Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Entra разрешает доступ к защищенным ресурсам с помощью управления доступом на основе ролей Azure (Azure RBAC). Служба хранилища Azure определяет набор встроенных ролей Azure, охватывающих общие наборы разрешений, используемых для доступа к данным BLOB-объектов.
Когда роль Azure назначается субъекту безопасности Microsoft Entra, Azure предоставляет доступ к этим ресурсам для этого субъекта безопасности. Субъект безопасности Microsoft Entra может быть пользователем, группой, субъектом-службой приложений или управляемым удостоверением для ресурсов Azure.
Дополнительные сведения об использовании идентификатора Microsoft Entra для авторизации доступа к данным BLOB-объектов см. в статье "Авторизация доступа к BLOB-объектам с помощью идентификатора Microsoft Entra".
Примечание.
В этой статье показано, как назначить роль Azure для доступа к данным больших двоичных объектов в учетной записи хранения. Дополнительные сведения о назначении ролей для операций управления в службе хранилища Azure см. в статье Использование поставщика ресурсов службы хранилища Azure для доступа к ресурсам управления.
Назначьте роль Azure
Вы можете использовать портал Azure, PowerShell, Azure CLI или шаблон Azure Resource Manager, чтобы назначить роль для доступа к данным.
Чтобы получить доступ к данным объектов BLOB в портале Azure с учетными данными Microsoft Entra, пользователь должен иметь следующие назначения ролей.
- Роль доступа к данным, например Читатель данных хранилища BLOB-объектов или Участник данных хранилища BLOB-объектов
- Как минимум, роль Читатель в Azure Resource Manager
Чтобы узнать, как назначить эти роли пользователю, следуйте инструкциям в статье Назначение ролей Azure на портале Azure.
Роль Читатель в Azure Resource Manager позволяет пользователям просматривать ресурсы учетной записи хранения, но не изменять их. Он не предоставляет разрешения на чтение данных в службе хранилища Azure, а только для ресурсов управления учетными записями. Роль Читатель требуется, чтобы пользователи могли переходить к BLOB-контейнерам на портале Azure.
Например, если назначить роль Storage Blob Data Contributor пользователю Mary на уровне контейнера с именем sample-container, то пользователю Mary будет предоставлен доступ на чтение, запись и удаление всех объектов BLOB в этом контейнере. Однако если Мэри хочет просмотреть BLOB-объект в портале Azure, одна роль участника данных BLOB-объектов хранилища сама по себе не предоставляет достаточно разрешений для навигации через портал к BLOB-объекту, чтобы просмотреть его. Для перемещения по порталу и просмотра других ресурсов, доступных на портале, требуются дополнительные разрешения.
Пользователю необходимо назначить роль читателя, чтобы использовать портал Azure с учетными данными Microsoft Entra. Однако если пользователю назначена роль с разрешениями Microsoft.Storage/storageAccounts/listKeys/action , пользователь может использовать портал с ключами учетной записи хранения с помощью авторизации общего ключа. Для использования ключей учетной записи хранилища необходимы разрешения на доступ к учетной записи с помощью общих ключей. Дополнительные сведения о том, как разрешить или запретить доступ к общим ключам, см. в разделе Запрет авторизации с общим ключом для учетной записи хранения Azure.
Вы также можете назначить роль Azure Resource Manager, которая предоставляет дополнительные разрешения за пределами роли читателя . По соображениям безопасности рекомендуется назначить минимальные возможные разрешения. Дополнительные сведения см. в разделе Рекомендации по работе с Azure RBAC.
Примечание.
Прежде чем назначать себе роль для доступа к данным, вы сможете получить доступ к данным в учетной записи хранения с помощью портала Azure, так как портал Azure также может использовать ключ учетной записи для доступа к данным. Дополнительные сведения см. в разделе Выбор способа авторизации доступа к данным BLOB-объектов на портале Azure.
Учитывайте следующие аспекты назначения ролей Azure в службе хранилища Azure:
- При создании учетной записи хранилища Azure разрешения на доступ к данным через Microsoft Entra ID не назначаются автоматически. Для службы хранилища Azure вы должны вручную назначить себе роль Azure. Вы можете назначить ее на уровне подписки, группы ресурсов, учетной записи хранения, контейнера.
- При назначении ролей или удалении назначений ролей может потребоваться до 10 минут, чтобы изменения вступили в силу.
- Встроенные роли с действиями с данными можно назначить в области группы управления. Однако в редких сценариях может возникнуть значительный задержка (до 12 часов), прежде чем разрешения на действия данных эффективны для определенных типов ресурсов. В конечном итоге будут применены разрешения. Для встроенных ролей с действиями с данными, добавление или удаление назначений ролей в области группы управления не рекомендуется в сценариях, где требуется своевременная активация или отзыв разрешений, таких как Microsoft Entra Privileged Identity Management (PIM).
- Если учетная запись хранения заблокирована с помощью блокировки только для чтения Azure Resource Manager, нельзя назначить роли Azure, у которых в качестве области действия выступает учетная запись хранения или контейнер.
- Если вы устанавливаете соответствующие разрешения на доступ к данным с помощью идентификатора Microsoft Entra и не сможете получить доступ к данным, например вы получаете ошибку AuthorizationPermissionMismatch. Обязательно разрешите достаточно времени для изменений разрешений, внесенных в идентификатор Microsoft Entra ID, для репликации и убедитесь, что у вас нет никаких запретов назначений, которые блокируют доступ, см . раздел "Общие сведения о запретах Azure".
Примечание.
Вы можете создать настраиваемые роли Azure RBAC для детализированного управления доступом к данным BLOB-объектов. Дополнительные сведения см. в статье Настраиваемые роли Azure.