【Azure 存储服务】关于对Azure Storage Account 的 Folder 权限管理和设定

本文涉及的产品
访问控制,不限时长
简介: 【Azure 存储服务】关于对Azure Storage Account 的 Folder 权限管理和设定

问题描述

在一个storage account下面有很多folder,需要对不同的folder设置不同的权限给到不同的用户来访问使用,怎么样设定比较合理?

问题解答

一:可以使用SAS共享访问签名进行控制:可以通过生成SAS token和URL进行权限访问限制。

详情可以参考此文档:https://docs.microsoft.com/zh-cn/rest/api/storageservices/authorize-with-shared-key

1:生成共享访问签名URL(选择相应的权限)

 

2:通过Azure门户,进入具体的某一个Container 或者是具体的某一个文件,文件夹中,同样通过共享访问签名方式(SAS)生成访问的URL

3:通过生成的URL进行访问即可访问对于的文件夹,可以在 Microsoft Azure Storage Explorer 工具中通过该连接URL查看

 

 

二:基于角色的访问控制 (Azure RBAC)

存储 Blob 数据所有者

对 Blob 存储容器和数据的完全访问权限。 此访问权限允许安全主体设置项的所有者,以及修改所有项的 ACL。

存储 Blob 数据参与者

对 Blob 存储容器和 Blob 的读取、写入和删除访问权限。 此访问权限不允许安全主体设置项的所有权,但它可以修改安全主体拥有的项的 ACL。

存储 Blob 数据读者

读取和列出存储容器与 Blob。

这种方式主要是基于AAD应用注册授权来进行的访问控制。

 

三: 使用访问控制列表 (ACL)

使用 Azure 存储资源管理器在 Azure Data Lake Storage Gen2 中管理 ACL: https://docs.azure.cn/zh-cn/storage/blobs/data-lake-storage-explorer-acl

Azure Data Lake Storage Gen2 中的访问控制列表:  https://docs.azure.cn/zh-cn/storage/blobs/data-lake-storage-access-control#common-scenarios-related-to-acl-permissions

 

相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
|
1天前
|
存储 大数据 开发工具
【Azure ADLS】Storage Account使用Data Lake模式的问题讨论
在使用Azure Storage Account的时候,有两种模式账号,一种是普通的Stroage Account,另外一种是大数据存储模式 Data Lake模式,而这两种模式的启用与 Hierarchical Namespace设置有关:
|
23天前
|
容器
【Azure ADLS】为Azure Data Lake Storage的Container赋予了操作权限后创建子文件夹遇见403报错
ADLS "This request is not authorized to perform this operation using this permission" 403
41 13
|
4月前
|
存储 安全 BI
【Azure Storage Account】使用Azure Policy来检查Storage Account中是否有开启匿名访问的Container
【Azure Storage Account】使用Azure Policy来检查Storage Account中是否有开启匿名访问的Container
【Azure Storage Account】使用Azure Policy来检查Storage Account中是否有开启匿名访问的Container
|
3月前
|
存储 安全
【Azure Policy】使用deployIfNotExists 把 Azure Activity logs 导出保存在Storage Account
本文描述了如何使用 Azure Policy 对订阅下的所有 Activity Log 配置 Diagnostic Setting。具体要求包括:在 Subscription 或 Management Group 级别启用 Activity Log 功能、纠正已启用 Activity Log 的订阅参数配置、将日志存储在特定 Storage Account 中并保留 6 个月,以及收集特定类型的日志(如 Administrative、Security、Alert、Recommendation 和 ResourceHealth)。文章还介绍了常见错误及解决方法,并提供了相关参考链接。
59 9
|
4月前
|
存储 安全 Shell
【Azure 存储服务】关于Azure Storage Account(存储服务) 基于AAD用户的权限设定以及SAS key的管理问题
【Azure 存储服务】关于Azure Storage Account(存储服务) 基于AAD用户的权限设定以及SAS key的管理问题
|
4月前
|
存储 C# Python
【Azure Storage Account】Azure 存储服务计算Blob的数量和大小的PowerShell代码
【Azure Storage Account】Azure 存储服务计算Blob的数量和大小的PowerShell代码
|
4月前
|
存储 API 开发工具
【Azure API 管理】讨论APIM是否适合直接存储文件到Azure Storage Account呢?
【Azure API 管理】讨论APIM是否适合直接存储文件到Azure Storage Account呢?
|
4月前
|
存储 SQL 关系型数据库
【Azure 存储服务】Azure Storage Account 下的 Table 查询的性能调优
【Azure 存储服务】Azure Storage Account 下的 Table 查询的性能调优
|
4月前
|
存储 JSON Java
【Azure 存储服务】Azure Storage Account Queue中因数据格式无法处理而在一个小时内不在可见的问题
【Azure 存储服务】Azure Storage Account Queue中因数据格式无法处理而在一个小时内不在可见的问题
|
4月前
|
存储 Shell 容器
【Azure 存储服务】使用PowerShell脚本创建存储账号(Storage Account)的共享访问签名(SASToken) : New-AzStorageContainerSASToken
【Azure 存储服务】使用PowerShell脚本创建存储账号(Storage Account)的共享访问签名(SASToken) : New-AzStorageContainerSASToken