我是azure的新手,并试图学习天蓝色的存储。假设我创建了一个存储帐户并存储了很少的文档,并希望每个人都能访问mt文档。如果我提供我的网址,每个人都可以访问它,但我希望很少有用户可以访问我的存储帐户,也可以上传他们想要的文档。
请参考我如何获得这个,如果可能请参考和链接哪些对我有用。 在此先感谢。
答案 0 :(得分:0)
有几种方法可以做到这一点:
Generate and distribute SAS tokens with read/write privileges。这将给出一个在给定时间点到期的Url。您可以通过门户网站,代码或Azure Storage Explorer中的上下文菜单完成所有这些操作。 Here is a sample of how to do it with code
您也可以assign the AAD users to a role which has permission to manipulate resources in the storage account。 Here is a list of current roles所以你可以根据你的用例选择合适的一个。有预览角色which don't appear to be working。
编辑:MS just announced the preview of AAD support down to the scope of a container or queue。这可能是您正在寻找的粒度。
答案 1 :(得分:0)
你可以generate SAS token 这样,您可以在不共享帐户密钥的情况下授予其他人访问权限。
您可以在特定服务(Blob,队列,文件)或帐户SAS上创建SAS令牌,允许您为存储帐户中的多个服务授予权限。(例如,队列和表格)
SAS令牌可让您精确控制访问类型,包括:
答案 2 :(得分:0)
Azure Storage提供以下用于授权访问安全资源的选项:
用于Blob和队列的Azure Active Directory(Azure AD)集成(预览)。 Azure AD提供基于角色的访问控制(RBAC),以对客户端对存储帐户中资源的访问进行细粒度控制。有关更多信息,请参见 Authenticating requests to Azure Storage using Azure Active Directory (Preview).
对Blob,文件,队列和表的共享密钥授权。使用“共享密钥”的客户端将为每个使用存储帐户访问密钥签名的请求传递一个标头。有关更多信息,请参见 Authorize with Shared Key.
blob,文件,队列和表的共享访问签名。共享访问签名(SAS)提供对存储帐户中资源的有限委派访问。在签名有效的时间间隔或其授予的权限上添加约束,可以灵活地管理访问。有关更多信息,请参见 Using shared access signatures (SAS).
对容器和Blob的匿名公共读取访问。不需要授权。有关更多信息,请参见 Manage anonymous read access to containers and blobs.
默认情况下,Azure存储中的所有资源都是受保护的,并且仅对帐户所有者可用。尽管您可以使用上面列出的任何授权策略来授予客户端访问存储帐户中资源的权限,但是Microsoft建议尽可能使用Azure AD,以实现最大的安全性和易用性。