我需要将一些敏感数据存储在存储资源管理器的一个容器中。容器的容器公共(public)访问级别设置为无公共(public)访问。但仍然所有成员都可以访问此容器。在哪里更改设置(Azure Active Directory、访问策略、访问控制)以绝对确保除了两个人之外没有人可以看到内容。在我把东西放在那里之前,我需要控制住它。
最佳答案
存储资源管理器支持Azure RBAC访问存储帐户、Blob 和队列,为您提供对 Azure 资源的细粒度访问控制。可以通过 Azure 门户
管理 Azure 角色和权限。
您可以在单个容器级别
对 Azure Blob 资源进行范围
访问:Authorize access to blobs using Active Directory - Azure Storage | Microsoft Docs
- 选择必须控制用户访问的容器。
- 点击容器中的访问控制 (IAM),然后点击添加 作业。
- 选择允许用户使用的适当角色。
- 然后选择可以访问该容器的用户 根据角色。请检查数据操作而不是数据 操作以查看适用于他们的确切权限
引用文献:
就像角色分配一样,您可以查看Azure deny assignment可以将一些拒绝操作附加到用户、组或服务主体,以获得拒绝访问所需的范围。
即使角色被授予访问权限,它也会阻止用户执行特定的 Azure 资源操作。 deny-assignments-portal
Note:Azure Blueprints and Azure managed apps are the only way that deny assignments are used within Azure.
关于azure - 对 Azure 存储资源管理器中的确切容器的私有(private)访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/73135384/