Ошибка «Несоответствие разрешений авторизации» хранилища BLOB-объектов Azure для запроса на получение с токеном AD

Question

Я создаю приложение Angular 6, которое сможет выполнять операции CRUD в хранилище BLOB-объектов Azure.Однако я использую почтальон для проверки запросов перед их реализацией внутри приложения и копирую токен, который я получаю от Angular для этого ресурса.

При попытке прочитать файл, который есть в хранилище, для тестированияцели, которые я получаю: AuthorizationPermissionMismatch Этот запрос не авторизован для выполнения этой операции с использованием этого разрешения.

• Все в производственной среде (хотя разрабатывается)
• Токен, приобретенный специально для ресурса хранилища через Oauth
• Почтальон использует стратегию токена в качестве «носителя»
• Приложение имеет делегированные разрешения «Хранилище Azure».
• Оба приложенияи учетная запись, которую я получаю, для добавления токена добавляются как «владельцы» в управление доступом Azure. IAM
• Мой IP-адрес добавляется в настройки CORS в хранилище BLOB-объектов.
• StorageV2 (общего назначения, версия 2)- Стандартный - Горячий
• Используемый заголовок x-ms-version: 2018-03-28, потому что это последняя версия, которую я смог найти, и я только что создал учетную запись хранения.

Answer 1

Имейте в виду, что если вы хотите применить роль «ХРАНИЛИЩЕ BLOB DATA XXXX» в области подписки, она не будет работать, если ваша подписка имеет пространства имен Azure DataBricks:

Если ваша подписка включает в себя Azure DataBricksпространство имен, роли, назначенные в области подписки, будут заблокированы от предоставления доступа к данным BLOB и очередей.

Источник: https://docs.microsoft.com/en-us/azure/storage/common/storage-auth-aad-rbac-portal#determine-resource-scope

Answer 2

Я обнаружил, что недостаточно добавить приложение и учетную запись в качестве владельцев, я бы зашел в вашу учетную запись хранилища> IAM> Добавить роль и добавил специальное разрешение для этого типа запроса, ХРАНИЛИЩ ДАННЫХ ХРАНИЛИЩА BLOB (ПРЕДВАРИТЕЛЬНОЕ ПРОСМОТР)