Назначение роли Azure для доступа к данным BLOB-объектов

Назначьте роль Azure для доступа к данным объектов BLOB с помощью ролевого управления доступом Azure (Azure RBAC) и Microsoft Entra ID. служба хранилища Azure встроенные и пользовательские роли помогают предоставить пользователям, группам и приложениям доступ к минимальным привилегиям.

При назначении роли Azure субъекту безопасности Microsoft Entra предоставляется доступ к этим ресурсам для этого субъекта безопасности. Субъект безопасности Microsoft Entra может быть пользователем, группой, субъектом-службой приложений или управляемым удостоверением для ресурсов Azure.

Дополнительные сведения об использовании идентификатора Microsoft Entra для авторизации доступа к данным BLOB-объектов см. в статье "Авторизация доступа к BLOB-объектам с помощью идентификатора Microsoft Entra".

При создании учетной записи хранилища Azure разрешения на доступ к данным через Microsoft Entra ID не назначаются автоматически. Для службы хранилища Azure вы должны вручную назначить себе роль Azure. Вы можете назначить ее на уровне подписки, группы ресурсов, учетной записи хранения, контейнера.

В этой статье показано, как назначить роль Azure для доступа к данным больших двоичных объектов в учетной записи хранения. Дополнительные сведения о назначении ролей для операций управления в службе хранилища Azure см. в статье Использование поставщика ресурсов службы хранилища Azure для доступа к ресурсам управления.

Примечание.

Вы можете создать настраиваемые роли Azure RBAC для детализированного управления доступом к данным BLOB-объектов. Дополнительные сведения см. в статье Настраиваемые роли Azure.

Назначьте роль Azure

Вы можете использовать портал Azure, PowerShell, Azure CLI или шаблон Azure Resource Manager, чтобы назначить роль для доступа к данным.

  1. Сначала определите, какие роли нужно назначить. Список ролей доступа к данным больших двоичных объектов см. в статье Azure встроенные роли для больших двоичных объектов.

    Примечание.

    Чтобы получить доступ к данным BLOB-объектов на портале Azure с помощью учетных данных Microsoft Entra, пользователь должен иметь роль Azure Resource Manager Reader как минимум, в дополнение к роли доступа к данным, такой как роль Storage Blob Data Reader или Storage Blob Data Contributor. См. Доступ к данным из портала Azure.

  2. Назначение ролей пользователям Чтобы назначить роли Azure, см. Назначение ролей Azure с помощью портала Azure. Хотя эта статья не зависит от служба хранилища Azure, шаги по назначению ролей согласованы для всех служб Azure.

При назначении ролей или удалении назначений ролей может потребоваться до 10 минут, чтобы изменения вступили в силу. Если вы назначаете роли на уровне группы управления, это может занять гораздо больше времени. См. Задержки распространения назначений ролей для доступа к BLOB-данным.

Примечание.

Если учетная запись хранения заблокирована с помощью блокировки только для чтения Azure Resource Manager, нельзя назначить роли Azure, у которых в качестве области действия выступает учетная запись хранения или контейнер.

Следующие шаги