Microsoft Azure 存储资源管理器无法获取 Reader 角色用户的密钥
Microsoft Azure Storage Explorer could not obtain keys for Reader Role user
我有一个 Azure 存储帐户,想授予同事读取权限。所有身份都在同一个 Azure Active Directory 中,因此很容易将他添加到 Azure 门户的访问控制 blade 中的 "Reader" 角色。
当他打开 Microsoft Azure 存储资源管理器时,可以看到订阅和存储帐户,但无法展开 Blob 容器的节点。异常说:
Could not obtain keys for Storage Account. Please check that you have
the correct permissions
这是预期的行为。基本上要列出存储密钥,用户应该处于允许 listKeys 操作的角色。 built-in Reader 角色没有执行 listKeys 操作的权限。
此决定背后的基本原理(虽然有点令人费解)是 Reader 角色中的用户应该只能 Read 而不能执行任何 inserts/updates 或删除。考虑是否有人拥有存储帐户的帐户密钥,他们可以执行这些操作。因此,Reader 角色中的用户未被授予列出帐户密钥的权限。
您可以做的是创建一个具有 read/list 权限的 Shared Access Signature (SAS) 并与您的同事共享该 SAS URL。然后他们将能够访问该存储帐户中的数据,但无法执行任何 create/update/delete 操作。
看起来现在可以实现了(预览中)。您的 AD 用户可以被授予 "Storage Blob Data Reader" 权限。
https://azure.microsoft.com/en-us/blog/announcing-the-preview-of-aad-authentication-for-storage/
我有一个 Azure 存储帐户,想授予同事读取权限。所有身份都在同一个 Azure Active Directory 中,因此很容易将他添加到 Azure 门户的访问控制 blade 中的 "Reader" 角色。
当他打开 Microsoft Azure 存储资源管理器时,可以看到订阅和存储帐户,但无法展开 Blob 容器的节点。异常说:
Could not obtain keys for Storage Account. Please check that you have the correct permissions
这是预期的行为。基本上要列出存储密钥,用户应该处于允许 listKeys 操作的角色。 built-in Reader 角色没有执行 listKeys 操作的权限。
此决定背后的基本原理(虽然有点令人费解)是 Reader 角色中的用户应该只能 Read 而不能执行任何 inserts/updates 或删除。考虑是否有人拥有存储帐户的帐户密钥,他们可以执行这些操作。因此,Reader 角色中的用户未被授予列出帐户密钥的权限。
您可以做的是创建一个具有 read/list 权限的 Shared Access Signature (SAS) 并与您的同事共享该 SAS URL。然后他们将能够访问该存储帐户中的数据,但无法执行任何 create/update/delete 操作。
看起来现在可以实现了(预览中)。您的 AD 用户可以被授予 "Storage Blob Data Reader" 权限。 https://azure.microsoft.com/en-us/blog/announcing-the-preview-of-aad-authentication-for-storage/