Microsoft Azure Storage Explorer无法获取Reader Role用户的密钥
Fre*_*ric 6 azure azure-storage-blobs
我有一个Azure存储帐户,并希望向同事授予读取权限.所有身份都在同一个Azure Active Directory中,因此很容易将他添加到Azure门户的Access Control刀片中的"Reader"角色.
当他打开Microsoft Azure Storage Explorer时,可以看到订阅和存储帐户,但无法展开Blob容器的节点.例外说:
无法获取存储帐户的密钥.请检查您是否拥有正确的权限
这是预期的行为。本质上,要列出存储密钥,用户应该处于允许操作的角色listKeys。内置Reader角色没有执行listKeys操作的权限。
此决定背后的基本原理(虽然有点复杂)是角色中的用户Reader应该只能执行Read任何插入/更新或删除操作,而不能执行任何插入/更新或删除操作。考虑到某人是否拥有存储帐户的帐户密钥,他们可以执行这些操作。因此,角色中的用户Reader没有被授予列出帐户密钥的权限。
您可以做的是创建Shared Access Signature (SAS)具有读取/列表权限的 SAS URL 并与您的同事共享该 SAS URL。然后他们将能够访问该存储帐户中的数据,但无法执行任何创建/更新/删除操作。
看起来现在这是可能的(预览版)。您的 AD 用户可以被授予“存储 Blob 数据读取器”权限。 https://azure.microsoft.com/en-us/blog/announcing-the-preview-of-aad-authentication-for-storage/
| 归档时间: |
|
| 查看次数: |
1589 次 |
| 最近记录: |