この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

１．ストレージ BLOB データ閲覧者、ストレージ BLOB データ共同作成者などのデータ アクセス ロール

２．閲覧者 ロール

 

の2つです。

ポイントは、リソースをリスト(表示)する為の「閲覧者」ロールと、「データアクセス」に必要なロールの2つが必要なことだと思います。これはStorage Accountのみで意識する必要があることです。

具体的なアクセス制御（IAM）設定の画面は以下のようになります。同じユーザに2つのロールを割り当てています。下記の設定により、Storage Accountのデータが閲覧可能となります。

「閲覧者」ロールが付与されていないと、該当ユーザがAzure Portal上からアクセス制御対象のストレージアカウントを表示できない（リソースとしてリストすることができない）ということになります。
「ストレージBLOBデータ閲覧者」のみのロールを割り当てた場合、以下のようにAzure Portal上で、表示できません。

一報、「閲覧者」のみを割り当てた場合でも、コンテナ内のデータにアクセスしようとした際に、以下のようにエラーとなります。以下エラーは、Storage Accountのデータに対するアクセス件が不足している場合に表示されます。

Storage Account については1つのロールだけでアクセス制御ができない為、少し注意が必要だと思います。なお、本件については、下記URLに記載があります。
BLOB データにアクセスするための Azure ロールを割り当てる

Azure portal で Azure AD の資格情報を使用して BLOB データにアクセスするには、ユーザーに次のロールが割り当てられている必要があります。

・ストレージ BLOB データ閲覧者、ストレージ BLOB データ共同作成者などのデータ アクセス ロール
・少なくとも Azure Resource Manager 閲覧者ロール
これらのロールをユーザーに割り当てる方法については、「Azure portal を使用して Azure ロールを割り当てる」に記載されている手順に従ってください。

閲覧者ロールは Azure Resource Manager のロールであり、ユーザーにストレージ アカウントのリソースの表示を許可しますが、変更は許可しません。
これは Azure Storage 内のデータに読み取りアクセス許可を提供しませんが、アカウント管理リソースに対してのみです。
ユーザーが Azure portal 内の BLOB コンテナーに移動できるようにするには、閲覧者ロールが必要です。

以下FAQについてもご参照ください。
Azure Blob Storageのコンテナーごとにアクセス制御を実施することはできますか？

Azure のストレージアカウントに保存したファイルをAzure Portalで閲覧することができない