Azure存储// azure-ad

Question

团队将数据存储在Azure存储帐户中，S1。它们都处于同一Azure订阅中。假设团队成员是：M1，M2，M3和Admin A1。该团队在Azure中可见 -

存储帐户由两个容器组成：C1和C2

我如何授予C1中BLOB的授予授予的读数，以将C1的Blobs授予Team-Members M2和M3而不是M1？ 只有A1在此S1中的所有容器中都有写入访问。

我是否需要其他解决方案或服务来授予/撤销访问权限？ 问题是SAS连接字符串无法使用，因为订阅中的每个人都可以阅读所有存储帐户，包括所有容器。

是否有任何方法可以在容器级别的粒度上授予个人对S1的访问？

Answer 1

是否有任何方法可以授予个人对S1的访问
在容器级？

上

确定可以。您可以分配 存储BLOB数据读取器 对“ M2”和“ M3”用户的角色，并且不为用户分配任何存储数据角色“ M1”。这些角色应范围为“ C1”容器。对于“ A1”，您可以分配 存储BLOB数据贡献者 角色示于存储帐户。

此外，您可能需要确保所有用户（M1，M2和M3）没有任何控制平面角色，可以使他们访问存储帐户的密钥。另外，您可以简单地关闭该存储帐户的基于共享的键授权，并迫使团队中的每个人都使用基于Azure AD的授权。