Funções do Azure necessárias para atribuir tarefas

Este artigo descreve as funções internas menos privilegiadas do Azure ou as ações RBAC necessárias para gerenciar uma atribuição de tarefa de armazenamento.

Permissão para gerenciar atribuições de tarefas de armazenamento

Para criar uma atribuição, sua identidade deve ser atribuída ao Colaborador de Atribuição de Tarefas de Ações de Armazenamento como função interna ou a uma função personalizada que contenha as seguintes ações RBAC:

• Microsoft.Authorization/atribuiçõesDeFunções/write
• Microsoft.Authorization/roleAssignments/delete (eliminar atribuições de função)
• Microsoft.Storage/storageAccounts/reports/ler
• Microsoft.Storage/contasDeArmazenamento/ler
• Microsoft.Storage/storageAccounts/blobServices/read
• Microsoft.Storage/storageAccounts/storageTaskAssignments/read
• Microsoft.Storage/storageAccounts/storageTaskAssignments/write
• Microsoft.Storage/storageAccounts/storageTaskAssignments/delete
• Microsoft.Storage/storageAccounts/storageTaskAssignments/reports/read

Para saber como criar uma função personalizada, consulte Funções personalizadas do Azure.

Permissão para uma tarefa executar operações

Ao criar uma atribuição, você deve escolher uma função interna ou personalizada do Azure que tenha a permissão necessária para executar as operações especificadas na conta de armazenamento de destino ou no contêiner da conta de armazenamento. Essa função é atribuída à identidade gerenciada da tarefa de armazenamento. Você pode escolher apenas as funções atribuídas à sua identidade de usuário.

A função Proprietário de Dados de Blob de Armazenamento fornece todas as permissões necessárias para que uma tarefa de armazenamento execute todas as operações de dados. Se preferir usar uma função personalizada, verifique se a função contém as ações RBAC necessárias para executar as operações. A tabela a seguir mostra as ações RBAC exigidas por cada operação.

Ver também

• Criar e gerenciar uma atribuição