Сетевые правила создания контейнера блокировки учетной записи хранения

Question

Следуя инструкциям для CLI Azure «Быстрый старт» при создании большого двоичного объекта .

Похоже, что-то в учетной записи хранения по умолчанию блокирует возможность создания новых контейнеров; тем не менее, "defaultAction" равно Allow:

Следующий Azure CLI:

az storage container create --account-name meaningfulname --name nancy --auth-mode login

... приводит к ошибке, объясняющей, что сетевые правила учетной записи хранения могут быть причина:

The request may be blocked by network rules of storage account. Please check network rule set using 'az storage account show -n accountname --query networkRuleSet'.
If you want to change the default action to apply when no rule matches, please use 'az storage account update'.

Используя предложение из вышеприведенного сообщения, команда "show" для имени учетной записи дает:

> az storage account show -n meaningfulname --query networkRuleSet
{
  "bypass": "AzureServices",
  "defaultAction": "Allow",
  "ipRules": [],
  "virtualNetworkRules": []
}

Я думаю, что Azure CLI будет в числе «служб», которые могут обходить и выполнять операции. И действие по умолчанию показалось бы мне вполне допустимым.

Я сделал поиск по сообщениям об ошибках и командам (и вариациям). Похоже, не очень много в том, что я не знаю, причуды Azure CLI, так что, возможно, это настолько очевидно, что люди ничего не написали. Я не думаю, что я дублирую

Answer 1

Текущей конфигурации networkRuleSet достаточно. Я не могу воспроизвести эту проблему с той же networkRuleSet конфигурацией, что и у вас. Таким образом, вы можете перепроверить, есть ли опечатка для учетной записи хранения при создании контейнера или запросе networkRuleSet.

По умолчанию учетные записи хранения принимают подключения от клиентов в любой сети. Чтобы ограничить доступ к выбранным сетям, вы должны сначала изменить действие по умолчанию.

Если вам нужно разрешить доступ к вашей учетной записи хранения только с некоторых указанных c IP-адресов или указанных c подсетей и разрешить Azure услуги, вы можете добавить его следующим образом,

{
  "bypass": "AzureServices",
  "defaultAction": "Deny",
  "ipRules": [
    {
      "action": "Allow",
      "ipAddressOrRange": "100.100.100.100"
    }
  ],
  "virtualNetworkRules": [
    {
      "action": "Allow",
      "virtualNetworkResourceId": "subnetID"
    }
  ]
}

С Azure CLI, Установите правило по умолчанию, чтобы разрешить доступ к сети по умолчанию.

az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Deny

az storage account update --resource-group "myresourcegroup" --name "mystorageaccount" --default-action Allow

См. Изменить правило доступа к сети по умолчанию для получения более подробной информации.

Редактировать

В этом случае вы устанавливаете для параметра --auth-mode для входа значение авторизация с Azure учетными данными AD . Необходимо убедиться, что у участника безопасности Azure AD, с которым вы входите в Azure CLI, есть разрешение на выполнение операций с данными в хранилище BLOB-объектов или очереди. Для получения дополнительной информации о ролях RBA C в Azure Storage см. Управление правами доступа к Azure Хранение данных с помощью RBA C.

.