Azure 存储仅限制访问一个容器
Posted
技术标签:
【中文标题】Azure 存储仅限制访问一个容器【英文标题】:Azure Storage restrict access one container only 【发布时间】:2021-03-18 22:51:48 【问题描述】:这是我的情况:Azure AD 中有两个组。 组 1 只能访问 container1,不能访问 container2 Group 2 只能访问 container2,不能访问 container1
为了实现这一点,我相应地为每个容器授予了 IAM 角色权限(将存储 Blob 数据贡献者角色分配给组)。
我使用的代码示例:https://github.com/Azure-Samples/storage-dotnet-azure-ad-msal
但是要上传/下载容器上的任何文件,我还必须在存储帐户上分配存储 Blob 数据贡献者的角色。如果我在存储帐户上提供存储 Blob 数据贡献者,那么该组用户可以将文件添加到任何容器。
那么有什么办法可以实现, 组 1 只能访问 container1,不能访问 container2 Group 2 只能访问 container2,不能访问 container1
【问题讨论】:
【参考方案1】:拒绝容器组是not supported yet。如从 IAM 刀片获取的图像所示:“目前,添加自己的拒绝分配的唯一方法是使用 Azure 蓝图。” 拒绝用户访问是一个过程。因此,最好创建两个存储帐户并在存储帐户级别而不是容器级别管理访问。这不是针对组,而是针对组中的单个用户。
【讨论】:
是否可以使用自定义角色仅授予对一个容器的访问权限? 这条规则什么时候生效?您将如何添加对存储帐户的访问权限?以上是关于Azure 存储仅限制访问一个容器的主要内容,如果未能解决你的问题,请参考以下文章