Microsoft Azure Storage Explorer无法获取Reader Role用户的密钥

我有一个Azure存储帐户,并希望向同事授予读取权限 . 所有身份都在同一个Azure Active Directory中,因此很容易将他添加到Azure门户的Access Control刀片中的“Reader”角色 .

当他打开Microsoft Azure Storage Explorer时,可以看到订阅和存储帐户,但无法展开Blob容器的节点 . 例外说:

无法获取存储帐户的密钥 . 请检查您是否拥有正确的权限

enter image description here

回答(2)

2 years ago

看起来现在可以(预览中) . 您的AD用户可以获得"Storage Blob Data Reader"权限 . https://azure.microsoft.com/en-us/blog/announcing-the-preview-of-aad-authentication-for-storage/

2 years ago

这是预期的行为 . 基本上,为了列出存储密钥,用户应该处于允许 listKeys 操作的角色中 . 内置 Reader 角色无权执行 listKeys 操作 .

这个决定背后的基本原理(虽然有点令人费解)是 Reader 角色的用户应该只能 Read 并且不能执行任何插入/更新或删除 . 考虑到某人是否拥有存储帐户的帐户密钥,他们可以执行这些操作 . 因此, Reader 角色中的用户未被授予列出帐户密钥的权限 .

你可以做的是创建一个具有读/列权限的 Shared Access Signature (SAS) 并与你的同事共享该SAS URL . 然后,他们将能够访问该存储帐户中的数据,但无法执行任何创建/更新/删除操作 .