我正在尝试授予我们的运营团队对包含日志文件的存储帐户的只读访问权限。我希望能够赋予他们枚举容器和读取 blob 的权利。理想情况下,这就是他们的访问范围。
预览版中有几个 RBAC 角色看起来很有前途:
- 存储 Blob 数据读取器(预览版)被描述为“允许对 Azure 存储 Blob 容器和数据进行读取访问”,这听起来与我所追求的完全一样
- Storage Blob Data Contributor(预览版)听起来像是对 Blob 帐户进行读/写
但是,这两个角色都不适合我。操作组无法使用 Azure 存储资源管理器或 Web 检查 blob 内容。这些角色似乎不提供对关键 API 的访问权限。
我想知道我希望做的事情和新预览角色提供的内容之间的差距在哪里。我可以在不定义租户中自定义角色的情况下完成此任务吗?
最佳答案
一件事是分配适当的 RBAC 角色,另一件事是客户端应用程序使用它们。据我注意到,大多数能够浏览存储帐户的应用程序仍然只使用 key ,并且当用户没有分配足够特权的角色时显然会失败。
但是,您可以通过 Azure 门户使用新的存储数据访问角色。这要求您分配读取者和存储 Blob 数据读取者角色。用户需要第一个才能在门户中查看存储帐户资源。后者需要在没有 key 的情况下访问数据。
用户在进入 Blob 服务 > Blob 菜单位置时将能够看到数据。不是存储资源管理器,它仍然只能使用 key 。
您可以在存储帐户级别或特定容器上分配存储 Blob 数据读取器,这效果很好 - 用户的访问权限仅限于特定容器。
您还需要等待一段时间才能使角色正确传播。文档说大约 5 分钟,但从我的短暂观察来看,它似乎可以更长一点。
关于azure - 对 Azure 存储的 RBAC 访问 - 预览角色未按预期运行,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50006148/