我有一个服务主管,已在存储帐户上授予了贡献者角色。
当我尝试在该帐户中创建容器时,收到以下错误消息
One-time registration of Microsoft.Storage failed - The client 'd38eaaca-1429-44ef-8ce2-3c63a62849c9' with object id 'd38eaaca-1429-44ef-8ce2-3c63a62849c9' does not have authorization to perform action 'Microsoft.Storage/register/action' over scope '/subscriptions/********'
我的目标是允许服务主体只读给定存储帐户中包含的blob,并在该存储帐户中创建容器。配置我的原则所需的步骤是什么。
答案 0 :(得分:0)
关于您的错误,请参阅此主题:In Azure as a Resource Group contributor why can't I create Storage Accounts and what should be done to prevent this situation?。
我的目标是允许服务主体只读取blob 包含在给定的存储帐户中并创建容器 在该存储帐户中。配置我的步骤需要什么 这样做的原则。
截至今天,不可能这样做。仅仅因为RBAC仅适用于API的控制平面。因此,使用RBAC,您可以控制谁可以创建/更新/删除存储帐户。对存储帐户内的数据的访问仍由帐户密钥控制。有权访问帐户密钥的任何人都可以完全控制该存储帐户。