我正在尝试使用服务原则配置与 ADLS Gen2 的 Power BI 连接。我想限制对特定文件夹(以及下面的子文件夹)的访问。
看起来需要将服务原则添加到容器级别的“数据读取器”或“数据贡献者”RBAC 角色。这会自动授予对容器根目录下整个文件夹的访问权限。
如何将服务原则访问权限限制为特定文件夹级别?
谢谢
问问题
503 次
1 回答
1
如果要限制Service Principle对特定文件夹级别的访问,我们可以使用Access Control List来实现。ACL 使用Read、Write和Execute来控制访问。
关于如何使用这些权限来控制访问,请参考文档。例如,如果我们想读取一个文件夹中的文件,我们需要向Execute容器授予安全主体权限,并Read授予指向该文件的文件夹层次结构中的每个文件夹以及使用Azure 存储资源管理器对该文件的权限.
但是,请注意,我们不能使用访问控制列表来提供低于 Azure RABC 角色分配授予的访问级别。例如,如果将存储 Blob 数据参与者角色分配给服务主体,则不能使用访问控制列表来阻止该服务主体写入目录。因此,我建议您在使用 ACL 控制访问时删除服务主体 Azure RABC 角色分配。
于 2020-04-20T03:16:54.697 回答