Condividi tramite


Ruoli di Azure per le attività di archiviazione

Questo articolo descrive i ruoli predefiniti di Azure con privilegi minimi o le azioni di controllo degli accessi in base al ruolo necessarie per leggere, aggiornare, eliminare e assegnare un'attività di archiviazione.

Importante

Azioni di Archiviazione di Azure + attualmente in ANTEPRIMA ed è disponibile in queste aree. Vedere le condizioni per l'utilizzo supplementari per le anteprime di Microsoft Azure per termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, in anteprima o in altro modo non ancora disponibili a livello generale.

Autorizzazione per la lettura, la modifica o l'eliminazione di un'attività

È necessario assegnare un ruolo a qualsiasi entità di sicurezza dell'organizzazione che deve accedere all'attività di archiviazione. Per informazioni su come assegnare un ruolo di Azure, vedere Assegnare ruoli di Azure usando il portale di Azure.

Per concedere agli utenti o alle applicazioni l'accesso all'attività di archiviazione, scegliere un ruolo predefinito o personalizzato di Azure con l'autorizzazione necessaria per modificare l'attività di lettura o modifica. Se si preferisce usare un ruolo personalizzato, assicurarsi che il ruolo contenga le azioni di controllo degli accessi in base al ruolo necessarie per leggere o modificare l'attività. Utilizzare la tabella seguente come riferimento.

Livello di autorizzazione Ruolo predefinito di Azure Azioni controllo degli accessi in base al ruolo per ruoli personalizzati
Elencare e leggere le attività di archiviazione Contributor Microsoft.StorageActions/storageTasks/read
Creare e aggiornare le attività di archiviazione Contributor Microsoft.StorageActions/storageTasks/write
Eliminare le attività di archiviazione Contributor Microsoft.StorageActions/storageTasks/delete

Autorizzazione per assegnare un'attività

Un'assegnazione di attività identifica un account di archiviazione e un subset di oggetti in tale account di destinazione dell'attività di archiviazione. Un'assegnazione definisce anche quando l'attività viene eseguita e dove vengono archiviati i report di esecuzione. Per indicazioni dettagliate, vedere Creare e gestire un'assegnazione di attività di archiviazione.

Per creare un'assegnazione, all'identità deve essere assegnato un ruolo personalizzato che contiene le azioni di controllo degli accessi in base al ruolo seguenti:

  • Azione Microsoft.Authorization/roleAssignments/write .

  • Tutte le azioni controllo degli accessi in base al ruolo disponibili nel set di azioni controllo degli accessi in base al Microsoft.Storage/StorageAccounts ruolo.

Per informazioni su come creare un ruolo personalizzato, vedere Ruoli personalizzati di Azure.

Autorizzazione per un'attività per eseguire operazioni

Quando si crea un'assegnazione, è necessario scegliere un ruolo predefinito o personalizzato di Azure con l'autorizzazione necessaria per eseguire le operazioni specificate nell'account di archiviazione di destinazione o nel contenitore dell'account di archiviazione. È possibile scegliere solo i ruoli assegnati all'identità utente. Se si preferisce usare un ruolo personalizzato, è necessario assicurarsi che il ruolo contenga le azioni di controllo degli accessi in base al ruolo necessarie per eseguire le operazioni.

La tabella seguente illustra il ruolo predefinito di Azure con privilegi minimi e le azioni di controllo degli accessi in base al ruolo richieste da ogni operazione.

Autorizzazione Ruolo predefinito Azioni controllo degli accessi in base al ruolo per un ruolo personalizzato
SetBlobTier Proprietario dei dati del BLOB di archiviazione Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobExpiry Proprietario dei dati del BLOB di archiviazione Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobTags Proprietario dei dati del BLOB di archiviazione Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobImmutabilityPolicy Proprietario dei dati del BLOB di archiviazione Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
SetBlobLegalHold Proprietario dei dati del BLOB di archiviazione Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
DeleteBlob Proprietario dei dati del BLOB di archiviazione Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
UndeleteBlob Proprietario dei dati del BLOB di archiviazione Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write

Vedi anche