Наш SQL Server каждую ночь выполняет резервное копирование в хранилище BLOB-объектов.
Я хочу, чтобы некоторые сотрудники (уже находящиеся в Active Directory) могли просматривать список файлов резервных копий и загружать их на свои машины. Затем они могут восстановить базу данных локально и протестировать ее.
Эти участники не должны иметь возможность удалять эти капли. (Очевидно, что непреднамеренное удаление резервных копий членами команды - это плохо)
Можно ли предоставить группе пользователей доступ для чтения к контейнеру больших двоичных объектов?
Я могу открыть колонку управления доступом (IAM) учетной записи хранения, а затем назначить пользователю роль «Читатель».
Теперь этот пользователь может просмотреть начальную колонку учетной записи хранения.
Но если он попытается поднять BLOB SERVICE \ Containers
лезвие, он представлен с текстом «ДОСТУП ЗАПРЕЩЕН».
Есть ли способ назначить пользователю доступ для чтения к контейнерам?
Я только что протестировал его, и теперь есть роли, которые обеспечат необходимый вам уровень доступа. Пожалуйста, добавьте следующие роли для желаемых пользователей:
STORAGE BLOB DATA READER (PREVIEW)
READER AND DATA ACCESS
Пользователь должен выйти и войти в систему.
Но если он попытается вызвать блейд BLOB SERVICE \ Containers, ему будет показан текст «ACCESS DENIED».
Это конструктивное поведение, роль Reader
просто может просматривать все, что касается ресурсов, но ничего не может изменить, не может читать файлы в контейнере.
Если вы хотите, чтобы пользователи могли читать файлы из этой учетной записи хранения, мы должны установить роль owner
к этим счетам.
Эти участники не должны иметь возможность удалять эти капли.
На данный момент Azure не поддерживает это. Если мы хотим, чтобы пользователь мог читать файлы из учетной записи хранения, мы должны установить роль owner
. Если мы установим пользователя в качестве владельца, пользователь сможет удалять файлы из этой учетной записи хранения.
Даже если мы установим CanNotDelete
в эту учетную запись хранения, пользователь по-прежнему может удалять из нее файлы. Блокировки не ограничивают то, как ресурсы выполняют свои собственные функции. Изменения ресурсов ограничены, но операции с ресурсами не ограничены.
Вот похожий случай про вас, обратитесь к моему ответ.
В качестве обходного пути мы можем использовать Azcopy
или другой инструмент для загрузки файлов резервных копий в локальное хранилище (запланированные задачи) и предоставления другим пользователям возможности загружать файлы резервных копий из локального хранилища.