Partilhar via


Funções do Azure para tarefas de armazenamento

Este artigo descreve as funções internas menos privilegiadas do Azure ou as ações RBAC necessárias para ler, atualizar, excluir e atribuir uma tarefa de armazenamento.

Importante

As Ações de Armazenamento do Azure estão atualmente em PREVIEW e estão disponíveis nessas regiões. Veja Termos de Utilização Complementares da Pré-visualizações do Microsoft Azure para obter os termos legais que se aplicam às funcionalidades do Azure que estão na versão beta, na pré-visualização ou que ainda não foram lançadas para disponibilidade geral.

Permissão para ler, editar ou excluir uma tarefa

Você deve atribuir uma função a qualquer entidade de segurança em sua organização que precise acessar a tarefa de armazenamento. Para saber como atribuir uma função do Azure, consulte Atribuir funções do Azure usando o portal do Azure.

Para dar aos usuários ou aplicativos acesso à tarefa de armazenamento, escolha uma função interna ou personalizada do Azure que tenha a permissão necessária para editar a tarefa de leitura ou edição. Se preferir usar uma função personalizada, verifique se a função contém as ações RBAC necessárias para ler ou editar a tarefa. Use a tabela a seguir como guia.

Nível de permissão Função interna do Azure Ações RBAC para funções personalizadas
Listar e ler tarefas de armazenamento Contributor Microsoft.StorageActions/storageTasks/read
Criar e atualizar tarefas de armazenamento Contributor Microsoft.StorageActions/storageTasks/write
Excluir tarefas de armazenamento Contributor Microsoft.StorageActions/storageTasks/delete

Permissão para atribuir uma tarefa

Uma atribuição de tarefa identifica uma conta de armazenamento e um subconjunto de objetos nessa conta que a tarefa de armazenamento terá como destino. Uma atribuição também define quando a tarefa é executada e onde os relatórios de execução são armazenados. Para obter orientação passo a passo, consulte Criar e gerenciar uma atribuição de tarefa de armazenamento.

Para criar uma atribuição, sua identidade deve receber uma função personalizada que contenha as seguintes ações RBAC:

  • A Microsoft.Authorization/roleAssignments/write ação.

  • Todas as ações RBAC que estão disponíveis no Microsoft.Storage/StorageAccounts conjunto de ações RBAC.

Para saber como criar uma função personalizada, consulte Funções personalizadas do Azure.

Permissão para uma tarefa executar operações

Ao criar uma atribuição, você deve escolher uma função interna ou personalizada do Azure que tenha a permissão necessária para executar as operações especificadas na conta de armazenamento de destino ou no contêiner da conta de armazenamento. Você pode escolher apenas as funções atribuídas à sua identidade de usuário. Se preferir usar uma função personalizada, verifique se a função contém as ações RBAC necessárias para executar as operações.

A tabela a seguir mostra a função interna menos privilegiada do Azure, bem como as ações RBAC exigidas por cada operação.

Permissão Função incorporada Ações RBAC para uma função personalizada
SetBlobTier Proprietário dos Dados do Armazenamento de Blobs Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobExpiry Proprietário dos Dados do Armazenamento de Blobs Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobTags Proprietário dos Dados do Armazenamento de Blobs Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
SetBlobImmutabilityPolicy Proprietário dos Dados do Armazenamento de Blobs Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
SetBlobLegalHold Proprietário dos Dados do Armazenamento de Blobs Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write
DeleteBlob Proprietário dos Dados do Armazenamento de Blobs Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete
UndeleteBlob Proprietário dos Dados do Armazenamento de Blobs Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write
Microsoft.Storage/storageAccounts/blobServices/containers/write

Consulte também