Permitiendo el acceso a los nodos de almacenamiento Azure para seleccionar los usuarios?
https://stackoverflow.com/questions/1965437
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Dado un archivo almacenado en Azure Storage (blobs, tablas o colas - no importa), es posible permitir el acceso a la misma para todos, pero sólo basado en permisos
?Por ejemplo, tengo un gran almacenamiento de imágenes, y una base de datos que contiene los usuarios y autorizaciones. Quiero usuario X sólo para ser capaz de acceder a las imágenes Y y Z. Por lo tanto, la dirección URL será generalmente inaccesibles, a menos que proporcione algún tipo de token de seguridad temporal junto con él. ¿Como es eso posible? Sé que puede cerrar el almacenamiento del mundo exterior, y permitir el acceso a ella sólo a través de una aplicación de control de estas cosas, pero esto requeriría la aplicación para estar en Azure también, y en las instalaciones de aplicación no será capaz de entregar cualquier contenido de Azure Storage.
Es de mi conocimiento que la mayoría de los CDN proporcionan esta capacidad, y Eso espero Azure proporciona una solución para esto también!
Itamar.
Solución
No creo que se pueda alcanzar este nivel de filtrado de acceso. Los únicos métodos yo sepa se describen en este artículo de MSDN
Administrar el acceso a contenedores y Blobs
y aquí un blog que describe una pequeña parte de código para ponerlo en práctica
Uso de directivas contenedor de nivel de acceso de almacenamiento de Windows Azure
No estoy seguro de que esto se ajuste a sus necesidades. Si he entendido bien lo haría de esta manera: 1. Organice su contenido en un recipiente que coincidan con los papeles 2. En su a la verificación de la aplicación premisa de si el usuario tiene acceso y en caso afirmativo generar la URL de la derecha para darle un acceso temporal al recurso.
Por supuesto, esto sólo funciona si los usuarios tienen que pasar por un punto central para obtener acceso al contenido de la burbuja. Si Guarda el enlace generado se producirá un error una vez que se pasa la fecha de caducidad.
Buena suerte.
Otros consejos
Esto es realmente posible llevar a cabo con el almacenamiento Blob. Considere (a) una interfaz de usuario que es igual que el explorador, y (b) que los usuarios ya están autenticados (podría utilizar el servicio de control de acceso, pero no es necesario).
La interfaz de usuario similar al Explorador podría exponer a los recursos que sean apropiados para el usuario autenticado. El acceso a estos recursos subyacente sería compartida acceso controlado-Firma en la granularidad adecuada para los objetos - por ejemplo, restringir sólo se ve un archivo de una carpeta o la carpeta completa, o la capacidad de crear un archivo en una carpeta, etc. , todo puede ser expresado.
Esta interfaz de usuario similar al Explorador sino que necesitan tener acceso a la lógica que presentar los archivos correctos para un usuario dado, al mismo tiempo crear la apropiada compartido-Access-Firmas según sea necesario. Tenga en cuenta que no necesitaría esta lógica para ser alojado en Azure, en lugar sólo tendría acceso a la clave de almacenamiento adecuada (desde el portal Azure).
