我想将用户添加到订阅中,并让他们只能在单个存储帐户上读取存储帐户密钥。我找不到允许他们登录的订阅角色,而无需查看所有存储帐户或查看所有资源。我应该使用什么角色/ IAM配置来实现这一目标?
答案 0 :(得分:1)
您需要使用ListKey权限创建自定义角色,然后在该特定存储帐户资源上创建角色分配。
https://docs.microsoft.com/en-us/azure/active-directory/role-based-access-control-custom-roles
如果这是一个经典存储帐户,则操作将为microsoft.classicstorage / storageaccounts / listkeys / action。
如果这是基于ARM的v2存储帐户,则操作将为microsoft.storage/storageaccounts/listkeys/action。