Zuweisen einer Azure-Rolle für den Zugriff auf Warteschlangendaten
Microsoft Entra autorisiert Rechte für den Zugriff auf geschützte Ressourcen über die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Azure Storage definiert eine Reihe von in Azure integrierten Rollen mit allgemeinen Berechtigungssätzen für den Zugriff auf Warteschlangendaten.
Wenn einem Microsoft Entra-Sicherheitsprinzipal eine Azure-Rolle zugewiesen wird, gewährt Azure diesem Sicherheitsprinzipal Zugriff auf diese Ressourcen. Ein Microsoft Entra-Sicherheitsprinzipal kann ein Benutzer, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Identität für Azure-Ressourcen sein.
Weitere Informationen zur Verwendung von Microsoft Entra ID zum Autorisieren des Zugriffs auf Warteschlangendaten finden Sie unter Autorisieren des Zugriffs auf Warteschlangen mithilfe von Microsoft Entra ID.
Hinweis
In diesem Artikel wird gezeigt, wie Sie eine Azure-Rolle für den Zugriff auf Warteschlangendaten in einem Speicherkonto zuweisen. Informationen zum Zuweisen von Rollen für Verwaltungsvorgänge in Azure Storage finden Sie unter Verwenden des Azure Storage-Ressourcenanbieters für den Zugriff auf Verwaltungsressourcen.
Zuweisen einer Azure-Rolle
Sie können das Azure-Portal, PowerShell, die Azure CLI oder eine Azure Resource Manager-Vorlage verwenden, um eine Rolle für den Datenzugriff zuzuweisen.
Für den Zugriff auf Warteschlangendaten im Azure-Portal mit Microsoft Entra-Anmeldeinformationen müssen Benutzer*innen über die folgenden Rollenzuweisungen verfügen:
- Eine Datenzugriffsrolle, z. B. Mitwirkender an Storage-Warteschlangendaten
- Die Azure Resource Manager-Rolle Leser
Wenn Sie erfahren möchten, wie Sie diese Rollen einem Benutzer zuweisen, führen Sie die Anleitungen unter Zuweisen von Azure-Rollen über das Azure-Portal aus.
Die Rolle Leser ist eine Azure Resource Manager-Rolle, die es Benutzern ermöglicht, Ressourcen im Speicherkonto anzuzeigen, ohne sie ändern zu können. Sie bietet keine Leseberechtigungen für Daten in Azure Storage, sondern nur für Ressourcen zur Kontoverwaltung. Die Rolle Leser ist erforderlich, damit Benutzer im Azure-Portal zu Warteschlangen und Nachrichten navigieren können.
Wenn Sie beispielsweise dem Benutzer Mario auf der Ebene der Warteschlange sample-queue die Rolle Mitwirkender an Storage-Warteschlangendaten zuweisen, erhält Mario Lese-, Schreib- und Löschzugriff auf diese Warteschlange. Wenn Mario jedoch eine Warteschlange im Azure-Portal anzeigen möchte, bietet die Rolle Mitwirkender an Storage-Warteschlangendaten allein nicht genügend Berechtigungen, um über das Portal zur Warteschlange zu navigieren, um sie anzuzeigen. Die zusätzlichen Berechtigungen sind erforderlich, um durch das Portal zu navigieren und die anderen dort sichtbaren Ressourcen anzuzeigen.
Den Benutzern muss die Rolle Leser zugewiesen werden, damit sie das Azure-Portal mit Microsoft Entra-Anmeldeinformationen nutzen können. Wenn ihm aber eine Rolle mit den Berechtigungen Microsoft.Storage/storageAccounts/listKeys/action zugewiesen wurde, kann er das Portal mit den Speicherkontoschlüsseln über die Autorisierung mit gemeinsam verwendeten Schlüsseln nutzen. Um die Speicherkontoschlüssel verwenden zu können, muss der Zugriff mit gemeinsam verwendeten Schlüsseln für das Speicherkonto zulässig sein. Weitere Informationen zum Erlauben oder Verweigern des Zugriffs auf gemeinsam verwendete Schlüssel finden Sie unter Verhindern der Autorisierung mit gemeinsam verwendeten Schlüsseln für ein Azure Storage-Konto.
Sie können auch eine Azure Resource Manager-Rolle zuweisen, die zusätzliche Berechtigungen über die Rolle Leser hinaus bietet. Das Zuweisen der geringstmöglichen Berechtigungen wird als bewährte Sicherheitsmethode empfohlen. Weitere Informationen finden Sie unter Bewährte Methoden für Azure RBAC.
Hinweis
Bevor Sie sich eine Rolle für den Datenzugriff zuweisen, können Sie bereits über das Azure-Portal auf Daten in Ihrem Speicherkonto zugreifen, da das Azure-Portal auch den Kontoschlüssel für den Datenzugriff nutzen kann. Weitere Informationen finden Sie unter Auswählen der Autorisierung des Zugriffs auf Warteschlangendaten im Azure-Portal.
Beachten Sie die folgenden Punkte zu Azure-Rollenzuweisungen in Azure Storage:
- Wenn Sie ein Azure Storage-Konto erstellen, erhalten Sie nicht automatisch Berechtigungen für den Zugriff auf Daten über Microsoft Entra ID. Sie müssen sich selbst explizit eine Azure-Rolle für Azure Storage zuweisen. Sie können sie auf Ebene Ihres Abonnements, einer Ressourcengruppe, eines Speicherkontos oder einer Warteschlange zuweisen.
- Beim Zuweisen von Rollen oder Entfernen von Rollenzuweisungen kann es bis zu 10 Minuten dauern, bis Änderungen wirksam werden.
- Integrierte Rollen mit Datenaktionen können im Geltungsbereich der Verwaltungsgruppenebene zugewiesen werden. In seltenen Szenarien kann jedoch eine erhebliche Verzögerung (bis zu 12 Stunden) auftreten, bevor Datenaktionsberechtigungen auf bestimmte Ressourcentypen angewendet werden. Die Berechtigungen werden aber letztendlich angewendet. Für integrierte Rollen mit Datenaktionen wird das Hinzufügen oder Entfernen von Rollenzuweisungen im Geltungsbereich der Verwaltungsgruppe nicht empfohlen, wenn die rechtzeitige Aktivierung oder Sperrung von Berechtigungen wie Microsoft Entra Privileged Identity Management (PIM) erforderlich ist.
- Wenn das Speicherkonto mit einem Schreibschutz von Azure Resource Manager gesperrt wurde, verhindert diese Sperre die Zuweisung von Azure-Rollen, die für das Speicherkonto oder eine Warteschlange gelten.