我正在尝试将公共逻辑应用程序(非ISE环境)连接到仅限于Vnet的存储帐户。 根据存储帐户文档,应该可以使用系统管理的身份进行访问。
但是我只是尝试了3个不同的订阅,结果始终是相同的:
schemaname.forbiddentable
已提供具有不同IAM角色(包括所有者)的访问权限。感觉好像不允许根据文档允许的服务。
“允许信任的Microsoft服务...”设置还允许 以下服务访问存储的特定实例 帐户,如果您将RBAC角色明确分配给系统分配的角色 该资源实例的托管身份。在这种情况下,范围 实例的访问权限对应于分配给的RBAC角色 受管理的身份。
Azure Logic Apps Microsoft.Logic / Workflows使逻辑应用程序能够 访问存储帐户
[https://docs.microsoft.com/zh-CN/azure/storage/common/storage-network-security#exceptions] [1]
我在做什么错了?
添加了屏幕截图:
https://i.stack.imgur.com/CfwJK.png
https://i.stack.imgur.com/tW7k9.png
https://i.stack.imgur.com/Lxyqd.png
https://i.stack.imgur.com/Sp7ZV.png
答案 0 :(得分:0)
要通过使用Azure Logic Apps中的托管身份来验证对Azure资源的访问,可以遵循the document。 Azure Logic应用应该与您的存储帐户在同一订阅中注册。如果要访问Azure存储容器中的Blob。您可以为存储帐户中的Logic App系统身份添加 Storage Blob数据贡献者(用于授予对Blob存储资源的读取/写入/删除权限)角色。
从您的屏幕快照中,我发现您没有使用系统管理的身份来设计创建blob 逻辑,而是使用API连接。
用于在启用add
设置的情况下验证是否将公共逻辑应用程序连接到存储帐户。您可以使用托管身份通过Azure门户通过触发器或操作来设计逻辑。要在触发器或操作的基础JSON定义中指定托管身份,请参见Managed identity authentication。
有关更多详细信息,请阅读Authenticate access with managed identity中的这些步骤。