Funções do Azure necessárias para atribuir tarefas

Este artigo descreve as funções internas menos privilegiadas do Azure ou as ações RBAC necessárias para gerenciar uma atribuição de tarefa de armazenamento.

Permissão para gerenciar atribuições de tarefa de armazenamento

Para criar uma atribuição, sua identidade deve ser atribuída ao Colaborador de Atribuição de Tarefas de Ações de Armazenamento como uma função interna ou uma função personalizada que contenha as seguintes ações RBAC:

• Microsoft.Authorization/roleAssignments/write
• Microsoft.Authorization/roleAssignments/delete
• Microsoft.Storage/storageAccounts/reports/read
• Microsoft.Storage/storageAccounts/read
• Microsoft.Storage/storageAccounts/blobServices/read
• Microsoft.Storage/storageAccounts/storageTaskAssignments/read
• Microsoft.Storage/storageAccounts/storageTaskAssignments/write
• Microsoft.Storage/storageAccounts/storageTaskAssignments/delete
• Microsoft.Storage/storageAccounts/storageTaskAssignments/reports/read

Para saber como criar uma função personalizada, consulte Funções personalizadas do Azure.

Permissão para uma tarefa executar operações

Ao criar uma atribuição, você deve escolher uma função interna ou personalizada do Azure que tenha a permissão necessária para executar as operações especificadas na conta de armazenamento de destino ou no contêiner da conta de armazenamento. Essa função é atribuída à identidade gerenciada da tarefa de armazenamento. Você pode escolher apenas as funções atribuídas à sua identidade de usuário.

A função Proprietário de Dados do Blob de Armazenamento fornece todas as permissões necessárias para que uma tarefa de armazenamento execute todas as operações de dados. Se preferir usar uma função personalizada, certifique-se de que sua função contenha as ações RBAC necessárias para executar as operações. A tabela a seguir mostra as ações RBAC requeridas por cada operação.

Consulte também

• Criar e gerenciar uma atribuição