你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

用于存储任务的 Azure 角色

本文介绍读取、更新、删除和分配存储任务所需的最低特权内置 Azure 角色或 RBAC 操作。

重要

Azure 存储操作目前为预览版,已在这些区域中提供。 有关 beta 版本、预览版或尚未正式发布的版本的 Azure 功能所适用的法律条款,请参阅 Microsoft Azure 预览版的补充使用条款

读取、编辑或删除任务的权限

必须将角色分配给组织中需要访问存储任务的任何安全主体。 若要了解如何分配 Azure RBAC 角色,请参阅使用 Azure 门户分配 Azure 角色

若要向用户或应用程序授予对存储任务的访问权限,请选择具有编辑读取或编辑任务所需的权限的 Azure 内置或自定义角色。 如果想要使用自定义角色,请确保角色包含读取或编辑任务所需的 RBAC 操作。 使用下表作为指南。

权限级别 Azure 内置角色 自定义角色的 RBAC 操作
列出和读取存储任务 Contributor Microsoft.StorageActions/storageTasks/read
创建和更新存储任务 Contributor Microsoft.StorageActions/storageTasks/write
删除存储任务 Contributor Microsoft.StorageActions/storageTasks/delete

分配任务的权限

任务分配会标识存储帐户和该账户中存储任务将面向的对象子集。 分配还指定任务何时运行,以及存储执行报告的位置。 有关分步指南,请参阅创建和管理存储帐户分配

若要创建分配,必须为标识分配包含以下 RBAC 操作的自定义角色:

  • Microsot.Authorization.roleAssignments/write 操作。

  • Microsoft.Storage/StorageAccounts 组 RBAC 操作中提供的所有 RBAC 操作。

若要了解如何创建自定义角色的说明,请参阅 Azure 自定义角色

任务执行操作的权限

创建分配时,必须选择具有对目标存储帐户或存储帐户容器执行指定操作所需的权限的 Azure 内置或自定义角色。 只能选择分配给用户标识的角色。 如果想要使用自定义角色,必须确保角色包含执行操作所需的 RBAC 操作。

下表显示了最低特权的内置 Azure 角色以及每个操作所需的 RBAC 操作。

权限 内置角色 自定义角色的 RBAC 操作
SetBlobTier 存储 Blob 数据所有者 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobExpiry 存储 Blob 数据所有者 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobTags 存储 Blob 数据所有者 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobImmutabilityPolicy 存储 Blob 数据所有者 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
SetBlobLegalHold 存储 Blob 数据所有者 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
DeleteBlob 存储 Blob 数据所有者 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
UndeleteBlob 存储 Blob 数据所有者 Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write

另请参阅