如何在Azure存储上设置安全策略

问题描述 投票:0回答:1

我有两个团队:

  • Team1:谁支持订阅(拥有 Storage1)并拥有贡献者访问权限

  • Team2:谁拥有订阅(拥有 Storage1)并具有贡献者访问权限。

存储(存储 1)包含团队 2(所有者)不希望向团队 1(支持团队)显示数据的数据。

考虑到上述场景,是否在存储级别制定了任何安全策略,以便[即使支持团队(团队1)具有订阅的贡献者访问权限]也无法查看存储中的数据?

我该如何继续?

azure azure-active-directory azure-storage azure-policy
1个回答
0
投票

有特定的数据操作权限允许对 blob 进行增删改查操作。如果 

Team2
没有这些权限,他们将无法对 Blob 执行任何操作。具有这些权限的内置角色之一是 
Storage Blob Data Contributor
,而 
Contributor
Storage Account Contributor
等资源角色则没有这些权限。

但是;默认的 

Contributor
Storage Blob Data Contributor
角色提供对访问密钥的访问权限,这些密钥也可用于访问 Blob。您可以禁用访问键,但贡献者可以访问该选项并可以再次启用它们。

因此,如果您想限制您的贡献者,您可以这样做;但您需要一个不同的角色(可能是自定义角色),该角色无权访问 

Microsoft.Storage/storageAccounts/listkeys/action
权限。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.