Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten

Weisen Sie eine Azure Rolle für den Zugriff auf Blobdaten mithilfe von Azure rollenbasierten Zugriffssteuerung (Azure RBAC) und Microsoft Entra ID zu. Die integrierten und benutzerdefinierten Rollen von Azure Storage ermöglichen es Ihnen, Benutzern, Gruppen und Anwendungen Zugriff mit den geringstmöglichen Rechten zu gewähren.

Wenn Sie einem Microsoft Entra Sicherheitsprinzipal eine Azure Rolle zuweisen, gewähren Sie zugriff auf diese Ressourcen für diesen Sicherheitsprinzipal. Ein Microsoft Entra-Sicherheitsprinzipal kann ein Benutzer/eine Benutzerin, eine Gruppe, ein Anwendungsdienstprinzipal oder eine verwaltete Identität für Azure-Ressourcen sein.

Weitere Informationen zur Verwendung von Microsoft Entra ID zum Autorisieren des Zugriffs auf Blob-Daten finden Sie unter Autorisieren des Zugriffs auf Blob-Daten mithilfe von Microsoft Entra ID.

Wenn Sie ein Azure Storage-Konto erstellen, erhalten Sie nicht automatisch Berechtigungen für den Zugriff auf Daten über Microsoft Entra ID. Sie müssen sich selbst explizit eine Azure-Rolle für Azure Storage zuweisen. Sie können sie auf Ebene Ihres Abonnements, einer Ressourcengruppe, eines Speicherkontos oder eines Containers zuordnen.

In diesem Artikel wird gezeigt, wie Sie eine Azure-Rolle für den Zugriff auf Blob-Daten in einem Speicherkonto zuweisen. Informationen zum Zuweisen von Rollen für Verwaltungsvorgänge in Azure Storage finden Sie unter Verwenden des Azure Storage-Ressourcenanbieters für den Zugriff auf Verwaltungsressourcen.

Hinweis

Sie können benutzerdefinierte Azure RBAC-Rollen für den präzisen Zugriff auf Blobdaten erstellen. Weitere Informationen finden Sie unter Benutzerdefinierte Azure-Rollen.

Zuweisen einer Azure-Rolle

Sie können das Azure-Portal, PowerShell, die Azure CLI oder eine Azure Resource Manager-Vorlage verwenden, um eine Rolle für den Datenzugriff zuzuweisen.

Entscheiden Sie zunächst, welche Rollen Sie zuweisen möchten. Eine Liste der Blobdatenzugriffsrollen finden Sie unter Azure integrierte Rollen für Blobs.

Hinweis

Um im Azure-Portal mithilfe der Microsoft Entra Anmeldeinformationen auf Blob-Daten zuzugreifen, muss ein Benutzer mindestens über die Azure Resource Manager Reader-Rolle verfügen, zusätzlich zu einer Datenzugriffsrolle wie der Storage Blob Data Reader oder der Storage Blob Data Contributor-Rolle. Siehe Datenzugriff über das Azure Portal.
Weisen Sie Nutzern Rollen zu. Informationen zum Zuweisen einer Azure Rolle finden Sie unter Assign Azure Rollen mithilfe des Azure Portals. Obwohl dieser Artikel nicht spezifisch für Azure Storage ist, sind die Schritte zum Zuweisen von Rollen für alle Azure Dienste konsistent.

Wenn Sie eine Azure-Rolle einem Sicherheitsprinzipal mithilfe von PowerShell zuweisen möchten, rufen Sie den Befehl New-AzRoleAssignment auf. Zum Ausführen des Befehls benötigen Sie eine Rolle, die Microsoft.Authorization/roleAssignments/write-Berechtigungen enthält, die Ihnen im entsprechenden Bereich oder höher zugewiesen wurden.

Das Format des Befehls kann sich je nach Umfang der Zuordnung unterscheiden, die Parameter -ObjectId und -RoleDefinitionName sind jedoch erforderlich. Während der -Scope Parameter nicht erforderlich ist, schließen Sie ihn ein, um das Prinzip der geringsten Rechte beizubehalten. Durch das Einschränken von Rollen und Bereichen begrenzen Sie die Ressourcen, die bei einer Kompromittierung des Sicherheitsprinzipals gefährdet sind.

Der Parameter -ObjectId ist die Microsoft Entra Objekt-ID des Benutzers, der Gruppe oder des Dienstprinzipals, dem Sie die Rolle zuweisen. Verwenden Sie Get-AzADUser, um die Kennung abzurufen und Microsoft Entra Benutzer zu filtern, wie im folgenden Beispiel gezeigt.

Get-AzADUser -DisplayName '<Display Name>'
(Get-AzADUser -StartsWith '<substring>').Id

Die erste Antwort gibt den Sicherheitsprinzipal und die zweite die Objekt-ID des Sicherheitsprinzipals zurück.

UserPrincipalName : markpdaniels@contoso.com
ObjectType        : User
DisplayName       : Mark P. Daniels
Id                : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Type              : 

aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb

Der Parameterwert -RoleDefinitionName ist der Name der RBAC-Rolle, die dem Prinzipal zugewiesen werden muss. Für den Zugriff auf Blob-Daten im Azure-Portal mit Microsoft Entra-Anmeldeinformationen müssen Benutzer über die folgenden Rollenzuweisungen verfügen:

Eine Datenzugriffsrolle, z. B. Mitwirkender an Storage-Blobdaten oder Storage-Blobdatenleser
Die Rolle des Azure Resource Managers Leseberechtigter

Wenn Sie einem Blobcontainer oder einem Speicherkonto eine Rolle zuweisen möchten, geben Sie eine Zeichenfolge an, die den Bereich der Ressource für den -Scope Parameter enthält. Diese Aktion entspricht dem Prinzip der geringsten Rechte, einem Informationssicherheitskonzept, bei dem einem Benutzer die geringstmögliche Zugriffsberechtigung zum Ausführen seiner Aufgaben gewährt wird. Diese Vorgehensweise verringert das potenzielle Risiko von versehentlichen oder absichtlichen Schäden, die durch unnötige Berechtigungen verursacht werden können.

