Azure az存储blob上载批的最低权限
我们的CI管道需要将一些文件备份到Azure Blob存储。我使用的Azure CLI如下:Azure az存储blob上载批的最低权限,azure,azure-storage-blobs,azure-cli,Azure,Azure Storage Blobs,Azure Cli,我们的CI管道需要将一些文件备份到Azure Blob存储。我使用的Azure CLI如下:az存储blob上载批处理-s-d容器/目录--帐户名myaccount 当授予服务主体参与者访问权限时,它会按预期工作。但是,我希望锁定权限,以便允许服务主体添加文件,但不允许删除,例如。此操作需要哪些权限 我创建了一个自定义角色,赋予它与Storage Blob Data Contributor减去delete相同的权限。这(以及直接使用Storage Blob Data Contributor角色)
az存储blob上载批处理-s-d容器/目录--帐户名myaccount
当授予服务主体参与者访问权限时,它会按预期工作。但是,我希望锁定权限,以便允许服务主体添加文件,但不允许删除,例如。此操作需要哪些权限
我创建了一个自定义角色,赋予它与Storage Blob Data Contributor
减去delete相同的权限。这(以及直接使用Storage Blob Data Contributor
角色)会因存储帐户而失败。。。找不到
。好的,然后我继续向blob服务添加更多的读取权限。还不够,现在我正处于它想做Microsoft.Storage/storageAccounts/listKeys/action的时候。但如果我让它访问存储密钥,那又有什么意义呢?使用存储密钥,SP将可以完全访问该帐户,这是我首先要避免的。为什么az storage blob upload batch
请求密钥,我可以防止这种情况发生吗
我已经创建了一个自定义角色,赋予它与Storage Blob Data Contributor(存储Blob数据参与者)相同的权限,但不包括删除权限。这(以及直接使用Storage Blob Data Contributor角色)在存储帐户中失败。。。没有找到
我也可以复制你的问题,事实上你所做的会起作用。诀窍是命令的参数,如果您没有指定它,默认情况下它将使用键
,然后命令将列出订阅中的所有存储帐户,当它找到您的存储帐户时,它将列出帐户的键并使用键上载blob。
但是,Storage Blob Data Contributor减去delete
没有列出存储帐户的权限,那么您将得到错误
要解决此问题,只需在命令中指定--auth mode login
,然后它将使用服务主体的凭据来获取访问令牌,然后使用令牌调用REST API来上载blob,请参阅原则
我已经创建了一个自定义角色,赋予它与Storage Blob Data Contributor(存储Blob数据参与者)相同的权限,但不包括删除权限。这(以及直接使用Storage Blob Data Contributor角色)在存储帐户中失败。。。没有找到
我也可以复制你的问题,事实上你所做的会起作用。诀窍是命令的参数,如果您没有指定它,默认情况下它将使用键
,然后命令将列出订阅中的所有存储帐户,当它找到您的存储帐户时,它将列出帐户的键并使用键上载blob。
但是,Storage Blob Data Contributor减去delete
没有列出存储帐户的权限,那么您将得到错误
要解决此问题,只需在命令中指定--auth mode login
,然后它将使用服务主体的凭据来获取访问令牌,然后使用令牌调用REST API来上载blob,请参阅原则
谢谢,设置--身份验证模式登录
有效。您可能会认为这是默认设置。;-)谢谢,设置--auth模式登录
有效。您可能会认为这是默认设置。;-)
az storage blob upload-batch -s . -d container/directory --account-name myaccount --auth-mode login