Доступ RBAC к хранилищу Azure - предварительные роли не работают должным образом - PullRequest
Новая
       52

Доступ RBAC к хранилищу Azure - предварительные роли не работают должным образом

0 голосов
/ 24 апреля 2018

Я пытаюсь предоставить нашей операционной команде доступ только для чтения к учетной записи хранения, содержащей файлы журналов. Я хотел бы иметь возможность дать им право перечислять контейнеры и читать BLOB-объекты. В идеале это будет степень их доступа.

В предварительном просмотре есть несколько ролей RBAC, которые выглядят многообещающе:

  • Средство чтения данных BLOB-объектов хранилища (предварительный просмотр) описывается как «Предоставляет доступ для чтения к контейнерам и данным больших двоичных объектов хранилища Azure», что звучит точно так же, как и я
  • Хранилище данных Blob Data Contributor (Preview) звучит как чтение / запись в BLOB-аккаунты

Однако ни одна из этих ролей не сработала для меня. Операционная группа не может использовать Azure Storage Explorer или Интернет для проверки содержимого BLOB-объектов. Похоже, что роли не предоставляют доступ к ключевым API.

Мне интересно, где разрыв между тем, что я надеюсь сделать, и тем, что предлагают новые роли предварительного просмотра. Можно ли выполнить это без определения пользовательских ролей в клиенте?

1 Ответ

0 голосов
/ 25 апреля 2019

Одна вещь - это назначение правильных ролей RBAC, а другая - клиентское приложение, использующее их.Насколько я заметил, большинство приложений, способных просматривать учетные записи хранения, по-прежнему используют только ключи и, очевидно, отказывают, когда пользователю не назначена достаточно привилегированная роль.

Однако вы можете использовать новые роли доступа к данным хранилища с помощьюЛазурный Портал.Для этого необходимо назначить роли «Читатель» и «Читатель данных хранилища BLOB-объектов».Первый требуется, чтобы пользователь вообще видел ресурс учетной записи хранения на портале.Последнее требуется для доступа к данным без ключей.

Пользователи смогут просматривать данные при переходе через сервис Blob> позиция меню Blobs.Не Storage Explorer, который по-прежнему может использовать только ключи.

Вы можете назначить Storage Blob Data Reader на уровне учетной записи хранения или на конкретном контейнере, и это работает просто отлично - у пользователей ограничен доступ к конкретному контейнеру.

Вам также нужно подождать некоторое время, чтобы роли распространились должным образом.Документация говорит что-то около 5 минут, но из моего короткого наблюдения кажется, что это может быть немного дольше.

...