Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve as funções internas menos privilegiadas do Azure ou as ações RBAC necessárias para gerenciar uma atribuição de tarefa de armazenamento.
Permissão para gerenciar atribuições de tarefa de armazenamento
Para criar uma atribuição, sua identidade deve ser atribuída ao Colaborador de Atribuição de Tarefas de Ações de Armazenamento como uma função interna ou uma função personalizada que contenha as seguintes ações RBAC:
- Microsoft.Authorization/roleAssignments/write
- Microsoft.Authorization/roleAssignments/delete
- Microsoft.Storage/storageAccounts/reports/read
- Microsoft.Storage/storageAccounts/read
- Microsoft.Storage/storageAccounts/blobServices/read
- Microsoft.Storage/storageAccounts/storageTaskAssignments/read
- Microsoft.Storage/storageAccounts/storageTaskAssignments/write
- Microsoft.Storage/storageAccounts/storageTaskAssignments/delete
- Microsoft.Storage/storageAccounts/storageTaskAssignments/reports/read
Para saber como criar uma função personalizada, consulte Funções personalizadas do Azure.
Permissão para uma tarefa executar operações
Ao criar uma atribuição, você deve escolher uma função interna ou personalizada do Azure que tenha a permissão necessária para executar as operações especificadas na conta de armazenamento de destino ou no contêiner da conta de armazenamento. Essa função é atribuída à identidade gerenciada da tarefa de armazenamento. Você pode escolher apenas as funções atribuídas à sua identidade de usuário.
O papel recomendado para incorporado é Operador de Dados de Blob de Ações de Armazenamento. Este é um papel criado especialmente para a identidade gerenciada por Ações de Armazenamento. Ele concede exatamente as permissões de plano de dados necessárias para executar todas as operações suportadas pelas Ações de Armazenamento hoje — incluindo mudanças de nível, tags, expiração, exclusão, desaletação, imutabilidade e retenção legal — sem conceder acesso mais amplo aos seus dados.
O papel de Operador de Dados de Blob de Ações de Armazenamento concede as seguintes permissões:
| Permissão | Tipo | Ação do RBAC |
|---|---|---|
Liste contêineres; ler e criar contêineres (necessários para operações como SetBlobImmutabilityPolicy e SetBlobLegalHold) |
Action |
Microsoft.Storage/storageAccounts/blobServices/containers/read, Microsoft.Storage/storageAccounts/blobServices/containers/write |
| Leia conteúdo e propriedades do blob | Ação sobre dados | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/read |
| Modificar blobs (tier, expiração, propriedades) | Ação sobre dados | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/write |
| Excluir blobs | Ação sobre dados | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| Adicionar (criar) novos blobs | Ação sobre dados | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/add/action |
| Ler e escrever tags de índice blob | Ação sobre dados |
Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/read, Microsoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| Realizar operações com blob privilegiado (como desaletação) | Ação sobre dados | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/runAsSuperUser/action |
| Políticas de imutabilidade e holds legais definidas | Ação sobre dados | Microsoft.Storage/storageAccounts/blobServices/containers/blobs/immutableStorage/runAsSuperUser/action |
Dica
O Operador de Dados de Blob de Ações de Armazenamento é o papel recomendado para a identidade gerenciada da tarefa de armazenamento. O papel de Proprietário dos Dados do Blob de Armazenamento também abrange todas as operações realizadas pelas Ações de Armazenamento e permanece suportado, mas concede permissões mais amplas do que as Ações de Armazenamento exigem. Prefiro o Operador de Dados de Blob de Ações de Armazenamento para novas atribuições.
Se você preferir usar um papel personalizado para a identidade gerenciada da tarefa de armazenamento, deve garantir que seu papel contenha as ações RBAC necessárias para realizar as operações definidas na tarefa. A tabela a seguir mapeia cada operação de Ações de Armazenamento para as ações RBAC que um papel personalizado deve incluir.
Nota
Para a maioria dos clientes, o papel embutido de Operador de Dados de Ações de Armazenamento descrito acima é o caminho mais simples e é preferível. A tabela por operação abaixo é destinada a organizações que precisam compor um papel personalizado mais enxuto do que o que o cargo incorporado oferece.
| Permissão | Ações RBAC para uma função personalizada |
|---|---|
| SetBlobTier | Microsoft. Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobExpiry | Microsoft. Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobTags | Microsoft. Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/write |
| SetBlobImmutabilityPolicy | Microsoft. Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/writeMicrosoft.Storage/storageAccounts/blobServices/containers/write |
| SetBlobLegalHold | Microsoft. Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/writeMicrosoft.Storage/storageAccounts/blobServices/containers/write |
| DeleteBlob | Microsoft. Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/delete |
| UndeleteBlob | Microsoft. Storage/storageAccounts/blobServices/containers/blobs/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/writeMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/readMicrosoft.Storage/storageAccounts/blobServices/containers/blobs/tags/writeMicrosoft.Storage/storageAccounts/blobServices/containers/write |