Azure storage的訪問授權,azure容器儲存庫Azure storage的訪問授權Azure storage 的訪問通常最常用的三種形式:1.使用訪問密鑰 Access KeyAccess Key默認有兩個,任何程序拿到訪問密鑰或和storage account的名稱,即可拼裝出 連接字符串,從而訪問sto......
Azure storage 的訪問通常最常用的三種形式:
Access Key默認有兩個,任何程序拿到訪問密鑰或和storage account的名稱,即可拼裝出 連接字符串,從而訪問storage account的數據。
這種密鑰的方式,對于storage account的訪問只有 ”可以訪問“ 和 “不可以訪問” 兩種結果,除此不能進行更精確的控制,就像鑰匙開鎖,要么打開,要么打不開(key不正確)。
共享訪問簽名相比于 access key的方式,多了一些限制條件,例如可以控制 “讀數據”還是“寫數據”,也可以設定訪問有效期,還可以設定客戶端的IP地址。
共享訪問簽名的模式又分為用戶委托SAS和服務委托SAS,具體參考:
https://docs.microsoft.com/zhcn/azure/storage/blobs/storageblobuserdelegationsascreatecli WT.mc_id=AZMVP5003757
Azure Active Directory (Azure AD) 通過 Azure 基于角色的訪問控制 (Azure RBAC) 授予對受保護資源的訪問權限。
將 Azure 角色分配到 Azure AD 安全主體后(用戶,組,應用程序都可以),Azure 會向該安全主體授予對這些資源的訪問權限。
通常在應用程序中,使用服務主體的方式訪問 存儲賬戶,關于服務主體,一般需要
在AAD中創建應用
配置應用的認證方式(證書或key)
配置應用的 角色
通過Azure 門戶創建一個服務主體的方式請參考:
https://docs.microsoft.com/zhcn/azure/activedirectory/develop/howtocreateserviceprincipalportal?WT.mc_id=AZMVP5003757
通過AAD訪問storage account 實際上是通過獲取OAuth 2.0 訪問令牌后,才可以訪問stoage account,但通常這個過程可以使用Azure SDK簡化,
關于AAD 和RBAC 訪問 storage Account的 詳細文章,請參考:
https://docs.microsoft.com/zhcn/azure/storage/common/identitylibraryacquiretoken?toc=%2Fazure%2Fstorage%2Fblobs%2Ftoc.jsonWT.mc_id=AZMVP5003757
在Azure 門戶 上使用Storage account數據也會有兩種 方式,分別為 訪問密鑰 和 AAD 的方式:
如下圖,可以設置 切換成 aad 方式還是切換成 access key 方式。
關于門戶中的兩種方式,需要的權限也不盡相同,請參考官網:
https://docs.microsoft.com/zhcn/azure/storage/blobs/authorizedataoperationsportal?WT.mc_id=AZMVP5003757
特別聲明:以上文章內容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部