我正在尝试了解如何在我们的多租户应用程序中实现以下目标: - 每个租户有一个单独的“文件位置”(guid) - 能够将此文件位置映射到 PC - 确保“文件位置”只能用一个键访问,这意味着不应允许一个键访问多个“文件位置” - 限制对纯只读目的的访问
我正在查看 Azure 文件共享,但是在创建一些文件共享时,我注意到,当尝试将文件共享映射到我的 PC 时,它对所有这些文件共享使用相同的密钥。这是个问题,我不想让任何租户使用相同的密钥映射不同租户的文件位置。
【问题讨论】:
标签: azure azure-storage
文件共享现在带有IAM (Preview),那么您如何创建一个安全组,将用户添加到该组,并将文件共享与该安全组相关联。
【讨论】:
我不认为将文件共享映射到 PC 会起作用,因为要创建网络共享驱动器,您需要帐户密钥,并且帐户密钥是在存储帐户级别而不是在单个共享级别定义的。
一种可能的解决方案是为每个租户创建一个具有Read 和List 权限的Shared Access Signature (SAS) URL 用于各自的blob 容器/文件共享,并与共享该SAS URL有关的利益相关者。然后,他们可以使用 Microsoft Storage Explorer 连接到这个特定的 blob 容器/文件共享并浏览内容。
为防止滥用此 SAS URL,您必须使用 Stored Access Policy 创建一个 SAS 令牌,以便在 SAS 令牌遭到破坏时可以撤销它。
【讨论】: