Предоставить доступ к учетной записи хранения в Azure

Question

Я новичок в лазури и пытаюсь изучить лазурное хранилище. Предположим, я создал учетную запись хранения и сохранил несколько документов и хочу, чтобы все имели доступ к документу mt. Если я предоставлю свой URL, то каждый сможет получить к нему доступ, но я хочу, чтобы немногие пользователи имели доступ к моей учетной записи хранения, а также могли загружать нужные документы.

Пожалуйста, укажите мне, как этого добиться, и, если возможно, обратитесь и укажите ссылку, которая будет полезна для меня. Заранее спасибо.

Answer 1

Вы можете сгенерировать токен SAS Таким образом, вы можете предоставлять доступ другим, не разделяя ключи учетной записи.

Вы можете создать токен SAS для определенной службы (Blob, Queue, File) или для учетной записи SAS, которая позволяет предоставлять разрешение нескольким службам в рамках учетной записи хранения (например, Queue and Table.)

Токены SAS обеспечивают детальный контроль над типами доступа, включая:

• Интервал, в течение которого действует SAS, включая время начала и время истечения.
• Разрешения, предоставленные SAS. Например, SAS для большого двоичного объекта может предоставлять разрешения на чтение и запись для этого большого двоичного объекта, но не удалять разрешения.
• Необязательный IP-адрес или диапазон IP-адресов, с которых хранилище Azure будет принимать SAS. Например, вы можете указать диапазон IP-адресов, принадлежащих вашей организации.
• Протокол, по которому хранилище Azure будет принимать SAS. Этот необязательный параметр можно использовать для ограничения доступа клиентов, использующих HTTPS.

Answer 2

Хранилище Azure предлагает следующие варианты авторизации доступа к защищенным ресурсам:

• Интеграция Azure Active Directory (Azure AD) (предварительный просмотр) для больших двоичных объектов и очередей.Azure AD обеспечивает управление доступом на основе ролей (RBAC) для детального контроля доступа клиента к ресурсам в учетной записи хранения.Дополнительные сведения см. В разделе Аутентификация запросов к хранилищу Azure с помощью Azure Active Directory (предварительный просмотр).

• Общий ключ авторизации для BLOB-объектов, файлов, очередей и таблиц.Клиент, использующий Общий ключ, передает заголовок с каждым запросом, который подписан с использованием ключа доступа к учетной записи хранения.Для получения дополнительной информации см. Авторизация с общим ключом.

• Общие подписи доступа для BLOB-объектов, файлов, очередей и таблиц.Подписи общего доступа (SAS) предоставляют ограниченный делегированный доступ к ресурсам в учетной записи хранения.Добавление ограничений на временной интервал, в течение которого подпись действительна, или на предоставляемые ей разрешения, обеспечивает гибкость в управлении доступом.Для получения дополнительной информации см. Использование общих подписей доступа (SAS).

• Анонимный открытый доступ для чтения контейнеров и больших двоичных объектов.Авторизация не требуется.Для получения дополнительной информации см. Управление анонимным доступом для чтения к контейнерам и BLOB-объектам.

  По умолчанию все ресурсы в хранилище Azure защищены и доступны только владельцу учетной записи.Хотя вы можете использовать любую из стратегий авторизации, описанных выше, для предоставления клиентам доступа к ресурсам в вашей учетной записи хранения, Microsoft рекомендует по возможности использовать Azure AD для максимальной безопасности и простоты использования.

Answer 3

Есть несколько способов сделать это:

Генерировать и распространять токены SAS с правами чтения / записи .Это даст URL, срок действия которого истекает в данный момент времени.Вы можете сделать все это через портал, через код или с помощью контекстных меню в Azure Storage Explorer . Вот пример того, как сделать это с кодом .

Вы также можете назначить пользователям AAD роль, у которой есть разрешение на манипулирование ресурсами в учетной записи хранения , Вот список текущих ролей , поэтому вы можете выбрать подходящую для себя в зависимости от вашего варианта использования.Существуют роли предварительного просмотра , которые, по-видимому, не работают .

РЕДАКТИРОВАТЬ: MS только что объявила о предварительном просмотре поддержки AAD до объема контейнера или очереди ,Это, вероятно, гранулярность, которую вы искали.

РЕДАКТИРОВАТЬ 2: Теперь доступна полная поддержка RBAC для хранилища