Usare il provider di risorse Archiviazione di Azure per accedere alle risorse di gestione
Azure Resource Manager è il servizio di distribuzione e gestione di Azure. Il provider di risorse Archiviazione di Azure è un servizio basato su Azure Resource Manager e che fornisce l'accesso alle risorse di gestione per Archiviazione di Azure. È possibile usare il provider di risorse Archiviazione di Azure per creare, aggiornare, gestire ed eliminare risorse come account di archiviazione, endpoint privati e chiavi di accesso all'account. Per altre informazioni su Azure Resource Manager, vedere Panoramica di Azure Resource Manager.
È possibile usare il provider di risorse Archiviazione di Azure per eseguire azioni quali la creazione o l'eliminazione di un account di archiviazione o il recupero di un elenco di account di archiviazione in una sottoscrizione. Per autorizzare le richieste al provider di risorse Archiviazione di Azure, usare Microsoft Entra ID. Questo articolo descrive come assegnare autorizzazioni alle risorse di gestione e fa riferimento ad esempi che illustrano come effettuare richieste al provider di risorse Archiviazione di Azure.
Risorse di gestione e risorse dati
Microsoft offre due API REST per l'uso delle risorse Archiviazione di Azure. Queste API costituiscono la base di tutte le azioni che è possibile eseguire su Archiviazione di Azure. L'API REST Archiviazione di Azure consente di usare i dati nell'account di archiviazione, inclusi BLOB, code, file e dati di tabella. L'API REST del provider di risorse Archiviazione di Azure consente di usare l'account di archiviazione e le risorse correlate.
Una richiesta che legge o scrive dati BLOB richiede autorizzazioni diverse rispetto a una richiesta che esegue un'operazione di gestione. Il controllo degli accessi in base al ruolo di Azure offre un controllo granulare sulle autorizzazioni per entrambi i tipi di risorse. Quando si assegna un ruolo di Azure a un'entità di sicurezza, assicurarsi di comprendere quali autorizzazioni verranno concesse all'entità. Per un riferimento dettagliato che descrive le azioni associate a ogni ruolo predefinito di Azure, vedere Ruoli predefiniti di Azure.
Archiviazione di Azure supporta l'uso di Microsoft Entra ID per autorizzare le richieste nell'archiviazione BLOB e code. Per informazioni sui ruoli di Azure per le operazioni sui dati blob e sulle code, vedere Autorizzare l'accesso a BLOB e code con Active Directory.
Assegnare autorizzazioni di gestione con il controllo degli accessi in base al ruolo di Azure
Ogni sottoscrizione di Azure ha un ID Microsoft Entra associato che gestisce utenti, gruppi e applicazioni. Un utente, un gruppo o un'applicazione viene anche definita entità di sicurezza nel contesto di Microsoft Identity Platform. È possibile concedere l'accesso alle risorse in una sottoscrizione a un'entità di sicurezza definita in Active Directory usando il controllo degli accessi in base al ruolo di Azure.
Quando si assegna un ruolo di Azure a un'entità di sicurezza, si indica anche l'ambito in cui sono effettive le autorizzazioni concesse dal ruolo. Per le operazioni di gestione, è possibile assegnare un ruolo a livello di sottoscrizione, gruppo di risorse o account di archiviazione. È possibile assegnare un ruolo di Azure a un'entità di sicurezza usando l'portale di Azure, l'interfaccia della riga di comando classica di Azure, PowerShell o l'API REST del provider di risorse Archiviazione di Azure.
Per altre informazioni, vedere Che cos'è il controllo degli accessi in base al ruolo di Azure e i ruoli di Azure, i ruoli di Microsoft Entra e i ruoli di amministratore della sottoscrizione classica.
Ruoli predefiniti per le operazioni di gestione
Azure fornisce ruoli predefiniti che concedono le autorizzazioni per le operazioni di gestione delle chiamate. Archiviazione di Azure fornisce anche ruoli predefiniti specifici per l'uso con il provider di risorse Archiviazione di Azure.
I ruoli predefiniti che concedono le autorizzazioni per chiamare le operazioni di gestione dell'archiviazione includono i ruoli descritti nella tabella seguente:
Ruolo di Azure | Descrizione | Include l'accesso alle chiavi dell'account? |
---|---|---|
Proprietario | Può gestire tutte le risorse di archiviazione e l'accesso alle risorse. | Sì, fornisce le autorizzazioni per visualizzare e rigenerare le chiavi dell'account di archiviazione. |
Collaboratore | Può gestire tutte le risorse di archiviazione, ma non può gestire l'accesso alle risorse. | Sì, fornisce le autorizzazioni per visualizzare e rigenerare le chiavi dell'account di archiviazione. |
Lettore | Può visualizzare informazioni sull'account di archiviazione, ma non può visualizzare le chiavi dell'account. | Nr. |
Collaboratore account di archiviazione | Può gestire l'account di archiviazione, ottenere informazioni sui gruppi di risorse e sulle risorse della sottoscrizione e creare e gestire le distribuzioni dei gruppi di risorse della sottoscrizione. | Sì, fornisce le autorizzazioni per visualizzare e rigenerare le chiavi dell'account di archiviazione. |
Amministratore accessi utente | Può gestire l'accesso all'account di archiviazione. | Sì, consente a un'entità di sicurezza di assegnare le autorizzazioni a se stessi e ad altri utenti. |
Collaboratore macchine virtuali | Può gestire le macchine virtuali, ma non l'account di archiviazione a cui sono connessi. | Sì, fornisce le autorizzazioni per visualizzare e rigenerare le chiavi dell'account di archiviazione. |
La terza colonna della tabella indica se il ruolo predefinito supporta Microsoft.Archiviazione/storageAccounts/listkeys/action. Questa azione concede le autorizzazioni per leggere e rigenerare le chiavi dell'account di archiviazione. Le autorizzazioni per accedere alle risorse di gestione Archiviazione di Azure non includono anche le autorizzazioni per accedere ai dati. Tuttavia, se un utente ha accesso alle chiavi dell'account, può usare le chiavi dell'account per accedere ai dati Archiviazione di Azure tramite l'autorizzazione con chiave condivisa.
Ruoli personalizzati per le operazioni di gestione
Azure supporta anche la definizione di ruoli personalizzati di Azure per l'accesso alle risorse di gestione. Per altre informazioni sui ruoli personalizzati, vedere Ruoli personalizzati di Azure.
Esempi di codice
Per esempi di codice che illustrano come autorizzare e chiamare operazioni di gestione dalle librerie di gestione Archiviazione di Azure, vedere gli esempi seguenti:
Azure Resource Manager e distribuzioni classiche
I modelli di distribuzione classica e Resource Manager rappresentano due diversi modi di distribuire e gestire le soluzioni Azure. Microsoft consiglia di usare il modello di distribuzione Azure Resource Manager quando si crea un nuovo account di archiviazione. Se possibile, Microsoft consiglia anche di ricreare gli account di archiviazione classici esistenti con il modello di Resource Manager. Anche se è possibile creare un account di archiviazione usando il modello di distribuzione classica, il modello classico è meno flessibile e alla fine sarà deprecato.
Per altre informazioni sui modelli di distribuzione di Azure, vedere Resource Manager e distribuzione classica.