Роли Azure для задач хранения
В этой статье описаны наименее привилегированные встроенные роли Azure или действия RBAC, необходимые для чтения, обновления, удаления и назначения задачи хранения.
Внимание
служба хранилища Azure Действия в настоящее время находятся в предварительной версии и доступны в этих регионах. Юридические условия, применимые к функциям Azure, которые находятся в состоянии бета-версии, предварительной версии или иным образом еще не выпущены в общедоступной версии, см. на странице Дополнительные условия использования предварительных версий в Microsoft Azure.
Разрешение на чтение, изменение или удаление задачи
Необходимо назначить роль любому субъекту безопасности в организации, которому требуется доступ к задаче хранения. Сведения о назначении роли Azure см. в статье "Назначение ролей Azure с помощью портал Azure".
Чтобы предоставить пользователям или приложениям доступ к задаче хранения, выберите встроенную или пользовательскую роль Azure, которая имеет разрешение на изменение задачи чтения или редактирования. Если вы предпочитаете использовать пользовательскую роль, убедитесь, что ваша роль содержит действия RBAC, необходимые для чтения или изменения задачи. Используйте следующую таблицу для справки.
| Уровень разрешений | Встроенная роль Azure | Действия RBAC для пользовательских ролей |
|---|---|---|
| Перечисление и чтение задач хранения | Contributor |
Microsoft.StorageActions/storageTasks/read |
| Создание и обновление задач хранения | Contributor |
Microsoft.StorageActions/storageTasks/write |
| Удаление задач хранения | Contributor |
Microsoft.StorageActions/storageTasks/delete |
Разрешение на назначение задачи
Назначение задачи определяет учетную запись хранения и подмножество объектов в этой учетной записи, целевой задаче хранения. Назначение также определяет, когда выполняется задача и где хранятся отчеты о выполнении. Пошаговые инструкции см. в статье "Создание и управление назначением служба хранилища задач".
Чтобы создать назначение, удостоверение должно быть назначено настраиваемой роли, содержащей следующие действия RBAC:
Действие
Microsot.Authorization.roleAssignments/write.Все действия RBAC, доступные в наборе
Microsoft.Storage/StorageAccountsдействий RBAC.
Сведения о создании настраиваемой роли см. в статье о пользовательских ролях Azure.
Разрешение на выполнение операций для задачи
При создании назначения необходимо выбрать встроенную или настраиваемую роль Azure, которая имеет разрешение, необходимое для выполнения указанных операций в целевой учетной записи хранения или контейнере учетной записи хранения. Вы можете выбрать только роли, назначенные удостоверению пользователя. Если вы предпочитаете использовать пользовательскую роль, необходимо убедиться, что ваша роль содержит действия RBAC, необходимые для выполнения операций.
В следующей таблице показаны наименее привилегированные встроенные роли Azure, а также действия RBAC, необходимые для каждой операции.
| Разрешение | Встроенная роль | Действия RBAC для пользовательской роли |
|---|---|---|
| SetBlobTier | владелец данных BLOB-объектов хранилища; | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobExpiry | владелец данных BLOB-объектов хранилища; | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobTags | владелец данных BLOB-объектов хранилища; | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobImmutabilityPolicy | владелец данных BLOB-объектов хранилища; | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| SetBlobLegalHold | владелец данных BLOB-объектов хранилища; | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| DeleteBlob | владелец данных BLOB-объектов хранилища; | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| Отмена leteBlob | владелец данных BLOB-объектов хранилища; | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |