Zuweisen einer Azure-Rolle für den Zugriff auf Tabellendaten

Microsoft Entra autorisiert Rechte für den Zugriff auf geschützte Ressourcen über die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Azure Storage definiert eine Reihe von in Azure integrierten Rollen mit allgemeinen Berechtigungssätzen für den Zugriff auf Tabellendaten in Azure Storage.

Wenn einem Microsoft Entra-Sicherheitsprinzipal eine Azure-Rolle zugewiesen ist, gewährt Azure diesem Sicherheitsprinzipal Zugriff auf diese Ressourcen. Ein Microsoft Entra-Sicherheitsprinzipal kann ein Benutzer bzw. eine Benutzerin, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Identität für Azure-Ressourcen sein.

Weitere Informationen zur Verwendung von Microsoft Entra ID zum Autorisieren des Zugriffs auf Tabellendaten finden Sie unter Autorisieren des Zugriffs auf Tabellen mithilfe von Microsoft Entra ID.

Zuweisen einer Azure-Rolle

Sie können PowerShell, die Azure CLI oder eine Azure Resource Manager-Vorlage verwenden, um eine Rolle für den Datenzugriff zuzuweisen.

Wichtig

Das Zuweisen einer Azure RBAC-Rolle, die für die Tabelle gilt, wird im Azure-Portal derzeit nicht unterstützt. Verwenden Sie PowerShell, Azure CLI oder Azure Resource Manager, um eine Rolle mit einem Tabellenbereich zuzuweisen.

Sie können das Azure-Portal verwenden, um einer Azure Resource Manager-Ressource, z. B. dem Speicherkonto, der Ressourcengruppe oder dem Abonnement, eine Rolle zuzuweisen, die Zugriff auf Tabellendaten gewährt.

Wenn Sie eine Azure-Rolle einem Sicherheitsprinzipal zuweisen möchten, rufen Sie den Befehl New-AzRoleAssignment auf. Das Format des Befehls kann je nach Bereich der Zuweisung unterschiedlich sein. Zur Ausführung des Befehls müssen Sie über eine Rolle verfügen, die Microsoft.Authorization/roleAssignments/write-Berechtigungen enthält, die Ihnen im entsprechenden Bereich oder höher zugewiesen wurden.

Geben Sie zum Zuweisen einer auf eine Tabelle begrenzten Rolle für den Parameter --scope eine Zeichenfolge an, die den Tabellenbereich enthält. Der Bereich für eine Tabelle weist folgendes Format auf:

/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table-name>

Im folgenden Beispiel wird die Rolle Mitwirkender an Storage-Tabellendaten einem Benutzer zugewiesen und auf eine Tabelle begrenzt. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern durch Ihre eigenen Werte:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Table Data Contributor" `
    -Scope  "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/tableServices/default/tables/<table>"

Informationen zum Zuweisen von Rollen mit PowerShell im Abonnement-, Ressourcengruppen- oder Speicherkontobereich finden Sie unter Zuweisen von Azure-Rollen mithilfe von Azure PowerShell.

Beachten Sie die folgenden Punkte zu Azure-Rollenzuweisungen in Azure Storage:

  • Wenn Sie ein Azure Storage-Konto erstellen, erhalten Sie nicht automatisch Berechtigungen für den Zugriff auf Daten über Microsoft Entra ID. Sie müssen sich selbst explizit eine Azure-Rolle für Azure Storage zuweisen. Sie können sie auf Ebene Ihres Abonnements, einer Ressourcengruppe, eines Speicherkontos oder einer Tabelle zuweisen.
  • Beim Zuweisen von Rollen oder Entfernen von Rollenzuweisungen kann es bis zu 10 Minuten dauern, bis Änderungen wirksam werden.
  • Integrierte Rollen mit Datenaktionen können im Geltungsbereich der Verwaltungsgruppenebene zugewiesen werden. In seltenen Szenarien kann jedoch eine erhebliche Verzögerung (bis zu 12 Stunden) auftreten, bevor Datenaktionsberechtigungen auf bestimmte Ressourcentypen angewendet werden. Die Berechtigungen werden aber letztendlich angewendet. Für integrierte Rollen mit Datenaktionen wird das Hinzufügen oder Entfernen von Rollenzuweisungen im Geltungsbereich der Verwaltungsgruppe nicht empfohlen, wenn die rechtzeitige Aktivierung oder Sperrung von Berechtigungen wie Microsoft Entra Privileged Identity Management (PIM) erforderlich ist.
  • Wenn das Speicherkonto mit einem Schreibschutz von Azure Resource Manager gesperrt wurde, verhindert diese Sperre die Zuweisung von Azure-Rollen, die für das Speicherkonto oder eine Tabelle gelten.

Nächste Schritte