Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten

Microsoft Entra autorisiert Rechte für den Zugriff auf geschützte Ressourcen über die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC). Azure Storage definiert eine Reihe von in Azure integrierten Rollen mit allgemeinen Berechtigungssätzen für den Zugriff auf Blob-Daten.

Wenn einem Microsoft Entra-Sicherheitsprinzipal eine Azure-Rolle zugewiesen wird, gewährt Azure diesem Sicherheitsprinzipal Zugriff auf diese Ressourcen. Ein Microsoft Entra-Sicherheitsprinzipal kann ein Benutzer/eine Benutzerin, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Identität für Azure-Ressourcen sein.

Weitere Informationen zur Verwendung von Microsoft Entra ID zum Autorisieren des Zugriffs auf Blob-Daten finden Sie unter Autorisieren des Zugriffs auf Blob-Daten mithilfe von Microsoft Entra ID.

Hinweis

In diesem Artikel wird gezeigt, wie Sie eine Azure-Rolle für den Zugriff auf Blob-Daten in einem Speicherkonto zuweisen. Informationen zum Zuweisen von Rollen für Verwaltungsvorgänge in Azure Storage finden Sie unter Verwenden des Azure Storage-Ressourcenanbieters für den Zugriff auf Verwaltungsressourcen.

Zuweisen einer Azure-Rolle

Sie können das Azure-Portal, PowerShell, die Azure CLI oder eine Azure Resource Manager-Vorlage verwenden, um eine Rolle für den Datenzugriff zuzuweisen.

Für den Zugriff auf Blob-Daten im Azure-Portal mit Microsoft Entra-Anmeldeinformationen müssen Benutzer über die folgenden Rollenzuweisungen verfügen:

  • Eine Datenzugriffsrolle, z. B. Storage-Blobdatenleser oder Mitwirkender an Storage-Blobdaten
  • Mindestens die Azure Resource Manager-Rolle Leser

Wenn Sie erfahren möchten, wie Sie diese Rollen einem Benutzer zuweisen, führen Sie die Anleitungen unter Zuweisen von Azure-Rollen über das Azure-Portal aus.

Die Rolle Leser ist eine Azure Resource Manager-Rolle, die es Benutzern ermöglicht, Ressourcen im Speicherkonto anzuzeigen, ohne sie ändern zu können. Sie bietet keine Leseberechtigungen für Daten in Azure Storage, sondern nur für Ressourcen zur Kontoverwaltung. Die Rolle Leser ist erforderlich, damit Benutzer im Azure-Portal zu Blobcontainern navigieren können.

Wenn Sie beispielsweise der Benutzerin Mary die Rolle Mitwirkender an Storage-Warteschlangendaten auf der Ebene eines Containers namens sample-container zuweisen, erhält Mary Lese-, Schreib- und Löschzugriff auf alle Blobs in diesem Container. Wenn Mary jedoch ein Blob im Azure-Portal anzeigen möchte, bietet die Rolle Mitwirkender an Storage-Blobdaten allein nicht genügend Berechtigungen, um im Portal zum Blob zu navigieren und ihn anzuzeigen. Die zusätzlichen Berechtigungen sind erforderlich, um durch das Portal zu navigieren und die anderen dort sichtbaren Ressourcen anzuzeigen.

Den Benutzern muss die Rolle Leser zugewiesen werden, damit sie das Azure-Portal mit Microsoft Entra-Anmeldeinformationen nutzen können. Wenn Benutzern/Benutzerinnen aber eine Rolle mit den Berechtigungen Microsoft.Storage/storageAccounts/listKeys/action zugewiesen wurde, können sie das Portal mit den Speicherkontoschlüsseln über die Autorisierung mit gemeinsam verwendeten Schlüsseln nutzen. Um die Speicherkontoschlüssel verwenden zu können, muss der Zugriff mit gemeinsam verwendeten Schlüsseln für das Speicherkonto zulässig sein. Weitere Informationen zum Erlauben oder Verweigern des Zugriffs auf gemeinsam verwendete Schlüssel finden Sie unter Verhindern der Autorisierung mit gemeinsam verwendeten Schlüsseln für ein Azure Storage-Konto.

Sie können auch eine Azure Resource Manager-Rolle zuweisen, die zusätzliche Berechtigungen über die Rolle Leser hinaus bietet. Das Zuweisen der geringstmöglichen Berechtigungen wird als bewährte Sicherheitsmethode empfohlen. Weitere Informationen finden Sie unter Bewährte Methoden für Azure RBAC.

Hinweis

Bevor Sie sich eine Rolle für den Datenzugriff zuweisen, können Sie bereits über das Azure-Portal auf Daten in Ihrem Speicherkonto zugreifen, da das Azure-Portal auch den Kontoschlüssel für den Datenzugriff nutzen kann. Weitere Informationen finden Sie unter Auswählen der Autorisierung des Zugriffs auf Blobdaten im Azure-Portal.

Beachten Sie die folgenden Punkte zu Azure-Rollenzuweisungen in Azure Storage:

  • Wenn Sie ein Azure Storage-Konto erstellen, erhalten Sie nicht automatisch Berechtigungen für den Zugriff auf Daten über Microsoft Entra ID. Sie müssen sich selbst explizit eine Azure-Rolle für Azure Storage zuweisen. Sie können sie auf Ebene Ihres Abonnements, einer Ressourcengruppe, eines Speicherkontos oder eines Containers zuordnen.
  • Beim Zuweisen von Rollen oder Entfernen von Rollenzuweisungen kann es bis zu 10 Minuten dauern, bis Änderungen wirksam werden.
  • Wenn das Speicherkonto mit einem Schreibschutz von Azure Resource Manager gesperrt wurde, verhindert diese Sperre die Zuweisung von Azure-Rollen, die für das Speicherkonto oder einen Container gelten.
  • Wenn Sie die entsprechenden Berechtigungen für den Zugriff auf Daten über Microsoft Entra ID festgelegt haben und nicht auf die Daten zugreifen können, erhalten Sie z. B. den Fehler „AuthorizationPermissionMismatch“. Stellen Sie sicher, dass Sie genügend Zeit für die Replikation Ihrer Änderungen an den Berechtigungen haben, die Sie in Microsoft Entra ID vorgenommen haben. Stellen Sie auch sicher, dass Ihr Zugriff nicht durch Ablehnungszuweisungen blockiert wird. Weitere Informationen finden Sie unter Grundlegendes zu Azure-Ablehnungszuweisungen.

Hinweis

Sie können benutzerdefinierte Azure RBAC-Rollen für den präzisen Zugriff auf Blobdaten erstellen. Weitere Informationen finden Sie unter Benutzerdefinierte Azure-Rollen.

Nächste Schritte