Azure Хранилище - Разрешенная служба Microsoft при установленном брандмауэре

Question

Я пытаюсь подключить приложение publi c logi c (не среду ISE) к учетной записи хранения, которая ограничена Vnet. Согласно документации учетной записи хранилища, доступ должен быть возможен с использованием идентификатора, управляемого системой.

Однако я только что попробовал использовать 3 разных подписки, и результат всегда один:

    {
    "status": 403,
    "message": "This request is not authorized to perform this operation.\r\nclientRequestId: 2ada961e-e4c5-4dae-81a2-520397f277a6",
    "error": {
    "message": "This request is not authorized to perform this operation."
    },
    "source": "azureblob-we.azconn-we-01.p.azurewebsites.net"
    }

Доступ уже предоставлен с разными ролями IAM, включая владельца. Это похоже на то, что служба, которая должна быть разрешена в соответствии с документацией, не разрешена.

Параметр «Разрешить доверенные службы Microsoft ...» также позволяет конкретному экземпляру следующих служб получить доступ к учетной записи хранения , если вы явно назначаете роль RBA C назначенному системой управляемому удостоверению для этого экземпляра ресурса. В этом случае объем доступа для экземпляра соответствует роли RBA C, назначенной управляемому удостоверению.

Azure Logi c Приложения Microsoft.Logic / workflows Включает приложения logi c для доступа к учетным записям хранения

[https://docs.microsoft.com/en-us/azure/storage/common/storage-network-security#exceptions] [1]

Что я делаю не так?

Добавлены скриншоты:

https://i.stack.imgur.com/CfwJK.png

https://i.stack.imgur.com/tW7k9.png

https://i.stack.imgur.com/Lxyqd.png

https://i.stack.imgur.com/Sp7ZV.png

https://i.stack.imgur.com/Hp9JG.png

https://i.stack.imgur.com/rRbau.png

Answer 1

Для аутентификации доступа к ресурсам Azure с использованием управляемых удостоверений в приложениях Azure Logi c вы можете следовать документу . Azure Logi c Приложения должны быть зарегистрированы в той же подписке , что и ваша учетная запись хранения. Если вы хотите получить доступ к BLOB-объекту в контейнере Azure Storage. Вы можете добавить роль Storage Blob Data Contributor (используется для предоставления разрешений на чтение / запись / удаление ресурсам хранилища BLOB-объектов) для системного идентификатора приложения Logi c в учетной записи хранения.

Update

From your screenshot, I found that you have not used a system-managed identity to design the Create blob logic but using an API connection.

For validating connecting a public logic app to a storage account with Allow trusted Microsoft services... setting enabled. You can design your logic using the managed identity with a trigger or action through the Azure portal. To specify the managed identity in a trigger or action's underlying JSON definition, see Управляемая идентификация .

output

For more details, please read these steps in Аутентификация доступа с управляемой идентификацией .