Как обезопасить «Очереди хранения Azure» для каждого арендатора?

Question

Я создаю систему обмена сообщениями в очереди в Azure, и я пытаюсь создать контейнер очереди исходящих сообщений в очереди хранения Azure, который позволяет моим службам Windows Windows получать последние сообщения из этой очереди. Проблема, с которой я сталкиваюсь, заключается в том, что я хочу иметь несколько очередей для каждого арендатора (каждая служба Windows обслуживает одного клиента) в одной учетной записи хранения. Насколько я вижу, нет способа ограничить доступ строки подключения к каждой очереди. С другой стороны, для меня нецелесообразно создавать одну учетную запись хранения для каждого арендатора. Как лучше всего ограничить доступ клиентов к одной определенной очереди с использованием текущих методов безопасности, доступных в Azure? Я думал об использовании Service Bus Queues, но даже это не решает проблему со строкой соединения, которую я имею в клиентском приложении.

Answer 1

Один из вариантов заключается в использовании идентификаторов AAD и поддержки аутентификации AAD в хранилище (которая в настоящее время находится в открытом предварительном просмотре).

Для этого вам понадобится участник службы в Azure AD для каждого арендатора и добавьте субъект в Читатель данных очереди хранения или Участник данных очереди хранения роль в соответствующей очереди.

Затем вы можете использовать учетные данные принципала для получения токена доступа, который является арендатором-специфический.

Документация:

https://azure.microsoft.com/en-us/blog/announcing-the-preview-of-aad-authentication-for-storage/

https://joonasw.net/view/azure-ad-authentication-with-azure-storage-and-managed-service-identity

Answer 2

Я думаю, что очереди служебной шины - это ваш ответ;они допускают многопользовательскую модель с «субъектами» и различными фильтрами и т. д.

Очереди хранения очень упрощены и не подходят для этого конкретного сценария.

Извините, на моем мобильном телефоне таку меня нет всех соответствующих документов.