Kuyruk verilerine erişim için Azure rolü atama
Microsoft Entra, Azure rol tabanlı erişim denetimi (Azure RBAC) aracılığıyla güvenli kaynaklara erişim haklarını yetkiler. Azure Depolama, kuyruk verilerine erişmek için kullanılan yaygın izin kümelerini kapsayan bir dizi Azure yerleşik rolü tanımlar.
Microsoft Entra güvenlik sorumlusuna bir Azure rolü atandığında, Azure bu güvenlik sorumlusu için bu kaynaklara erişim verir. Microsoft Entra güvenlik sorumlusu bir kullanıcı, grup, uygulama hizmet sorumlusu veya Azure kaynakları için yönetilen kimlik olabilir.
Kuyruk verilerine erişimi yetkilendirmek için Microsoft Entra Id kullanma hakkında daha fazla bilgi edinmek için bkz . Microsoft Entra Id kullanarak kuyruklara erişimi yetkilendirme.
Dekont
Bu makalede, depolama hesabındaki kuyruk verilerine erişim için Azure rolü atama adımları gösterilmektedir. Azure Depolama'da yönetim işlemlerine rol atama hakkında bilgi edinmek için bkz. Yönetim kaynaklarına erişmek için Azure Depolama kaynak sağlayıcısını kullanma.
Azure rolü atama
Veri erişimi için bir rol atamak için Azure portalı, PowerShell, Azure CLI veya Azure Resource Manager şablonunu kullanabilirsiniz.
Azure portalında Microsoft Entra kimlik bilgileriyle kuyruk verilerine erişmek için kullanıcının aşağıdaki rol atamalarına sahip olması gerekir:
- Depolama Kuyruk Verileri Katkıda Bulunanı gibi bir veri erişim rolü
- Azure Resource Manager Okuyucusu rolü
Bu rolleri bir kullanıcıya nasıl atayacağınızı öğrenmek için Azure portalını kullanarak Azure rolleri atama başlığında sağlanan yönergeleri izleyin.
Okuyucu rolü, kullanıcıların depolama hesabı kaynaklarını görüntülemesine izin veren ancak değiştirmelerine izin veren bir Azure Resource Manager rolüdür. Azure Depolama'daki verilere okuma izinleri sağlamaz, yalnızca hesap yönetimi kaynaklarına yöneliktir. Kullanıcıların Azure portalında kuyruklara ve iletilere gidebilmesi için Okuyucu rolü gereklidir.
Örneğin, Depolama Kuyruk Verileri Katkıda Bulunanı rolünü Kullanıcı Mary'ye sample-queue adlı bir kuyruk düzeyinde atarsanız, Mary'ye bu kuyruğa okuma, yazma ve silme erişimi verilir. Ancak Mary, Azure portalında bir kuyruğu görüntülemek istiyorsa, Depolama Kuyruk Verileri Katkıda Bulunanı rolü portaldan kuyruğa gitmek için yeterli izinleri sağlamaz. Portalda gezinmek ve orada görünen diğer kaynakları görüntülemek için ek izinler gereklidir.
Kullanıcıya Azure portalını Microsoft Entra kimlik bilgileriyle kullanabilmesi için Okuyucu rolü atanmalıdır. Ancak, kullanıcıya Microsoft.Depolama ile bir rol atanmışsa/storageAccounts/listKeys/action izinleri, kullanıcı Paylaşılan Anahtar yetkilendirmesi aracılığıyla depolama hesabı anahtarlarıyla portalı kullanabilir. Depolama hesabı anahtarlarını kullanmak için, depolama hesabı için Paylaşılan Anahtar erişimine izin verilmelidir. Paylaşılan Anahtar erişimine izin verme veya erişimi reddetme hakkında daha fazla bilgi için bkz. Azure Depolama hesabı için Paylaşılan Anahtar yetkilendirmesini engelleme.
Okuyucu rolünün ötesinde ek izinler sağlayan bir Azure Resource Manager rolü de atayabilirsiniz. Mümkün olan en düşük izinleri atamak, en iyi güvenlik uygulaması olarak önerilir. Daha fazla bilgi için bkz. Azure RBAC için en iyi deneyimler.
Dekont
Kendinize veri erişimi için bir rol atamadan önce, Azure portalı veri erişimi için hesap anahtarını da kullanabileceğinden, depolama hesabınızdaki verilere Azure portalı üzerinden erişebilirsiniz. Daha fazla bilgi için bkz . Azure portalında kuyruk verilerine erişimi yetkilendirmeyi seçme.
Azure Depolama Azure rol atamaları hakkında aşağıdaki noktaları aklınızda bulundurun:
- Bir Azure Depolama hesabı oluşturduğunuzda, Microsoft Entra Kimliği aracılığıyla verilere erişim izinleri otomatik olarak atanmamış olur. Azure Depolama için kendinize açıkça bir Azure rolü atamanız gerekir. Aboneliğiniz, kaynak grubunuz, depolama hesabınız veya kuyruğunuz düzeyinde atayabilirsiniz.
- Depolama hesabı bir Azure Resource Manager salt okunur kilidiyle kilitlenmişse, kilit depolama hesabı veya kuyruk kapsamındaki Azure rollerinin atanmasını engeller.