Azure-Rollen für Speicheraufgaben
In diesem Artikel werden die am wenigsten privilegierten integrierten Azure-Rollen oder RBAC-Aktionen beschrieben, die zum Lesen, Aktualisieren, Löschen und Zuweisen einer Speicheraufgabe erforderlich sind.
Wichtig
Azure Speichervorgänge befinden sich derzeit in der VORSCHAU und sind in diesen Regionen verfügbar. Die zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen enthalten rechtliche Bedingungen. Sie gelten für diejenigen Azure-Features, die sich in der Beta- oder Vorschauversion befinden oder aber anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Berechtigung zum Lesen, Bearbeiten oder Löschen einer Aufgabe
Sie müssen jeder Sicherheitsprinzipal in Ihrer Organisation eine Rolle zuweisen, die Zugriff auf die Speicheraufgabe benötigt. Informationen zum Zuweisen einer Azure-Rolle finden Sie unter Zuweisen von Azure-Rollen mithilfe des Azure-Portals.
Um Benutzern oder Anwendungen Zugriff auf die Speicheraufgabe zu gewähren, wählen Sie eine integrierte oder benutzerdefinierte Azure-Rolle aus, die über die zum Bearbeiten der Lese- oder Bearbeitungsaufgabe erforderliche Berechtigung verfügt. Wenn Sie eine benutzerdefinierte Rolle verwenden möchten, stellen Sie sicher, dass Ihre Rolle die RBAC-Aktionen enthält, die zum Lesen oder Bearbeiten der Aufgabe erforderlich sind. Orientieren Sie sich an der folgenden Tabelle.
| Berechtigungsstufe | Die integrierte Azure-Rolle | RBAC-Aktionen für benutzerdefinierte Rollen |
|---|---|---|
| Auflisten und Lesen von Speicheraufgaben | Contributor |
Microsoft.StorageActions/storageTasks/read |
| Erstellen und Aktualisieren von Speicheraufgaben | Contributor |
Microsoft.StorageActions/storageTasks/write |
| Löschen von Speicheraufgaben | Contributor |
Microsoft.StorageActions/storageTasks/delete |
Die Berechtigung zum Zuweisen einer Richtlinie
Eine Aufgabenzuweisung identifiziert ein Speicherkonto und eine Teilmenge von Objekten in diesem Konto, auf das die Speicheraufgabe ausgerichtet ist. Eine Zuordnung definiert auch, wann die Aufgabe ausgeführt wird und wo Ausführungsberichte gespeichert werden. Eine schrittweise Anleitung finden Sie unter Erstellen und Verwalten einer Speicheraufgabenzuweisung.
Um eine Zuweisung zu erstellen, muss Ihre Identität einer benutzerdefinierten Rolle zugewiesen werden, die die folgenden RBAC-Aktionen enthält:
Die
Microsot.Authorization.roleAssignments/writeAktion.Alle RBAC-Aktionen, die in der
Microsoft.Storage/StorageAccountsGruppe der RBAC-Aktion verfügbar sind.
Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter benutzerdefinierte Azure-Rolle.
Berechtigung für eine Aufgabe zum Ausführen von Vorgängen
Beim Erstellen einer Zuweisung müssen Sie eine integrierte oder benutzerdefinierte Azure-Rolle auswählen, die über die erforderliche Berechtigung zum Ausführen der angegebenen Vorgänge für das Zielspeicherkonto oder den Speicherkontocontainer verfügt. Sie können nur Rollen auswählen, die Ihrer Benutzeridentität zugewiesen sind. Wenn Sie eine benutzerdefinierte Rolle verwenden möchten, müssen Sie sicherstellen, dass Ihre Rolle die RBAC-Aktionen enthält, die zum Ausführen der Vorgänge erforderlich sind.
In der folgenden Tabelle sind die am wenigsten privilegierten integrierten Azure-Rollen sowie die RBAC-Aktionen aufgeführt, die für jeden Vorgang erforderlich sind.
| Berechtigung | Integrierte Rolle | RBAC-Aktionen für eine benutzerdefinierte Rolle |
|---|---|---|
| SetBlobTier | Besitzer von Speicherblobdaten | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobExpiry | Besitzer von Speicherblobdaten | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobTags | Besitzer von Speicherblobdaten | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobImmutabilityPolicy | Besitzer von Speicherblobdaten | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| SetBlobLegalHold | Besitzer von Speicherblobdaten | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
| DeleteBlob | Besitzer von Speicherblobdaten | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| UndeleteBlob | Besitzer von Speicherblobdaten | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |