Azure 存储仅限制访问一个容器

Posted

技术标签:

【中文标题】Azure 存储仅限制访问一个容器【英文标题】:Azure Storage restrict access one container only 【发布时间】:2021-03-18 22:51:48 【问题描述】:

这是我的情况:Azure AD 中有两个组。 组 1 只能访问 container1,不能访问 container2 Group 2 只能访问 container2,不能访问 container1

为了实现这一点,我相应地为每个容器授予了 IAM 角色权限(将存储 Blob 数据贡献者角色分配给组)。

我使用的代码示例:https://github.com/Azure-Samples/storage-dotnet-azure-ad-msal

但是要上传/下载容器上的任何文件,我还必须在存储帐户上分配存储 Blob 数据贡献者的角色。如果我在存储帐户上提供存储 Blob 数据贡献者,那么该组用户可以将文件添加到任何容器。

那么有什么办法可以实现, 组 1 只能访问 container1,不能访问 container2 Group 2 只能访问 container2,不能访问 container1

【问题讨论】:

【参考方案1】:

拒绝容器组是not supported yet。如从 IAM 刀片获取的图像所示:“目前,添加自己的拒绝分配的唯一方法是使用 Azure 蓝图。” 拒绝用户访问是一个过程。因此,最好创建两个存储帐户并在存储帐户级别而不是容器级别管理访问。这不是针对组,而是针对组中的单个用户。

【讨论】:

是否可以使用自定义角色仅授予对一个容器的访问权限? 这条规则什么时候生效?您将如何添加对存储帐户的访问权限?

以上是关于Azure 存储仅限制访问一个容器的主要内容,如果未能解决你的问题,请参考以下文章

Azure 存储 - 使用存储访问策略时限制 SAS 中的 IP

仅授予对特定 Azure 存储容器的访问权限

Azure Vnet Blob 存储

Azure Blob 存储容器是不是有文件数量限制?

使用SAS保护Azure Storage的安全性

Azure更新存储下所有Contrainer的访问权限