我有两支队伍:
存储器(storage1)具有Team2(所有者)不想向Team1(支持团队)显示的数据。考虑到上述场景,是否在存储级别实施了任何安全策略,以便[即使支持团队(团队1)拥有订阅的投稿人访问权限]也无法查看存储中的数据?请提出最好的前进方式。谢谢。
bakd9h0s1#
有一些特定的数据操作权限允许对blob执行crud操作。如果Team2没有这些权限,他们将无法对blob执行任何操作。具有这些权限的内置角色之一是Storage Blob Data Contributor,而资源角色(如Contributor或Storage Account Contributor)则没有这些权限。
Team2
Storage Blob Data Contributor
Contributor
Storage Account Contributor
然而;默认的Contributor和Storage Blob Data Contributor角色给予访问访问键,访问键也可以用于访问blob。您可以禁用访问键,但参与者可以访问该选项,并可以再次启用它们。
因此,如果你想限制你的贡献者,你可以这样做;但是您需要一个不具有Microsoft.Storage/storageAccounts/listkeys/action权限的不同角色(可能是自定义角色)。
Microsoft.Storage/storageAccounts/listkeys/action
1条答案
按热度按时间bakd9h0s1#
有一些特定的数据操作权限允许对blob执行crud操作。如果
Team2没有这些权限,他们将无法对blob执行任何操作。具有这些权限的内置角色之一是Storage Blob Data Contributor,而资源角色(如Contributor或Storage Account Contributor)则没有这些权限。然而;默认的
Contributor和Storage Blob Data Contributor角色给予访问访问键,访问键也可以用于访问blob。您可以禁用访问键,但参与者可以访问该选项,并可以再次启用它们。因此,如果你想限制你的贡献者,你可以这样做;但是您需要一个不具有
Microsoft.Storage/storageAccounts/listkeys/action权限的不同角色(可能是自定义角色)。