【Azure 存储服务】关于对Azure Storage Account 的 Folder 权限管理和设定

Posted 2023-03-29

参考技术A

在一个storage account下面有很多folder，需要对不同的folder设置不同的权限给到不同的用户来访问使用，怎么样设定比较合理？

详情可以参考此文档： https://docs.microsoft.com/zh-cn/rest/api/storageservices/authorize-with-shared-key

1：生成共享访问签名URL（选择相应的权限）

2：通过Azure门户，进入具体的某一个Container 或者是具体的某一个文件，文件夹中，同样通过共享访问签名方式(SAS)生成访问的URL

3：通过生成的URL进行访问即可访问对于的文件夹，可以在 Microsoft Azure Storage Explorer 工具中通过该连接URL查看

存储 Blob 数据所有者 : 对 Blob 存储容器和数据的完全访问权限。 此访问权限允许安全主体设置项的所有者，以及修改所有项的 ACL。

存储 Blob 数据参与者 : 对 Blob 存储容器和 Blob 的读取、写入和删除访问权限。 此访问权限不允许安全主体设置项的所有权，但它可以修改安全主体拥有的项的 ACL。

存储 Blob 数据读者 : 读取和列出存储容器与 Blob。

这种方式主要是基于AAD应用注册授权来进行的访问控制。

使用 Azure 存储资源管理器在 Azure Data Lake Storage Gen2 中管理 ACL: https://docs.azure.cn/zh-cn/storage/blobs/data-lake-storage-explorer-acl

Azure Data Lake Storage Gen2 中的访问控制列表: https://docs.azure.cn/zh-cn/storage/blobs/data-lake-storage-access-control#common-scenarios-related-to-acl-permissions

Azure 数据工厂事件触发器 - Json 中的存储帐户密钥？

【中文标题】Azure 数据工厂事件触发器 - Json 中的存储帐户密钥？

【英文标题】：Azure Data Factory Event Trigger - Storage Account Key in Json?

【发布时间】：2020-07-06 12:01:33

【问题描述】：

我们有一个已锁定的存储帐户。我的管道具有引用密钥保管库的连接以获取存储帐户的访问令牌。

当我在 ADF 中创建事件触发器时，ADF 允许我查找并连接到存储帐户（无需请求密钥或提示我选择链接的服务连接）。它根据我的开头和结尾的值告诉我它将包含哪些文件（它找到了 2 个文件）。保存成功。

当我发布它时，在发布到 adf-publish 和生成 arm 模板之间出现此错误。

---

尝试为提供的存储帐户配置存储通知****失败。请确保您的存储帐户满足https://aka.ms/storageevents 中描述的要求。错误是 Failed to retrieve credentials for request=RequestUri=https://management.azure.com/subscriptions/********/resourceGroups/<resource group name>/providers/Microsoft.Storage/storageAccounts/ /listAccountSas, Method=POST, response=StatusCode=400, StatusDescription=Bad Request, IsSuccessStatusCode=False, Content=System.Net.HttpWebResponse, responseContent="error 34;:"code":"InvalidValuesForRequestParameters","message":"请求参数的值无效：keyToSign."

---

我认为这是因为 ADF 触发器创建过程（以及它的 JSON）不允许您指向 Key Vault 来获取您要连接的存储帐户的访问令牌。这是问题吗？有解决办法吗？

感谢任何帮助，谢谢 - April

【问题讨论】：

现在我正面临这个问题，你解决了这个问题吗？

【参考方案1】：

我认为存储帐户已附加到 VNET 并在防火墙后面运行。因此，我遇到了类似的问题。您可以删除防火墙一次并配置触发器，然后将防火墙恢复。