2

我正在尝试为我们的运营团队授予对包含日志文件的存储帐户的只读访问权限。我希望能够赋予他们枚举容器和读取 blob 的权利。理想情况下,这将是他们的访问范围。

预览中有几个看起来很有希望的 RBAC 角色:

  • 存储 Blob 数据读取器(预览版)被描述为“允许对 Azure 存储 Blob 容器和数据的读取访问”,这听起来与我所追求的完全一样
  • 存储 Blob 数据贡献者(预览版)听起来像是对 Blob 帐户的读/写

然而,这些角色都不适合我。操作组无法使用 Azure 存储资源管理器或 Web 来检查 blob 内容。看起来这些角色不提供对关键 API 的访问。

我想知道我希望做的事情和新的预览角色提供的东西之间的差距在哪里。我可以在不在租户中定义自定义角色的情况下完成此操作吗?

4

1 回答 1

2

一件事是分配适当的 RBAC 角色,另一件事是使用它们的客户端应用程序。据我所知,大多数能够浏览存储帐户的应用程序仍然只使用密钥,并且当用户没有被分配足够特权的角色时显然会失败。

但是,您可以通过 Azure 门户使用新的存储数据访问角色。这需要您同时分配 Reader 和 Storage Blob Data Reader 角色。第一个是用户在门户中查看存储帐户资源所必需的。后者需要在没有密钥的情况下访问数据。

通过 Blob 服务 > Blob 菜单位置时,用户将能够看到数据。不是存储资源管理器,它仍然只能使用密钥。

您可以在存储帐户级别或特定容器上分配存储 Blob 数据读取器,这很好用 - 用户只能访问特定容器。

您还需要等待一段时间才能正确传播角色。文档说了大约 5 分钟,但从我的短暂观察来看,它似乎可能会更长一些。

于 2019-04-25T14:13:25.340 回答