Azure 存储帐户 - 容器级访问和 ACL

Azure Storage Account - Container level access and ACL

Azure 存储帐户

在我们的一个用例中,我们想使用 Azure 存储与客户共享它,以便他们可以将数据上传给我们。 在这种情况下,我们计划为每个客户创建存储帐户。为了让客户访问该帐户,我们正在计划 共享存储帐户密钥。

我们面临以下问题

  1. 如何创建特定于 Azure 存储帐户容器的密钥,以便客户只能访问特定容器。
  2. 是否可以在容器级别拥有单独的密钥和访问权限。
    • 对于某些容器,我们想授予读写权限。
    • 对于其他人,我们只想授予读取权限。
  3. 如果我有存储帐户密钥,是否意味着我可以访问该存储帐户下的所有内容。

有更好的解决办法吗?本质上,我们需要一个 ftp 网站供客户上传数据。

听起来您想使用共享访问签名 (SAS):

https://docs.microsoft.com/en-us/azure/storage/common/storage-sas-overview

A shared access signature (SAS) provides secure delegated access to resources in your storage account without compromising the security of your data. With a SAS, you have granular control over how a client can access your data. You can control what resources the client may access, what permissions they have on those resources, and how long the SAS is valid, among other parameters.

您不能拥有容器级别的访问密钥,整个存储帐户都有访问密钥

要在容器级别(甚至更细粒度)授予访问权限,您需要共享访问签名。文档 here

您可以根据需要拥有任意数量的 SAS,并且可以使用所需的权限(读取、read-write 等...)定义它们