Azure的基於RBAC訪問存儲帳戶

Question

我已經在存儲帳戶授予貢獻者角色服務主體。

當我試圖創建一個帳戶，我收到以下錯誤消息中的容器

One-time registration of Microsoft.Storage failed - The client 'd38eaaca-1429-44ef-8ce2-3c63a62849c9' with object id 'd38eaaca-1429-44ef-8ce2-3c63a62849c9' does not have authorization to perform action 'Microsoft.Storage/register/action' over scope '/subscriptions/********' 

我的目標是讓服務主體以只讀方式包含在給定存儲賬戶內，並創造了斑點該存儲帳戶中的容器。什麼是配置我的原則做到這一點所需的步驟。

Answer 1

關於你的錯誤，請參閱此主題：In Azure as a Resource Group contributor why can't I create Storage Accounts and what should be done to prevent this situation?。

我的目標是讓服務主體以只讀方式包含在給定存儲賬戶內的斑點 並創建存儲帳戶中的容器 。有什麼步驟需要配置我的 原則來做到這一點。

截至今天，它是不可能這樣做的。僅僅因爲RBAC只適用於API的控制平面。因此，使用RBAC，您可以控制誰可以創建/更新/刪除存儲帳戶。訪問存儲帳戶內的數據仍由帳戶密鑰控制。任何有權訪問帳戶密鑰的人都可以完全控制該帳戶。