Azure az存储blob上载批的最低权限

我们的CI管道需要将一些文件备份到Azure Blob存储。我使用的Azure CLI如下：

az存储blob上载批处理-s-d容器/目录--帐户名myaccount

当授予服务主体参与者访问权限时，它会按预期工作。但是，我希望锁定权限，以便允许服务主体添加文件，但不允许删除，例如。此操作需要哪些权限

我创建了一个自定义角色，赋予它与

Storage Blob Data Contributor

减去delete相同的权限。这（以及直接使用

Storage Blob Data Contributor

角色）会因

存储帐户而失败。。。找不到

。好的，然后我继续向blob服务添加更多的读取权限。还不够，现在我正处于它想做Microsoft.Storage/storageAccounts/listKeys/action的时候。但如果我让它访问存储密钥，那又有什么意义呢？使用存储密钥，SP将可以完全访问该帐户，这是我首先要避免的。为什么

az storage blob upload batch

请求密钥，我可以防止这种情况发生吗

我已经创建了一个自定义角色，赋予它与Storage Blob Data Contributor（存储Blob数据参与者）相同的权限，但不包括删除权限。这（以及直接使用Storage Blob Data Contributor角色）在存储帐户中失败。。。没有找到

我也可以复制你的问题，事实上你所做的会起作用。诀窍是命令的参数，如果您没有指定它，默认情况下它将使用

键

，然后命令将列出订阅中的所有存储帐户，当它找到您的存储帐户时，它将列出帐户的键并使用键上载blob。

但是，

Storage Blob Data Contributor减去delete

没有列出存储帐户的权限，那么您将得到错误

要解决此问题，只需在命令中指定

--auth mode login

，然后它将使用服务主体的凭据来获取访问令牌，然后使用令牌调用REST API来上载blob，请参阅原则

我已经创建了一个自定义角色，赋予它与Storage Blob Data Contributor（存储Blob数据参与者）相同的权限，但不包括删除权限。这（以及直接使用Storage Blob Data Contributor角色）在存储帐户中失败。。。没有找到

我也可以复制你的问题，事实上你所做的会起作用。诀窍是命令的参数，如果您没有指定它，默认情况下它将使用

键

，然后命令将列出订阅中的所有存储帐户，当它找到您的存储帐户时，它将列出帐户的键并使用键上载blob。

但是，

Storage Blob Data Contributor减去delete

没有列出存储帐户的权限，那么您将得到错误

要解决此问题，只需在命令中指定

--auth mode login

，然后它将使用服务主体的凭据来获取访问令牌，然后使用令牌调用REST API来上载blob，请参阅原则

谢谢，设置

--身份验证模式登录

有效。您可能会认为这是默认设置。；-）谢谢，设置

--auth模式登录

有效。您可能会认为这是默认设置。；-）

az storage blob upload-batch -s . -d container/directory --account-name myaccount --auth-mode login