Azure 拒绝分配以防止对 Azure Blob 存储进行读取访问
Azure deny assignment to prevent read access on Azure Blob Storage
有没有办法使用 Azure 蓝图在管理组级别创建拒绝分配,以防止所有者和贡献者角色读取 blob 存储内容。在我的具体情况下,我想存储地形状态并且只想授予服务原则 read/write 访问权限。所有者和贡献者应该只能管理存储。这可以通过蓝图或其他方式实现吗?如果是的话,你有没有一些资源,因为我缺乏信息,谢谢。
借助 Azure AD,我们可以借助基于角色的访问控制来配置访问权限,我们可以在其中设置访问权限 blob data。
Azure 角色已分配给安全主体,然后可以通过它访问资源。 Azure AD 安全主体可以是用户、组、应用程序服务主体或 Azure 资源的托管标识。
以下是我们如何使用 CLI 完成此操作:
az role assignment create \
--role "Storage Blob Data Contributor" \
--assignee <email> \
--scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>"
现在拒绝访问,我们可以限制用户或安全主体对资源的访问。
除此之外,我们还有一些锁定模式和状态,我们可以在这些模式和状态下设置对资源组的只读访问权限,这样他们就不会出错或删除。
下面是我们如何使用 resource locking:
排除拒绝分配的操作
"locks": {
"mode": "AllResourcesDoNotDelete",
"excludedPrincipals": [
"7be2f100-3af5-4c15-bcb7-27ee43784a1f",
"38833b56-194d-420b-90ce-cff578296714"
],
"excludedActions": [
"Microsoft.ContainerRegistry/registries/push/write",
"Microsoft.Authorization/*/read"
]
},
有没有办法使用 Azure 蓝图在管理组级别创建拒绝分配,以防止所有者和贡献者角色读取 blob 存储内容。在我的具体情况下,我想存储地形状态并且只想授予服务原则 read/write 访问权限。所有者和贡献者应该只能管理存储。这可以通过蓝图或其他方式实现吗?如果是的话,你有没有一些资源,因为我缺乏信息,谢谢。
借助 Azure AD,我们可以借助基于角色的访问控制来配置访问权限,我们可以在其中设置访问权限 blob data。
Azure 角色已分配给安全主体,然后可以通过它访问资源。 Azure AD 安全主体可以是用户、组、应用程序服务主体或 Azure 资源的托管标识。
以下是我们如何使用 CLI 完成此操作:
az role assignment create \
--role "Storage Blob Data Contributor" \
--assignee <email> \
--scope "/subscriptions/<subscription>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account>/blobServices/default/containers/<container>"
现在拒绝访问,我们可以限制用户或安全主体对资源的访问。
除此之外,我们还有一些锁定模式和状态,我们可以在这些模式和状态下设置对资源组的只读访问权限,这样他们就不会出错或删除。
下面是我们如何使用 resource locking:
排除拒绝分配的操作"locks": {
"mode": "AllResourcesDoNotDelete",
"excludedPrincipals": [
"7be2f100-3af5-4c15-bcb7-27ee43784a1f",
"38833b56-194d-420b-90ce-cff578296714"
],
"excludedActions": [
"Microsoft.ContainerRegistry/registries/push/write",
"Microsoft.Authorization/*/read"
]
},