowerShell, Azure CLI eller en Azure Resource Manager-mall för att tilldela en roll för dataåtkomst.
Viktigt!
Azure Portal stöder för närvarande inte tilldelning av en Azure RBAC-roll som är begränsad till tabellen. Om du vill tilldela en roll med tabellomfång använder du PowerShell, Azure CLI eller Azure Resource Manager.
Du kan använda Azure Portal för att tilldela en roll som ger åtkomst till tabelldata till en Azure Resource Manager-resurs, till exempel lagringskontot, resursgruppen eller prenumerationen.
Om du vill tilldela en Azure-roll till ett säkerhetsobjekt anropar du kommandot New-AzRoleAssignment . Formatet för kommandot kan variera beroende på tilldelningens omfattning. För att kunna köra kommandot måste du ha en roll som innehåller Microsoft.Authorization/roleAssignments/write-behörigheter som tilldelats dig i motsvarande omfång eller ovan.
Om du vill tilldela en roll som är begränsad till en tabell anger du en sträng som innehåller tabellens omfång för parametern --scope . Omfånget för en tabell finns i formuläret:
/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>
I följande exempel tilldelas rollen Lagringstabelldatadeltagare till en användare som är begränsad till en tabell. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser med dina egna värden:
New-AzRoleAssignment -SignInName <email> `
-RoleDefinitionName "Storage Table Data Contributor" `
-Scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"
Information om hur du tilldelar roller med PowerShell i omfånget prenumeration, resursgrupp eller lagringskonto finns i Tilldela Azure-roller med Azure PowerShell.
Tänk på följande punkter om Azure-rolltilldelningar i Azure Storage:
- När du skapar ett Azure Storage-konto tilldelas du inte automatiskt behörighet att komma åt data via Microsoft Entra-ID. Du måste uttryckligen tilldela dig själv en Azure-roll för Azure Storage. Du kan tilldela den på prenumerationsnivå, resursgrupp, lagringskonto eller tabell.
- När du tilldelar roller eller tar bort rolltilldelningar kan det ta upp till 10 minuter innan ändringarna börjar gälla.
- Inbyggda roller med dataåtgärder kan tilldelas i hanteringsgruppens omfång. I sällsynta scenarier kan det dock uppstå en betydande fördröjning (upp till 12 timmar) innan dataåtgärdsbehörigheter gäller för vissa resurstyper. Behörigheter kommer så småningom att tillämpas. För inbyggda roller med dataåtgärder rekommenderas inte tillägg eller borttagning av rolltilldelningar i hanteringsgruppens omfång för scenarier där aktivering eller återkallande av behörigheter i tid, till exempel Microsoft Entra Privileged Identity Management (PIM), krävs.
- Om lagringskontot är låst med ett skrivskyddat Azure Resource Manager-lås förhindrar låset tilldelning av Azure-roller som är begränsade till lagringskontot eller en tabell.