Аутентификация с учетной записью хранения azure без использования первичных или вторичных ключей - PullRequest
Новая
       12

Аутентификация с учетной записью хранения azure без использования первичных или вторичных ключей

0 голосов
/ 06 апреля 2020

Насколько я понимаю, существует два типа токенов SAS, когда дело доходит до Azure Учетная запись хранения.

  1. токены SAS уровня учетной записи
  2. контейнер BLOB-объектов / токен SAS уровня очереди

Я заметил, что если мы не решим использовать основной / дополнительный ключи для аутентификации с использованием учетной записи хранения и использования токенов уровня SAS в качестве механизма аутентификации, тогда я не могу создать токены уровня SAS контейнера BLOB-объектов с помощью подписи Stored Access. Это почему? Есть ли способ заставить его работать? Я не хочу предоставлять доступ к своей службе для ключей уровня учетной записи и хочу создать токены SAS для реализации RBA C во время выполнения, есть ли способ для того же?

1 Ответ

1 голос
/ 06 апреля 2020

Я заметил, что если мы не решим использовать первичные / вторичные ключи для аутентификации с помощью учетной записи хранения и использовать токены уровня SAS в качестве механизма аутентификации, то я не смогу создать токены уровня SAS контейнера BLOB-объектов, используя Подпись хранимого доступа. Почему это так?

Это по замыслу. Контейнерный уровень SAS позволяет работать только на уровне контейнера, где вы можете выполнять операции с BLOB-объектами внутри этого контейнера. Создание контейнера BLOB-объектов - это действие на уровне учетной записи, поэтому вам необходимо будет использовать учетную запись SAS. В настоящее время в учетной записи SAS отсутствует концепция политики общего доступа.

Я не хочу предоставлять доступ к моей службе для ключей уровня учетной записи и хочу создать токены SAS для реализации RBA. C во время выполнения, есть ли способ для того же самого?

Да, есть. Azure Поддержка хранилища BLOB-объектов Azure Аутентификация / авторизация на основе AD, а также поддержка управления доступом на основе ролей (RBA C), доступная в подписке Azure. Вы можете назначить гранулированные роли RBA C своим пользователям в Azure AD, и они смогут выполнять только те операции, которые разрешены их ролями. Подробнее об этом можно прочитать здесь: https://docs.microsoft.com/en-us/azure/storage/common/storage-auth-aad.

Более подробную информацию о различных вариантах авторизации можно найти в Azure Хранение здесь: https://docs.microsoft.com/en-us/rest/api/storageservices/authorize-requests-to-azure-storage .

...