我在Azure中有一个包含云服务和存储帐户的资源组。我想为我的开发人员提供对资源组的访问权限,以便他们可以访问资源并进行更改。但是,存储帐户中有一个特定的表,其中包含敏感的用户详细信息。该表正在使用SAS令牌通过我们的客户端应用程序进行更新。
我希望我的团队中只有少数选定的人能够看到该表的完整内容。在azure中有没有办法做到这一点?
答案 0 :(得分:3)
Azure存储访问由其帐户名+密钥封闭。有权访问该密钥的任何人都可以访问存储帐户中的任何对象,无论是blob,队列还是(在您的情况下)表。
如果开发人员可以访问资源组,并且资源组包含存储帐户,那么这些开发人员可以完全访问存储帐户内容。
如果您想阻止开发人员访问存储,则此存储帐户需要驻留在另一个资源组中(开发人员 无法访问该资源组)。然后您可以选择向开发人员提供存储帐户+密钥,或者将SAS提供给特定的表。
但是:如果开发人员已获得Azure订阅本身的共同管理员权限,那么无论资源组或SAS如何,他们都可以访问订阅中的100%资源。