Мне нужно настроить пользовательскую роль Azure, которая предоставит пользователю явный доступ к общему файловому ресурсу ((с проводником). Но пользователь не должен иметь доступа к другим службам службы хранилища, таким как хранилище BLOB-объектов, очередь или таблицы . В настоящее время с помощью следующего json файла пользователь может видеть все подчиненные службы хранилища.
{
"Name": "Storage explicit contributor access",
"Id": "-.......",
"IsCustom": true,
"Description": "",
"Actions": [
"Microsoft.Storage/storageAccounts/fileServices/shares/delete",
"Microsoft.Storage/storageAccounts/fileServices/shares/read",
"Microsoft.Storage/storageAccounts/fileServices/shares/write",
"Microsoft.Storage/storageAccounts/fileServices/write",
"Microsoft.Storage/storageAccounts/fileServices/read",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/read"
],
"NotActions": [
"*"
],
"DataActions": [
],
"NotDataActions": [],
"AssignableScopes": [
"/subscriptions/....."
]
}
Вообще, можно ли ограничить доступ на уровне?
Выданные вами в настоящее время разрешения позволяют пользователю управлять фактическим ресурсом файлов Azure через портал, PowerShell и т. Д. В настоящее время пользователь может создавать, удалять и редактировать общие ресурсы. Похоже, это не то, что вы хотите, вы просто ищете пользователя для управления данными в общей папке.
Предполагая, что это тот случай, когда вам нужно посмотреть на установку «DataActions» в роли, это обеспечивает разрешения на уровне данных, а не на уровне ресурсов. Так что-то вроде:
"DataActions": [
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/read",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/write",
"Microsoft.Storage/storageAccounts/fileServices/fileshares/files/delete"
],