借助 Azure AD,我们可以借助基于角色的访问控制来配置访问权限,我们可以在其中设置访问 blob data 的权限。
Azure 角色分配给安全主体,然后将使用它访问资源。 Azure AD 安全主体可以是用户、组、应用程序服务主体或 Azure 资源的托管标识。
以下是我们如何使用 CLI 来实现:
az role assignment create \
--role "Storage Blob Data Contributor" \
--assignee <email> \
--scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>"
现在要拒绝访问,我们可以将资源访问限制为用户或安全主体。
除此之外,我们还有一些锁定模式和状态,我们可以在其中设置对资源组的只读访问权限,它们不能出错或删除。
下面是我们如何使用resource locking从拒绝分配中排除操作:
"locks": {
"mode": "AllResourcesDoNotDelete",
"excludedPrincipals": [
"7be2f100-3af5-4c15-bcb7-27ee43784a1f",
"38833b56-194d-420b-90ce-cff578296714"
],
"excludedActions": [
"Microsoft.ContainerRegistry/registries/push/write",
"Microsoft.Authorization/*/read"
]
},