是否有人设法实施或有任何关于Azure存储的托管服务标识(MSI)的文档 - 理想情况下使用Blob
我的目标是通过MSI和Storage验证我的WebApp / WebJob。设置身份验证后,我会将blob推送到存储。我需要这个的原因是从我的应用程序配置中消除任何形式的连接字符串和密码。
答案 0 :(得分:5)
<强>更新 Azure Blob存储现在支持“无密钥”身份验证方案的MSI(托管服务标识)! See the list of supported services here。
旧答案
不幸的是,不支持Blob Storage,要么拥有自己的身份,要么提供对具有自己身份的服务的访问权限。原因是Blob存储(所有Azure存储)不能与Azure Active Directory一起使用。
但是,您确实有其他选项,例如可以通过MSI访问的Azure Data Lake Store或SQL Server。
另请注意,Key Vault受支持。在您的情况下,我会创建存储的SAS密钥并使用相关限制,然后将SAS密钥放在密钥保管库中。使用WebApp中的MSI从Key Vault检索密钥。有趣的是,我们已经能够使用ARM模板构建此配置,将信任放在密钥保管库中的WebApp MSI和存储密钥中,只有部署帐户知道密钥,美观和安全,开发人员从未看到或不需要SAS密钥......
您可以在this link找到支持MSI(托管服务标识)的服务列表。