Предоставить доступ к учетной записи хранения в Azure

Есть несколько способов сделать это:

Генерация и распространение токенов SAS с привилегиями чтения / записи. Это даст URL, срок действия которого истекает в данный момент времени. Вы можете сделать все это через портал, через код или с помощью контекстных меню в Azure Storage Explorer. Вот пример того, как сделать это с помощью кода.

Вы также можете назначить пользователям AAD роль, у которой есть разрешение на управление ресурсами в учетной записи хранения. Вот список текущих ролей, поэтому вы можете выбрать подходящую в зависимости от вашего варианта использования. Существуют предварительные роли, которые не работают.

РЕДАКТИРОВАТЬ: MS только что объявила о предварительном просмотре поддержки AAD до объема контейнера или очереди. Это, вероятно, гранулярность, которую вы искали.

РЕДАКТИРОВАТЬ 2: Полная поддержка RBAC для хранения теперь доступна

Вы можете сгенерировать токен SAS. Таким образом, вы можете предоставить доступ другим, не разделяя ключи учетной записи.

Вы можете создать токен SAS для определенной службы ( Blob, Queue, File) или для учетной записи SAS, которая позволяет предоставлять разрешение нескольким службам в рамках одной учетной записи хранения (например, Queue и Table).

Токены SAS дают вам детальный контроль над типами доступа, включая:

• Интервал, в течение которого действует SAS, включая время начала и время истечения.
• Разрешения предоставлены SAS. Например, SAS для большого двоичного объекта может предоставлять разрешения на чтение и запись для этого большого двоичного объекта, но не удалять разрешения.
• Необязательный IP-адрес или диапазон IP-адресов, с которых хранилище Azure будет принимать SAS. Например, вы можете указать диапазон IP-адресов, принадлежащих вашей организации.
• Протокол, по которому хранилище Azure будет принимать SAS. Этот необязательный параметр можно использовать для ограничения доступа клиентов, использующих HTTPS.

Хранилище Azure предлагает следующие варианты авторизации доступа к защищенным ресурсам:

• Интеграция Azure Active Directory (Azure AD) (предварительный просмотр) для больших двоичных объектов и очередей. Azure AD обеспечивает управление доступом на основе ролей (RBAC) для детального контроля доступа клиента к ресурсам в учетной записи хранения. Дополнительные сведения см. В разделе " Проверка подлинности запросов к хранилищу Azure с помощью Azure Active Directory (предварительный просмотр)".

• Shared Key авторизация для BLOB-объектов, файлов, очередей и таблиц. Клиент, использующий Общий ключ, передает заголовок с каждым запросом, который подписан с использованием ключа доступа к учетной записи хранения. Для получения дополнительной информации см. Авторизация с помощью общего ключа.

• Подписи общего доступа для BLOB-объектов, файлов, очередей и таблиц. Подписи общего доступа (SAS) предоставляют ограниченный делегированный доступ к ресурсам в учетной записи хранения. Добавление ограничений на временной интервал, в течение которого подпись действительна, или на предоставляемые ей разрешения, обеспечивает гибкость в управлении доступом. Для получения дополнительной информации см. Использование общих подписей доступа (SAS).

• Анонимный публичный доступ на чтение для контейнеров и BLOB-объектов. Авторизация не требуется. Для получения дополнительной информации см. Раздел Управление анонимным доступом для чтения к контейнерам и BLOB-объектам.

  По умолчанию все ресурсы в хранилище Azure защищены и доступны только владельцу учетной записи. Хотя вы можете использовать любую из стратегий авторизации, описанных выше, для предоставления клиентам доступа к ресурсам в вашей учетной записи хранения, Microsoft рекомендует по возможности использовать Azure AD для максимальной безопасности и простоты использования.