Der Bereich für einen Container weist folgendes Format auf:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Der Bereich für ein Speicherkonto weist folgendes Format auf:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>

Geben Sie zum Zuweisen einer auf ein Speicherkonto begrenzten Rolle für den Parameter --scope eine Zeichenfolge an, die den Containerbereich enthält.

Im folgenden Beispiel wird einem Benutzer die Rolle Storage Blob Data Contributor zugewiesen. Die Rollenzuweisung ist auf die Containerebene eingeschränkt. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern (<>) durch Ihre eigenen Werte:

New-AzRoleAssignment -SignInName <email> `
    -RoleDefinitionName "Storage Blob Data Contributor" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Im folgenden Beispiel wird einem Benutzer durch Angabe der Objekt-ID die Rolle Storage-Blobdatenleser zugewiesen. Die Rollenzuweisung ist auf die Speicherkontoebene eingestellt. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern (<>) durch Ihre eigenen Werte:

New-AzRoleAssignment -ObjectID "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" `
    -RoleDefinitionName "Storage Blob Data Reader" `
    -Scope  "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Die Ausgabe sollte in etwa wie folgt aussehen:

RoleAssignmentId   : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>/providers/Microsoft.Authorization/roleAssignments/<Role Assignment ID>
Scope              : /subscriptions/<subscription ID>/resourceGroups/<Resource Group>/providers/Microsoft.Storage/storageAccounts/<Storage Account>
DisplayName        : Mark Patrick
SignInName         : markpdaniels@contoso.com
RoleDefinitionName : Storage Blob Data Reader
RoleDefinitionId   : <Role Definition ID>
ObjectId           : <Object ID>
ObjectType         : User
CanDelegate        : False

Informationen zum Zuweisen von Rollen mit PowerShell im Abonnement- oder Ressourcengruppenbereich finden Sie unter Zuweisen von Azure-Rollen mithilfe von Azure PowerShell.

Wenn Sie einem Sicherheitsprinzipal mithilfe von Azure CLI eine Azure Rolle zuweisen möchten, verwenden Sie den Befehl az role assignment create. Das Format des Befehls kann je nach Bereich der Zuweisung unterschiedlich sein. Um den Befehl auszuführen, müssen Sie über eine Rolle verfügen, die Microsoft.Authorization/roleAssignments/write-Berechtigungen im entsprechenden Bereich oder höher umfasst.

Geben Sie zum Zuweisen einer auf einen Container begrenzten Rolle für den Parameter --scope eine Zeichenfolge an, die den Containerbereich enthält. Der Bereich für einen Container weist folgendes Format auf:

/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>

Im folgenden Beispiel wird einem Benutzer die Rolle Storage Blob Data Contributor zugewiesen. Die Rollenzuweisung ist auf die Containerebene festgelegt. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern (<>) durch Ihre eigenen Werte:

az role assignment create \
    --role "Storage Blob Data Contributor" \
    --assignee <email> \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>/blobServices/default/containers/<container-name>"

Im folgenden Beispiel wird einem Benutzer durch Angabe der Objekt-ID die Rolle Storage-Blobdatenleser zugewiesen. Weitere Informationen zu den Parametern --assignee-object-id und --assignee-principal-type finden Sie unter az-Rollenzuweisung. In diesem Beispiel gilt Rollenzuweisung auf Speicherkontoebene. Ersetzen Sie die Beispielwerte und die Platzhalterwerte in Klammern (<>) durch Ihre eigenen Werte:

az role assignment create \
    --role "Storage Blob Data Reader" \
    --assignee-object-id "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb" \
    --assignee-principal-type "User" \
    --scope "/subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

Beim Zuweisen von Rollen oder Entfernen von Rollenzuweisungen kann es bis zu 10 Minuten dauern, bis Änderungen wirksam werden.

Informationen zum Zuweisen von Rollen mit der Azure-Befehlszeilenschnittstelle auf Abonnement-, Ressourcengruppen- oder Speicherkontoebene finden Sie unter Zuweisen von Azure-Rollen mithilfe der Azure-Befehlszeilenschnittstelle.

Beim Zuweisen von Rollen oder Entfernen von Rollenzuweisungen kann es bis zu 10 Minuten dauern, bis Änderungen wirksam werden. Wenn Sie Rollen im Verwaltungsgruppenbereich zuweisen, kann dies viel länger dauern. Weitere Informationen finden Sie unter Verzögerungen bei der Verteilung von Rollenzuweisungen für den Blob-Datenzugriff.

Hinweis

Wenn das Speicherkonto mit einer Read-Only-Sperre durch Azure Resource Manager gesperrt wurde, verhindert die Sperre die Zuweisung von Azure-Rollen, die für das Speicherkonto oder einen Container gelten.

Nächste Schritte

Feedback

War diese Seite hilfreich?

Last updated on 2026-05-09

Zuweisen einer Azure-Rolle für den Zugriff auf Blobdaten

Zuweisen einer Azure-Rolle

Nächste Schritte

Feedback

Zusätzliche Ressourcen