Roles de Azure necesarios para asignar tareas

En este artículo se describen los roles integrados de Azure con privilegios mínimos o las acciones de RBAC necesarias para administrar una asignación de tareas de almacenamiento.

Permiso para administrar asignaciones de tareas de almacenamiento

Para crear una asignación, la identidad debe asignarse al Colaborador de asignación de tareas acciones de almacenamiento como rol integrado o a un rol personalizado que contenga las siguientes acciones de RBAC:

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete
• Microsoft.Storage/storageAccounts/reports/read
• Microsoft.Storage/storageAccounts/read
• Microsoft.Storage/storageAccounts/blobServices/read
• Microsoft.Storage/storageAccounts/storageTaskAssignments/read
• Microsoft.Storage/storageAccounts/storageTaskAssignments/write
• Microsoft.Storage/storageAccounts/storageTaskAssignments/delete
• Microsoft.Storage/storageAccounts/storageTaskAssignments/reports/read

Para obtener información sobre cómo crear un rol personalizado, consulte Roles personalizados de Azure.

Permiso para que una tarea realice operaciones

A medida que crea una asignación, debe elegir un rol integrado o personalizado de Azure que tenga el permiso necesario para realizar las operaciones especificadas en la cuenta de almacenamiento de destino o en el contenedor de cuentas de almacenamiento. Ese rol se asigna a la identidad administrada de la tarea de almacenamiento. Solo puede elegir roles asignados a su identidad de usuario.

El rol Propietario de datos de Storage Blob proporciona todos los permisos necesarios para que una tarea de almacenamiento realice todas las operaciones de datos. Si prefiere usar un rol personalizado, debe asegurarse de que el rol contiene las acciones de RBAC necesarias para realizar las operaciones. En la tabla siguiente se muestran las acciones de RBAC necesarias para cada operación.

Consulte también

• Crear y administrar una asignación