Предоставить доступ к учетной записи хранения в Azure

Это можно сделать двумя способами:

Создание и распространение SAS токены с правами чтения / записи. Это даст URL-адрес, срок действия которого истекает в определенный момент времени. Все это можно сделать через портал, с помощью кода или с помощью контекстных меню в Обозреватель службы хранилища Azure. Вот пример о том, как это сделать с помощью кода.

Вы также можете назначить AAD пользователей с ролью, у которой есть разрешение на управление ресурсами в учетной записи хранения. Вот список текущих ролей, чтобы вы могли выбрать подходящий вариант в зависимости от вашего варианта использования. Существуют роли предварительного просмотра , которые, похоже, не работать.

РЕДАКТИРОВАТЬ: MS только что объявила о том, что предварительная версия поддержки AAD вплоть до контейнера или очереди. Вероятно, это именно та степень детализации, которую вы искали.

РЕДАКТИРОВАТЬ 2: Теперь доступна полная поддержка RBAC для хранилища

Вы можете сгенерировать SAS token Таким образом, вы можете предоставить доступ другим пользователям, не передавая ключи учетной записи.

Вы можете создать токен SAS для конкретной службы (Blob, Queue, File) или учетной записи SAS, которая позволяет вам предоставлять разрешение нескольким службам в учетной записи хранения (например, Queue и Table).

Токены SAS дают вам детальный контроль над типами доступа, включая:

• Интервал, в течение которого действует SAS, включая время начала и время истечения срока действия.
• Разрешения, предоставленные SAS. Например, SAS для большого двоичного объекта может предоставлять разрешения на чтение и запись для этого большого двоичного объекта, но не на удаление.
• Необязательный IP-адрес или диапазон IP-адресов, с которых служба хранилища Azure будет принимать SAS. Например, вы можете указать диапазон IP-адресов, принадлежащих вашей организации.
• Протокол, по которому служба хранилища Azure принимает SAS. Вы можете использовать этот необязательный параметр, чтобы ограничить доступ клиентам, использующим HTTPS.

Служба хранилища Azure предлагает следующие варианты авторизации доступа к защищенным ресурсам:

• Интеграция с Azure Active Directory (Azure AD) (предварительная версия) для больших двоичных объектов и очередей. Azure AD обеспечивает управление доступом на основе ролей (RBAC) для детального управления доступом клиента к ресурсам в учетной записи хранения. Для получения дополнительной информации см. Аутентификация запросов к службе хранилища Azure с помощью Azure. Active Directory (предварительная версия).

• Авторизация с общим ключом для больших двоичных объектов, файлов, очередей и таблиц. Клиент, использующий общий ключ, передает заголовок с каждым запросом, подписанным с использованием ключа доступа к учетной записи хранения. Для получения дополнительной информации см. Авторизация с помощью общего ключа.

• Подписи общего доступа для больших двоичных объектов, файлов, очередей и таблиц. Подписи общего доступа (SAS) предоставляют ограниченный делегированный доступ к ресурсам в учетной записи хранения. Добавление ограничений на временной интервал, в течение которого подпись действительна, или на разрешения, которые она предоставляет, обеспечивает гибкость в управлении доступом. Для получения дополнительной информации см. Использование подписей общего доступа (SAS).

• Anonymous public read access for containers and blobs. Authorization is not required. For more information, see Manage anonymous read access to containers and blobs.

  By default, all resources in Azure Storage are secured and are available only to the account owner. Although you can use any of the authorization strategies outlined above to grant clients access to resources in your storage account, Microsoft recommends using Azure AD when possible for maximum security and ease of use.