Доступ RBAC к хранилищу Azure - предварительная версия ролей работает не так, как ожидалось

Я пытаюсь предоставить нашей операционной группе доступ только для чтения к учетной записи хранения, содержащей файлы журналов. Я хотел бы дать им право перечислять контейнеры и читать капли. В идеале это будет степень их доступа.

В предварительной версии есть пара ролей RBAC, которые выглядят многообещающими:

  • Средство чтения данных BLOB-объектов хранилища (предварительная версия) описывается как «Разрешает доступ для чтения к контейнерам и данным BLOB-объектов службы хранилища Azure», что звучит в точности так, как то, что мне нужно.
  • Участник данных BLOB-объектов хранилища (предварительная версия) звучит как чтение / запись в учетные записи BLOB-объектов

Однако ни одна из этих ролей мне не подошла. Группа операций не может использовать Обозреватель хранилищ Azure или Интернет для проверки содержимого больших двоичных объектов. Похоже, что роли не предоставляют доступ к ключевым API.

Мне интересно, где разрыв между тем, что я надеюсь сделать, и тем, что предлагают новые роли для предварительного просмотра. Могу ли я сделать это без определения пользовательских ролей в клиенте?


azure azure-rbac azure-storage-blobs azure-storage azure-security
person Josh    schedule 24.04.2018    source источник
comment
Просто интересно, видели ли вы это сообщение: https://stackoverflow.com/questions/49812699/azure-storage-account-read-only-group   -  person huysmania    schedule 24.04.2018
comment
Спасибо, я это видел, и именно отсюда мое предположение о доступе к ключу (первые два маркера в связанной статье). Из описания новых ролей я ожидал, что эти разрешения будут добавлены. Хотя мне интересно, возможен ли вообще только чтение, если для доступа к BLOB-объектам требуется доступ к ключу учетной записи хранения   -  person Josh    schedule 24.04.2018

Ответы (1)


arrow_upward
1
arrow_downward

Одно дело - назначение правильных ролей RBAC, а другое - их использование клиентским приложением. Насколько я заметил, большинство приложений, способных просматривать учетные записи хранения, по-прежнему используют только ключи и, очевидно, не работают, если пользователю не назначена достаточно привилегированная роль.

Однако вы можете использовать новые роли доступа к данным хранилища с помощью портала Azure. Для этого необходимо назначить роли читателя и читателя данных хранилища BLOB-объектов. Первый необходим для того, чтобы пользователь вообще видел ресурс учетной записи хранения на портале. Последний необходим для доступа к данным без ключей.

Пользователи смогут видеть данные при переходе через пункт меню Служба BLOB-объектов> Позиция меню BLOB-объектов. Не в Storage Explorer, который по-прежнему может использовать только ключи.

Вы можете назначить средство чтения данных BLOB-объектов хранилища на уровне учетной записи хранения или в определенном контейнере, и это прекрасно работает - пользователи имеют доступ только к определенному контейнеру.

Вам также нужно подождать некоторое время, чтобы роли правильно распространились. В документации сказано что-то около 5 минут, но, судя по моему короткому наблюдению, кажется, что это может быть немного дольше.

person wojtekdo    schedule 25.04.2019