如何确保;Azure存储队列“;对于每个租户?
我正在Azure中构建一个队列消息传递系统,我尝试在Azure存储队列中创建一个出站消息队列容器,允许我的桌面Windows服务从该队列获取最新消息。我面临的问题是,我希望在一个存储帐户中为每个租户(每个Windows服务为一个客户端提供服务)设置多个队列。在我看来,没有办法限制对每个队列的连接字符串访问。另一方面,对于我来说,为每个租户创建一个存储帐户是不切实际的。使用Azure中当前可用的安全方法限制客户端访问特定队列的最佳方法是什么?我曾考虑使用服务总线队列,但即使这样也不能解决客户端应用程序中的连接字符串问题。我认为服务总线队列是您的答案;它们允许使用带有“主题”和各种过滤器等的多用户模型 存储队列非常简单,对于这个特定场景来说不是正确的答案如何确保;Azure存储队列“;对于每个租户?,azure,azure-storage,azure-storage-queues,Azure,Azure Storage,Azure Storage Queues,我正在Azure中构建一个队列消息传递系统,我尝试在Azure存储队列中创建一个出站消息队列容器,允许我的桌面Windows服务从该队列获取最新消息。我面临的问题是,我希望在一个存储帐户中为每个租户(每个Windows服务为一个客户端提供服务)设置多个队列。在我看来,没有办法限制对每个队列的连接字符串访问。另一方面,对于我来说,为每个租户创建一个存储帐户是不切实际的。使用Azure中当前可用的安全方法限制客户端访问特定队列的最佳方法是什么?我曾考虑使用服务总线队列,但即使这样也不能解决客户端应用
对不起,在我的手机上,所以还没有拿到所有相关的文档。我想服务巴士排队是你的答案;它们允许使用带有“主题”和各种过滤器等的多用户模型 存储队列非常简单,对于这个特定场景来说不是正确的答案
很抱歉,在我的手机上,所以还没有拿到所有相关的文档。一个选项是使用AAD身份和存储的AAD身份验证支持(目前正在公开预览中) 为此,您需要在Azure AD中为每个租户指定一个服务主体, 并将主体添加到各自队列上的存储队列数据读取器或存储队列数据参与者角色 然后,您可以使用主体的凭据获取特定于租户的访问令牌 文件:
一个选项是使用AAD标识和存储的AAD身份验证支持(目前正在公开预览中) 为此,您需要在Azure AD中为每个租户指定一个服务主体, 并将主体添加到各自队列上的存储队列数据读取器或存储队列数据参与者角色 然后,您可以使用主体的凭据获取特定于租户的访问令牌 文件:
主题不是带有主题和过滤器的主题,而不是队列吗?@juunas是的,技术上是正确的,虽然是同一技术的一部分。但对于OP所说的,这听起来是正确的答案。区别在于我可以创建特定于队列的密钥,而无需创建用户帐户。这就是我想要的。每个队列上的“共享访问策略”将生成具有权限级别的特定于队列的密钥。只需小心-在多租户系统中很容易找到这些密钥。我真希望限制不是那么。。。极限!主题不是有主题和过滤器,而不是队列吗?@juunas是的,从技术上讲是正确的,尽管是同一技术的一部分。但对于OP所说的,这听起来是正确的答案。区别在于我可以创建特定于队列的密钥,而无需创建用户帐户。这就是我想要的。每个队列上的“共享访问策略”将生成具有权限级别的特定于队列的密钥。只需小心-在多租户系统中很容易找到这些密钥。我真希望限制不是那么。。。极限!谢谢我对此进行了研究,它似乎起了作用,但如果我为每个客户创建一个AAD原则,它就会起作用。我的目标是使用专用密钥,而无需为每个租户创建用户帐户。不创建用户帐户就可以实现这一点吗?嗯,它不是用户帐户。这是一个服务负责人。通过每个客户机的图形API创建应用程序+服务主体,并获得每个租户的单个密钥。如果您想隔离访问,那么每个客户端都需要单独的密钥,对吗?谢谢。我对此进行了研究,它似乎起了作用,但如果我为每个客户创建一个AAD原则,它就会起作用。我的目标是使用专用密钥,而无需为每个租户创建用户帐户。不创建用户帐户就可以实现这一点吗?嗯,它不是用户帐户。这是一个服务负责人。通过每个客户机的图形API创建应用程序+服务主体,并获得每个租户的单个密钥。如果您想隔离访问,那么每个客户端都需要单独的密钥,对吗?