Tilldela en Azure-roll för åtkomst till blobdata

Tilldela en Azure roll för åtkomst till blobdata med hjälp av Azure rollbaserad åtkomstkontroll (Azure RBAC) och Microsoft Entra ID. Azure Storage inbyggda och anpassade roller hjälper dig att ge användare, grupper och program åtkomst med minst behörighet.

När du tilldelar en Azure roll till ett Microsoft Entra säkerhetsobjekt beviljar du åtkomst till dessa resurser för det säkerhetsobjektet. Ett Microsoft Entra-säkerhetsobjekt kan vara en användare, en grupp, ett huvudnamn för programtjänsten eller en hanterad identitet för Azure-resurser.

Mer information om hur du använder Microsoft Entra-ID för att auktorisera åtkomst till blobdata finns i Auktorisera åtkomst till blobar med hjälp av Microsoft Entra-ID.

När du skapar ett Azure Storage-konto tilldelas du inte automatiskt behörighet att komma åt data via Microsoft Entra-ID. Du måste uttryckligen tilldela dig själv en Azure-roll för Azure Storage. Du kan tilldela den på nivån för din prenumeration, resursgrupp, lagringskonto eller container.

Den här artikeln visar hur du tilldelar en Azure-roll för åtkomst till blobdata i ett lagringskonto. Mer information om hur du tilldelar roller för hanteringsåtgärder i Azure Storage finns i Använda Azure Storage-resursprovidern för att få åtkomst till hanteringsresurser.

Anteckning

Du kan skapa anpassade Azure RBAC-roller för detaljerad åtkomst till blobdata. Mer information finns i Anpassade Azure-roller.

Tilldela en Azure-roll

Du kan använda Azure Portal, PowerShell, Azure CLI eller en Azure Resource Manager-mall för att tilldela en roll för dataåtkomst.

Bestäm först vilka roller du vill tilldela. En lista över åtkomstroller för blobdata finns i Azure inbyggda roller för blobar.

Anteckning

Om du vill komma åt blobdata i Azure-portalen med hjälp av Microsoft Entra-autentiseringsuppgifterna, måste en användare minst ha rollen Azure Resource Manager Reader utöver en dataåtkomstroll som Storage Blob Data Reader eller Storage Blob Data Contributor. Se Dataåtkomst från Azure-portalen.
Tilldela roller till användare. Information om hur du tilldelar en Azure roll finns i Tilldela Azure roller med hjälp av Azure-portalen. Även om den artikeln inte är specifik för Azure Storage, är stegen för att tilldela roller konsekventa för alla Azure tjänster.

Om du vill tilldela en Azure roll till ett säkerhetsobjekt med hjälp av PowerShell anropar du kommandot New-AzRoleAssignment. Om du vill köra kommandot behöver du en roll som innehåller Microsoft. Auktorisering/rollTilldelningar/skriv behörigheter som tilldelats dig i motsvarande omfattning eller högre.

Formatet för kommandot kan variera beroende på tilldelningens omfattning, men parametrarna -ObjectId och -RoleDefinitionName krävs. Även om parametern -Scope inte krävs inkluderar du den för att behålla principen om lägsta behörighet. Genom att begränsa roller och omfång begränsar du de resurser som är i riskzonen om säkerhetsobjektet någonsin komprometteras.

Parametern -ObjectId är Microsoft Entra objekt-ID för användaren, gruppen eller tjänstens huvudnamn som du tilldelar rollen till. Om du vill hämta identifieraren använder du Get-AzADUser för att filtrera Microsoft Entra användare, som du ser i följande exempel.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Det första svaret returnerar säkerhetsobjektet och det andra returnerar säkerhetsobjektets objekt-ID.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Type              : 

aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb

Parametervärdet -RoleDefinitionName är namnet på den roll i RBAC som ska tilldelas till huvudprincipen. För att få åtkomst till blobdata i Azure Portal med Microsoft Entra-autentiseringsuppgifter måste en användare ha följande rolltilldelningar:

En dataåtkomstroll, till exempel Storage Blob Data Contributor eller Storage Blob Data Reader
Rollen Azure Resource Manager-läsare

Om du vill tilldela en roll som är begränsad till en blobcontainer eller ett lagringskonto anger du en sträng som innehåller resursens omfång för parametern -Scope . Den här åtgärden överensstämmer med principen om minsta behörighet, ett begrepp för informationssäkerhet där en användare får den lägsta åtkomstnivå som krävs för att utföra sina jobbfunktioner. Den här metoden minskar risken för oavsiktlig eller avsiktlig skada som onödiga privilegier kan medföra.

Omfånget för en container har formen:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Omfånget för ett lagringskonto är i formuläret :

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Om du vill tilldela en roll som är begränsad till ett lagringskonto anger du en sträng som innehåller containerns omfång för parametern --scope .

I följande exempel tilldelas rollen Storage Blob Data Contributor till en användare. Rolltilldelningen är begränsad till containernivån. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser (<>) med dina egna värden:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

I följande exempel tilldelas rollen Storage Blob Data Reader till en användare genom att ange objekt-ID: t. Rolltilldelningen är begränsad till lagringskontots nivå. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser (<>) med dina egna värden:

New-AzRoleAssignment -ObjectID "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Ditt resultat bör likna följande:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Information om hur du tilldelar roller med PowerShell i prenumerations- eller resursgruppsomfånget finns i Tilldela Azure-roller med Hjälp av Azure PowerShell.

Om du vill tilldela en Azure roll till ett säkerhetsobjekt med hjälp av Azure CLI använder du kommandot az role assignment create. Formatet för kommandot kan variera beroende på tilldelningens omfattning. Om du vill köra kommandot måste du ha en roll som innehåller Microsoft. Auktorisering/rollTilldelningar/skriv behörigheter som tilldelats dig i motsvarande omfattning eller högre.

Om du vill tilldela en roll som är begränsad till en container anger du en sträng som innehåller containerns omfång för parametern --scope . Omfånget för en container har formen:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

I följande exempel tilldelas rollen Storage Blob Data Reader till en användare genom att ange objekt-ID: t. Mer information om parametrarna --assignee-object-id och --assignee-principal-type finns i "az role assignment". I det här exemplet är rolltilldelningen begränsad till lagringskontots nivå. Ersätt exempelvärdena och platshållarvärdena inom hakparenteser (<>) med dina egna värden:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

När du tilldelar roller eller tar bort rolltilldelningar kan det ta upp till 10 minuter innan ändringarna börjar gälla.

Information om hur du tilldelar roller med Azure CLI i omfånget prenumeration, resursgrupp eller lagringskonto finns i Tilldela Azure-roller med Azure CLI.

När du tilldelar roller eller tar bort rolltilldelningar kan det ta upp till 10 minuter innan ändringarna börjar gälla. Om du tilldelar roller i hanteringsgruppens omfång kan det ta mycket längre tid. Se Fördröjningar för spridning av rolltilldelning för åtkomst till blobdata.

Anteckning

Om lagringskontot är låst med ett skrivskyddat Azure Resource Manager-lås förhindrar låset tilldelningen av Azure-roller som är begränsade till lagringskontot eller en container.

Nästa steg

Feedback

Var den här sidan till hjälp?

Last updated on 2026-05-09

Tilldela en Azure-roll för åtkomst till blobdata

Tilldela en Azure-roll

Nästa steg

Feedback

Ytterligare resurser