Zulassen des Zugriffs auf Azure Storage-Knoten Benutzer wählen?
https://stackoverflow.com/questions/1965437
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
eine gespeicherte Datei auf Azure Storage gegeben? (Blobs, Tabellen oder Warteschlangen - spielt keine Rolle), ist es möglich, dass alle Zugang zu ihm zu erlauben, aber nur basierend auf Berechtigungen
Zum Beispiel, ich habe eine große Speicherung von Bildern und eine DB-Benutzer und Berechtigungen enthalten. Ich möchte X Benutzer nur den Zugriff auf Bilder Y und Z. So in der Lage sein, wird die URL der Regel nicht zugänglich sein, es sei denn, Sie irgendeine Art von einer temporären Sicherheit zusammen mit ihm Token zur Verfügung stellen. Wie ist das möglich? Ich weiß, ich kann die Lagerung von der Außenwelt verschlossen und erlauben den Zugriff auf sie nur über eine Anwendung dieses Zeug Überprüfung, aber dies würde die Anwendung erfordern auch auf Azure zu sein, und On-Premise-App in der Lage, nicht zu liefern jeder Inhalt von Azure-Speicher.
Es ist aus meinem Verständnis, dass die meisten CDNs diese Fähigkeit zur Verfügung stellen, und ich sicher, dass die Hoffnung so Azure eine Lösung dafür bieten, wie gut!
Itamar.
Lösung
Ich glaube nicht, dass Sie diese Ebene der Zugriffsfilterung erreichen kann. Die einzigen Methoden, die ich bin mir dessen bewusst sind, in diesem MSDN-Artikel beschrieben
Verwalten des Zugriffs auf Container und Blobs
und hier ein Blog, das einen kleinen Teil des Codes beschreibt sie umzusetzen
Verwendung von Container-Level Access Policies in Windows Azure Storage
Ich bin nicht sicher, dass dies Ihre Notwendigkeit passen würde. Wenn ich es verstehe Recht würde ich es auf diese Weise tun: 1. Behälter Organisieren Sie Ihre Inhalte, die die Rollen entsprechen 2. Geben Sie auf Ihrer On-Premise-Anwendung zu überprüfen, ob Benutzer Zugriff hat und wenn ja die richtige URL generiert ihm einen temporären Zugriff auf die Ressource zu geben.
Natürlich funktioniert dies nur, wenn die Benutzer über einen zentralen Punkt gehen müssen, um Zugriff auf den Inhalt in dem Blob zu bekommen. Wenn sie den generierten Link Lesezeichen es wird fehlschlagen, wenn das Verfallsdatum überschritten ist.
Viel Glück.
Andere Tipps
Dies ist tatsächlich möglich, mit Blob Storage zu implementieren. Betrachten wir (a) eine Benutzeroberfläche, die wie Explorer ist, und (b), dass die Benutzer bereits authentifiziert (könnte verwenden, um Access Control Service, aber nicht müssen).
Die Explorer-ähnliche Benutzeroberfläche könnte Ressourcen zu, die die authentifizierten Benutzer geeignet sind. Der zu Grunde liegende Zugang zu diesen Ressourcen würde für die Objekte in dem Granularität entsprechenden Shared Access Signatur gesteuert werden - zum Beispiel, restrict nur eine Datei in einem Ordner sehen, oder die gesamten Ordner, oder die Fähigkeit, eine Datei in einem Ordner zu erstellen, usw. können alle ausgedrückt werden.
Das Explorer-ähnliche Benutzeroberfläche, sondern würde den Zugriff auf Logik benötigen, die die richtigen Dateien für einen bestimmten Benutzer darstellen würde, während auch die entsprechenden gemeinsamen Zugriff-Signaturen erstellen, wie benötigt wird. Beachten Sie, dass diese Logik in Azure nicht gehostet werden müssten, sondern würde den Zugang zu den richtigen Speicherschlüssel müssen nur (aus dem Azure-Portal).
