如何使用Azure存储构建富存储ACL策略系统?
我想拥有一个拥有以下用户的blob容器:
理想情况下,这些用户是通过Azure AD驱动的帐户,因此我可以使用完整的目录服务功能......:)
我对共享访问密钥的理解是它们(1)有时间限制,(2)必须使用手工编写的代码创建。我的愿望是我可以在S3上执行类似于AWS IAM策略的事情......: - )
答案 0 :(得分:3)
今天Azure Blob存储不存在类似AWS IAM Policies for S3的事情。 Azure最近启动了Role Based Access Control (RBAC),可用于Azure存储,但仅限于执行管理活动,例如创建存储帐户等。它尚不可用于执行数据管理活动,如上传blob等。
您可能需要查看Azure Rights Management Service (Azure RMS),看看它是否适合您的需求。如果您搜索Azure RMS Blob,您会发现其中一个搜索结果链接到PDF文件,该文件讨论使用此服务保护blob存储(该链接直接下载PDF文件,因此我无法在此处包含它)。< / p>
如果您正在寻找第三方服务,请查看"Team Edition" of Cloud Portam(我目前正在建设的服务)。我们最近发布了Team Edition。简而言之,Cloud Portam是一个基于浏览器的Azure Explorer,它支持管理Azure存储,搜索服务和DocumentDB帐户。 Team Edition使用Azure AD进行用户身份验证,您可以在通过此应用程序管理的Azure资源上授予权限(无,只读,读写和读写 - 删除)。
答案 1 :(得分:3)
保罗,
虽然Gaurav的正确性在于Azure Storage今天没有AD集成,但我想指出一些关于你帖子中共享访问签名的事情:
我对共享访问密钥的理解是它们(1)有时间限制,(2)必须使用手工编写的代码创建
1)sas令牌/ uri不需要有一个失效日期(它是一个可选字段),所以在这个意义上它们没有时间限制,除非你改变共享密钥,否则不需要重新生成它。你生成了令牌 2)您可以使用PS cmdlet执行此操作,例如:https://msdn.microsoft.com/en-us/library/dn806416.aspx。一些存储资源管理器还支持静态创建sas令牌/ uris而无需为其编写代码。