Permettre l'accès aux nœuds de stockage Azure pour sélectionner les utilisateurs?
https://stackoverflow.com/questions/1965437
-
21-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Étant donné un fichier stocké sur le stockage Azure (blobs, tables ou des files d'attente - n'a pas d'importance), est-il possible d'en permettre l'accès pour tous, mais seulement en fonction des autorisations
?Par exemple, j'ai un grand stockage d'images, et un DB contenant les utilisateurs et les autorisations. Je veux utilisateur X soit seulement capable d'accéder aux images Y et Z. Ainsi, l'URL sera généralement inaccessible, sauf si vous fournissez une sorte de sécurité temporaire jeton avec elle. Comment est-ce possible? Je sais que je peux fermer le stockage du monde extérieur, et en permettre l'accès que par une application de vérifier ce genre de choses, mais il faudrait pour cela que l'application soit sur Azure ainsi, et l'application sur site ne sera en mesure de livrer tout contenu de stockage Azure.
Il est de ma compréhension que la plupart fournissent CDNs cette capacité, et je l'espère bien Azure fournit une solution pour cela aussi!
Itamar.
La solution
Je ne pense pas que vous pouvez atteindre ce niveau d'accès filtrage. Les seules méthodes que je suis au courant sont décrits dans cet article msdn
Gestion de l'accès aux conteneurs et Blobs
et ici un blog qui décrit une petite partie de code pour mettre en œuvre
Utilisation de stratégies d'accès au niveau des conteneurs dans Windows Azure Storage
Je ne suis pas sûr que ce serait répondre à vos besoins. Si je comprends bien raison, je le ferais de cette façon: 1. Organisez votre contenu dans le conteneur qui correspondent aux rôles 2. Sur le contrôle de l'application de principe si l'utilisateur a accès et si oui générer le droit URL de lui donner un accès temporaire à la ressource.
Bien sûr, cela ne fonctionne que si les utilisateurs doivent passer par un point central pour avoir accès au contenu du blob. Si elles signet le lien généré il échouera une fois la date d'expiration est passée.
Bonne chance.
Autres conseils
Il est en fait possible de mettre en œuvre avec le stockage de Blob. Pensez à (a) une interface utilisateur qui ressemble à l'explorateur, et (b) que les utilisateurs sont déjà authentifiés (peut utiliser Access Control Service, mais ne doivent pas nécessairement).
L'interface utilisateur pourrait exposer comme explorer les ressources qui conviennent à l'utilisateur authentifié. L'accès sous-jacente à ces ressources seraient partagées un accès contrôlé à la signature-granularité appropriée pour les objets - par exemple, limiter seulement voir un fichier dans un dossier ou le dossier en entier, ou la capacité de créer un fichier dans un dossier, etc. , peut tout exprimer.
Cette interface utilisateur semblable à l'explorateur, mais aurait besoin d'un accès à la logique qui présenterait les bons fichiers pour un utilisateur donné, tout en créant Partagée-Access-signatures appropriées au besoin. Notez que cette logique ne aurait pas besoin d'être hébergé dans Azure, plutôt aurait juste besoin d'accès à la clé de stockage appropriée (à partir du portail Azure).
