Доступ RBAC к хранилищу Azure - предварительные роли не работают должным образом

Question

Доступ RBAC к хранилищу Azure - предварительные роли не работают должным образом

Я пытаюсь предоставить нашей операционной команде доступ только для чтения к учетной записи хранения, содержащей файлы журналов. Я хотел бы иметь возможность дать им право перечислять контейнеры и читать BLOB-объекты. В идеале это будет степень их доступа.

В предварительном просмотре есть несколько ролей RBAC, которые выглядят многообещающими:

Считыватель данных хранилища BLOB-объектов (предварительный просмотр) описывается как "Предоставляет доступ для чтения к контейнерам и данным BLOB-объектов хранилища Azure", что звучит так же, как и я
Хранилище данных Blob Data Contributor (Preview) звучит как чтение / запись в учетные записи BLOB-объектов.

Однако ни одна из этих ролей не сработала для меня. Операционная группа не может использовать Azure Storage Explorer или Интернет для проверки содержимого BLOB-объектов. Похоже, что роли не предоставляют доступ к ключевым API.

Мне интересно, где разрыв между тем, что я надеюсь сделать, и тем, что предлагают новые роли предварительного просмотра. Могу ли я выполнить это без определения пользовательских ролей в клиенте?

2

azure azure-storage azure-storage-blobs azure-rbac azure-security

Источник

user31299 24 апр '18 в 15:59

0 ответов

Другие вопросы по тегам azure azure-storage azure-storage-blobs azure-rbac azure-security

user5783495 25 апр '19 в 17:13 2019-04-25 17:13 · Answer 1 · 2019-04-25 17:13

One thing is assigning proper RBAC roles and another is a client application making use of them. As far as I noticed most applications able to browse through Storage Accounts still use only the keys and obviously fail when the user is not assigned a role privileged enough.

You can however use new storage data access roles by means of Azure Portal. This requires you to assign both Reader and Storage Blob Data Reader roles. The first one is required for the user to see the storage account resource in the Portal at all. The latter is required to access data without keys.

Users will be able to see the data when going through the Blob service > Blobs menu position. Not the Storage Explorer, which still can use only keys.

You can assign Storage Blob Data Reader on the storage account level or on a particular container and this works just fine - users have access limited to a specific container.

You also need to wait some time for the roles to propagate properly. The documentation says something about 5 minutes but from my short observation it seems it can be a bit longer.