【发布时间】:2021-01-22 15:52:59
【问题描述】:
最近在 ADLS Gen2 存储帐户上启用了存储分析。我可以看到 $logs 容器,并且日志每小时写入一次。但是,当我尝试将服务主体添加到此容器时,权限被拒绝。我对此存储帐户具有存储数据贡献者角色,是否需要任何特殊权限才能实现此目的?
【问题讨论】:
标签: azure azure-data-lake-gen2
【发布时间】:2021-01-22 15:52:59
【问题描述】:
一般来说,要能够管理 IAM,需要向您的账户授予更高级别的角色。我假设您正在尝试通过 访问控制 (IAM) 功能/API 调用授予访问权限。使用 Storage Data Contributor 是不够的,因为它只允许您访问具有读/写/删除权限的容器和 blob。
您需要一个授予您Microsoft.Authorization/*/write 权限的角色才能使其正常工作。
【讨论】:
-
我能够成功地将 SP 从存储资源管理器添加到其他容器,但不能添加到 $logs。
-
@praneethh 我必须重播那个场景,然后再回复你。
通过在容器级别而不是存储资源管理器中从门户添加 SP/组来解决问题。
【讨论】: