Ruoli di Azure per le attività di archiviazione
Questo articolo descrive i ruoli predefiniti di Azure con privilegi minimi o le azioni di controllo degli accessi in base al ruolo necessarie per leggere, aggiornare, eliminare e assegnare un'attività di archiviazione.
Importante
Azioni di Archiviazione di Azure + attualmente in ANTEPRIMA ed è disponibile in queste aree. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.
Autorizzazione per la lettura, la modifica o l'eliminazione di un'attività
È necessario assegnare un ruolo a qualsiasi entità di sicurezza dell'organizzazione che deve accedere all'attività di archiviazione. Per informazioni su come assegnare un ruolo di Azure, vedere Assegnare ruoli di Azure usando il portale di Azure.
Per concedere agli utenti o alle applicazioni l'accesso all'attività di archiviazione, scegliere un ruolo predefinito o personalizzato di Azure con l'autorizzazione necessaria per modificare l'attività di lettura o modifica. Se si preferisce usare un ruolo personalizzato, assicurarsi che il ruolo contenga le azioni di controllo degli accessi in base al ruolo necessarie per leggere o modificare l'attività. Utilizzare la tabella seguente come riferimento.
Livello di autorizzazione | Ruolo predefinito di Azure | Azioni controllo degli accessi in base al ruolo per ruoli personalizzati |
---|---|---|
Elencare e leggere le attività di archiviazione | Contributor |
Microsoft.StorageActions/storageTasks/read |
Creare e aggiornare le attività di archiviazione | Contributor |
Microsoft.StorageActions/storageTasks/write |
Eliminare le attività di archiviazione | Contributor |
Microsoft.StorageActions/storageTasks/delete |
Autorizzazione per assegnare un'attività
Un'assegnazione di attività identifica un account di archiviazione e un subset di oggetti in tale account di destinazione dell'attività di archiviazione. Un'assegnazione definisce anche quando l'attività viene eseguita e dove vengono archiviati i report di esecuzione. Per indicazioni dettagliate, vedere Creare e gestire un'assegnazione di attività di archiviazione.
Per creare un'assegnazione, all'identità deve essere assegnato un ruolo personalizzato che contiene le azioni di controllo degli accessi in base al ruolo seguenti:
Azione
Microsoft.Authorization/roleAssignments/write
.Tutte le azioni controllo degli accessi in base al ruolo disponibili nel set di azioni controllo degli accessi in base al
Microsoft.Storage/StorageAccounts
ruolo.
Per informazioni su come creare un ruolo personalizzato, vedere Ruoli personalizzati di Azure.
Autorizzazione per un'attività per eseguire operazioni
Quando si crea un'assegnazione, è necessario scegliere un ruolo predefinito o personalizzato di Azure con l'autorizzazione necessaria per eseguire le operazioni specificate nell'account di archiviazione di destinazione o nel contenitore dell'account di archiviazione. È possibile scegliere solo i ruoli assegnati all'identità utente. Se si preferisce usare un ruolo personalizzato, è necessario assicurarsi che il ruolo contenga le azioni di controllo degli accessi in base al ruolo necessarie per eseguire le operazioni.
La tabella seguente illustra il ruolo predefinito di Azure con privilegi minimi e le azioni di controllo degli accessi in base al ruolo richieste da ogni operazione.
Autorizzazione | Ruolo predefinito | Azioni controllo degli accessi in base al ruolo per un ruolo personalizzato |
---|---|---|
SetBlobTier | Proprietario dei dati del BLOB di archiviazione | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
SetBlobExpiry | Proprietario dei dati del BLOB di archiviazione | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
SetBlobTags | Proprietario dei dati del BLOB di archiviazione | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
SetBlobImmutabilityPolicy | Proprietario dei dati del BLOB di archiviazione | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
SetBlobLegalHold | Proprietario dei dati del BLOB di archiviazione | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |
DeleteBlob | Proprietario dei dati del BLOB di archiviazione | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
UndeleteBlob | Proprietario dei dati del BLOB di archiviazione | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write Microsoft.Storage/storageAccounts/blobServices/containers/write |